Tecnologia

Virtual Private Cloud: tra sicurezza e business continuity

La parola cloud viene spesso abusata o utilizzata in modo improprio, come dimostrato da numerosi casi d’uso: casi che finiscono,  alla fine dei conti, per collocarla in un ambito astratto e difficile da contestualizzare. Se anni fa questa vaghezza poteva anche essere giustificata, ad oggi non ha più ragion d’essere: il cloud fa infatti parte a tutti gli effetti della nostra quotidianità ad ogni livello.

L’arrivo ed il consolidamento di nuove tecnologie IT, del resto, tende a migliorare l’esistente un po’ per volta; al tempo stesso si pone come paradigma disruptive, ovvero quale autentica “novità dirompente”. Sulla nomenclatura Virtual Private Cloud (o VPC, come spesso viene indicato in sigla), nello specifico. esistono un discreto numero di elementi mal riferiti ed annesse astrazioni, che dovrebbero invece essere chiariti e, direi soprattutto, esemplificati. Cosa che proveremo a fare in questo articolo, dettagliando il suo funzionamento e riportando un caso d’uso che ci è sembrato significativo.

Che cos’è un VPC (Virtual Private Cloud)

Di SamJohnston – Opera propria, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=7674770

In estrema sintesi, un Virtual Private Cloud è un cloud ibrido: nello specifico, un cloud pubblico utilizzato nella forma private cloud. Entrando ancora più nel merito, il Virtual Private Cloud è un modello di deploy (o “distribuzione”) di soluzioni software di vario genere, tra le più diffuse ed utilizzate per realizzare o integrare servizi, facendoli comunicare tra loro a vari livelli.

Si tratta di una soluzione tecnologica che viene assimilata nel campo dell’hybrid cloud, visto che coinvolge una struttura public cloud che però, di fatto, viene condivisa soltanto con il cliente che ne usufruisce (private cloud). A volte a riguardo viene usato anche, per la cronaca, il termine intercloud, ad indicare l’inter-operabilità tra strutture e linguaggi differenti, messi nelle condizioni di poter comunicare tra di loro in modalità sicura.

Virtual Private Cloud nella pratica: un primo esempio

L’esempio più popolare per comprendere il focus della tecnologia Virtual Private Cloud è legato ai Platform as a Service, ovvero le piattaforme virtualizzate che si sono rivelate fondamentali anche in tempi di Covid-19. Grazie ad essi e a varie soluzioni di VoIP e instant messaging, infatti, molti dipendenti hanno potuto fare uso dei servizi usualmente disponibili dall’ufficio, molti dei quali ad uso interno e, pertanto, non accessibili dall’esterno, sia pur connettendosi da casa.

Un caso studio più specifico: 4CaaSt

I casi d’uso del Virtuale Private Cloud sono numerosi per quanto, ad oggi, non troppo documentati sul web. Un esempio molto significativo è 4CaaSt, il cui deliverable è pubblicato nel sito della Comunità Europea annesso a ricerca e sviluppo (CORDIS) e che, di fatto, si basa sulla gestione di un ERP (Enterprise Resource Planning) grazie alla tecnologia VPC. Un software ERP, per inciso, è espressione dell’intero workflow aziendale a svariati livelli (amministrativo, gestionale, fiscale e via dicendo), e gestirlo mediante VPC implica, di fatto, utilizzare un’interfaccia di backend unificata per ogni utente.

Nella pratica, un ERP lavora su specifiche istanze (record) a cui riesce ad accedere mediante le regole imposte da un rispettivo provider: tale varietà rispecchia, di fatto, la distinzione tra le diverse funzioni che sono disponibili.

Se le funzionalità di gestione dei record sono implementate a livello public cloud, nel private cloud sono definite le regole e le policy per l’aggiornamento e l’interrogazione dei dati. L’infrastruttura risponde, peraltro, a specifici requisiti di elasticity, high availability, cooperazione tra livelli di app differenti e real time.

Ora è bene specificare un po’ di elementi tecnici che caratterizzano l’essenza dei Virtual Private Cloud.

Struttura generale di un Virtual Private Cloud

Dentro un VPC convivono varie istanze di software, alle quali è possibile accedere mediante uno strato infrastrutturale esterno noto generalmente come Legacy Infrastructure. Sfruttando una serie di connector, sarà possibile creare nuove istanze e gestirle facendo uso di apposite API, che potranno essere richiamate ed utilizzate a seconda delle necessità.

