Cloud Lock-in, le criticità di una scelta poco consapevole

Cloud Lock-in, le criticità di una scelta poco consapevole

Molto spesso, quando si valutano tecnologie e soluzioni per accelerare il business si rischia di selezionare piattaforme, pur valide, che tuttavia nascondono quale vincolo.

Sempre più frequentemente, imprese e referenti IT interni (ma non solo), sono portati a prendere in considerazioni nuovi servizi, indispensabili per portare avanti quello che è il processo di trasformazione digitale a cui tutte le aziende sono chiamate.
Molte delle valutazioni devono, giocoforza, avvenire in presenza di partner e consulenti, figure chiave che consentono di mettere a fuoco le esigenze reali delle aziende e possono consigliare al meglio. In un mondo in rapido cambiamento, come quello tecnologico e IT, è infatti sempre più importante poter contare su partner e servizi flessibili e al passo coi tempi.
La ricerca passa anche dalla sperimentazione, un tassello fondamentale per comprendere quale piattaforma offra il miglior compromesso prezzo/prestazioni. L’intento finale è, naturalmente, l’accelerazione dei processi di business, l’innalzamento della sicurezza a 360° e la riduzione del TCO. Proprio l’aspetto dei costi è quello più sensibile all’interno delle organizzazioni, dato che va a interessare differenti comparti, dall’IT, all’amministrazione, alla dirigenza.

Tuttavia, se prestazioni, affidabilità e costi, possono essere considerati come meri elementi da porre su un ipotetico piatto della bilancia, dall’altra parte è bene prestare attenzione a quelli che potrebbero essere i vincoli contrattuali o tecnologici imposti dal provider.
In questi casi si parla di lock-in, e può riguardare una data architettura proprietaria hardware o software (vendor lock-in), ma anche prestazioni offerte e servizi; da qui l’esistenza di possibili “cloud lock-in”. Più in generale, con questa terminologia si sottintende la scelta di un cliente, non sempre pienamente consapevole, verso un fornitore di servizi. Tale scelta, molte volte fatta sulla scorta di considerazioni economiche al ribasso, può, nel tempo, rivelarsi più onerosa rispetto ad altre e comportare vincoli difficili da sbloccare. E non si tratta unicamente di hardware, software, cloud, SLA.

Cloud Lock-in, le criticità di una scelta poco consapevole

Un blocco imposto si verifica, per esempio, quando l’amministrazione non è in grado di cambiare facilmente fornitore alla scadenza del periodo contrattuale.
Come accade ciò? Questo avviene perché non sono disponibili le informazioni essenziali sul sistema in uso, come per esempio i parametri che consentirebbero a un nuovo fornitore di subentrare in modo rapido ed efficace. La possibilità di fermi o rallentamenti delle attività in caso di cambio provider scoraggia certamente il cliente che, nonostante determinati lock-in, spesso sceglie di mantenere lo status quo.
Più un provider è in possesso di elementi unici e indispensabili, di cui è il solo depositario, e più questo vincolo diventa reale e complesso da rompere.
In questi casi, il rapporto fornitore-cliente risulta fortemente sbilanciato a favore del primo. Forte di questa situazione, il provider può facilmente imporre modifiche contrattuali, preventivi o ricambi, sapendo che per il cliente una eventuale uscita sarebbe difficile e, con tutta probabilità, onerosa.
Appaltare e acquistare beni e servizi da un solo provider tende a creare una situazione di monopolio; in questi casi non è sempre la migliore soluzione o la più economica ad essere scelta…


Il blocco da parte di un operatore cloud è oggi ancora più insidioso rispetto ad altri meccanismi di lock-in. Negli ultimi anni le aziende stanno affidando dati e infrastrutture critiche alla “nuvola” ed è perciò fondamentale capire a fondo ogni aspetto pratico e contrattuale prima di scegliere un provider.

Già in fase di firma del contratto è doveroso controllare le clausole di uscite e i tempi di attuazione; questo per preparare anzitempo una possibile strategia di “opt-out”.
Un primo aspetto fondamentale riguarda la proprietà dei dati che, una volta caricati sul cloud non risultano più sulle infrastrutture locali dell’azienda. Per maggiore sicurezza è opportuno che sul contratto risulti chiara la proprietà dei suddetti documenti, dato che, in alcuni casi, tale definizione potrebbe non essere così chiara.
In caso di uscita e migrazione verso un nuovo provider, assumono grande importanza le modalità e i formati con i quali l’attuale fornitore vi rilascerà i dati al termine del rapporto. Asset e materiale dell’azienda sono soggetti a backup e replica, ma non sempre l’archiviazione avviene in modo lineare e con piattaforme di facile decifratura. Proprio per questo il cliente avveduto dovrà assicurarsi di quali siano le modalità per riavere indietro i dati trattati dal provider.
Lo stesso vale per l’accesso diretto. In una logica di utilizzo IaaS con crittografia, le informazioni subiscono una serie di modificazioni per questioni di sicurezza e trasferimento.

Cloud Lock-in, le criticità di una scelta poco consapevole


Pur ammettendo di aver ricevuto i propri dati, sarà bene garantirsi un accesso diretto senza ulteriori dispendi di tempo e risorse, avendo a disposizione chiavi per decrittare i documenti e accessi amministrativi per VM e App.
In una logica di tutela della privacy e compliance con le normative nazionali e sovranazionali, il cliente dovrà inoltre richiedere la mappatura degli accessi alle risorse in uso e il database delle permission.

In generale, per evitare il lock-in è sempre opportuno selezionare piattaforme open. Ad esempio, esistono specifiche linee guida comunitarie che mirano a potenziare l’interoperabilità dei servizi pubblici nell’Unione Europea. Proprio le infrastrutture aperte sono quelle che meno si prestano a logiche di lock-in. La progettazione di architetture operative dovrebbe partire da questa considerazione, per lo sviluppo di modelli ingegneristici che consentano di realizzare sistemi affidabili e con un elevato tasso di compatibilità, portabilità e manutenibilità.
Secondo questo schema di pensiero è dunque possibile scongiurare eventuali lock-in, studiando opportunamente costi di avvio di un servizio e analizzando con cura il TCO nel lungo periodo.

Un esempio, in epoca di forte adozione dei servizi cloud, può essere rappresentato dalla disponibilità di un provider serio a supportare le attività di migrazione dei dati in caso di cambio fornitore.
Sia per le imprese, sia per la PA, prima di valutare un eventuale servizio integrativo risulta sempre valida una consultazione preliminare di mercato. Il confronto trasparente tra i differenti operatori permette di verificare in modo diretto la presenza di possibili strategie di lock-in e, nel caso, consente di valutarne eventuali costi di uscita.

La Open Cloud Foundation, ad esempio, è un’associazione di aziende tecnologiche che nasce con l’obiettivo di elaborare un framework che assicuri l’apertura del cloud. Fornitori di tecnologie e servizi, cloud provider, aziende clienti, società di ricerca ed entità regolatorie si incontrano dunque su un piano comune per preservare e garantire la libertà di scelta delle aziende.

Sommario