Da un punto di vista visuale, è quello che viene riflesso dallo schema di seguito riportato, in cui potrà essere ancora più chiara la distinzione tra le aree operative, senza dimenticare il livello di isolamento delle risorse (che le rende a uso dedicato del cliente, senza sovrapposizioni o problemi di sovra-utilizzo da parte di terzi).

Come funziona il Virtual Private Cloud: uso di IPSec

Il VPC fa uso di una rete perimetrale dedicata, alla quale nessun client potrà accedere se non dotato di appositi connector. Questo primo aspetto è stato introdotto come una delle caratteristiche più importanti di tale tecnologia, puntando così a garantire massima sicurezza e riservatezza nel trattamento dei dati.

Alla base del protocollo di accesso ed autenticazione troviamo la tecnologia nota come IPSec (IP Security), che rappresenta uno standard consolidato per le comunicazioni packet-based. Esso viene solitamente implementato mediante due possibili modalità, che sono chiamate Authentication Header (AH) oppure, più frequentemente, Encapsulating Security Payload (ESP). IPSec offre il vantaggio di essere trasparente rispetto a qualsiasi client in uso sulla nostra macchina, e soprattutto di rendersi indipendente dalle applicazioni sottostanti. Nel farlo, il protocollo garantisce:

  1. l’idoneo scambio di chiavi pubbliche/private prima di avviare la comunicazione;
  2. la cifratura del canale al fine di prevenire attacchi Man-In-The-Middle.

Tali punti di accesso costituiscono i cosiddetti end-point, i quali vengono così a trovarsi protetti da possibili script malevoli o analoghi rischi, creando un ambiente sicuro e verificabile per l’intero team di lavoro.

Isolamento e multi-tenancy nel cloud

Abbiamo delineato ciò che molte aziende chiamano con il nome di Secure Data Connection: questo tassello della struttura è fondamentale, ma non è il solo a dover essere citato. A questo infatti si affianca il cosiddetto isolamento delle risorse dedicate: esso garantisce la possibilità di lavorare in sezioni o compartimenti separati, privati, esclusivi e ben distinti. Il fatto che più clienti facciano uso delle risorse di un cloud pubblico (ma sfruttandolo di fatto in modo esclusivo come soluzione “ibrida”), inoltre, è nota anche come multi-tenancy.

Se quest’ultimo termine tradizionalmente indicava un software in grado di servire più clienti, attualmente fa riferimento ad un’accezione più estesa, che finisce per condividere l’intera infrastruttura anziché uno o più software specifici. Tale condivisione, senza scendere troppo nel dettaglio, avviene pressappoco sulla falsariga di quanto avviene per la gestione dei conti in banca: un ente bancario è in grado per definizione di gestire più conti contemporaneamente, ma riesce a farlo senza che i vari clienti siano a conoscenza del saldo o dei movimenti altrui.

Questione dei costi: quale soluzione VPC scegliere?

A tale uso ottimizzato delle risorse, il Virtual Private Cloud affianca costi sostenibili per le aziende, che sono sempre in proporzione all’uso che se ne fa (cosiddetto pay-per-use). La maggioranza di questi servizi a livello commerciale, peraltro, non dispongono di server in Europa, e ciò può essere considerato problematico in termini di GDPR. Le soluzioni italiane per fortuna non mancano: è il caso del Virtual Private Cloud offerta da Seeweb, che offre una soluzione di “virtual data center” che risponde a tutte le caratteristiche fondanti che abbiamo appena visto, e che diventa possibile gestire a vari livelli di management (Prestige, Global o Proactive).

Software per il supporto ai VPC

Virtual Private Cloud si basa sulle tecnologie VMware, in particolare su vSphere Hypervisor e vSphere Client. Sfruttando un’interfaccia semplice e intuitiva.

Il mondo dei VPC è in continua evoluzione, e sono sempre più numerose le aziende che decidono di farne uso: sia per i consueti motivi dovuti alla dematerializzazione delle risorse software, sia per la loro condivisione sempre più fluida sia, ancora, per una mera questione di economizzazione dei conti. E noi siamo pronti a scommettere che, nel prossimo futuro, questa soluzione diventerà sempre più all’ordine del giorno.

Leultime.info è gestito e scritto prevalentemente da Salvatore Capolupo