GAIA-X: cosa sappiamo finora sul cloud “Made in Europe”
L’Europa non ha una solida posizione nel settore del cloud computing. L’ascesa dei grandi provider cloud basati negli Stati Uniti e in Cina – da cui l’Europa dipende – e la guerra commerciale est-ovest e ai timori che i Governi accedano ai dati oltre i confini nazionali hanno portato il vecchio continente a sviluppare una strategia alternativa.
Va in questa direzione il progetto GAIA-X promosso da Francia e Germania per aiutare le aziende tecnologiche europee a competere con gli operatori storici e offrire un cloud “made in Europe” che fornisce garanzie sulla portabilità e la privacy.
Cos’è GAIA-X
Annunciato nell’ottobre 2019, il progetto GAIA-X fornisce una piattaforma cloud che si adatta ai “valori europei” su temi come la sovranità dei dati, la protezione dei dati e la portabilità. GAIA-X è progettato per competere con provider cloud come Microsoft Azure o Amazon Web Services (AWS).
Non si tratta tuttavia di un concorrente che vuole entrare nell’arena con un’infrastruttura sviluppata da zero: GAIA-X si presenta in parte come mercato, in parte come standard e in parte come ente di certificazione. Offre un catalogo di servizi di fornitori europei già esistenti, che sono stati adattati e certificati per soddisfare i suoi requisiti, e il cliente finale stipula un contratto con il singolo venditore. Questo dovrebbe avvenire attraverso una serie di servizi federati e allineando i fornitori di rete e di servizi partecipanti ai requisiti di GAIA-X.
Le aziende coinvolte includono Atos, Bosch, BMW, Deutsche Telekom, EDF, Orange, OVHcloud, SAP e Siemens. I casi d’uso elencati sul sito fino ad ora si concentrano principalmente sui settori industriale, sanitario, finanziario e pubblico per il monitoraggio delle condizioni, i data center periferici, l’archiviazione e la condivisione di cartelle cliniche. I proof of concept e una versione alpha sono previsti per il 2021.
La società di telecomunicazioni francese Orange fa parte di un gruppo di fornitori europei che hanno aderito fin da subito a GAIA-X. Cedric Prevost, Director of trusted cloud solutions presso Orange, ritiene che GAIA-X sia un’opportunità per creare uno spazio europeo dei dati con la sovranità e la trasparenza dei dati al centro, costruire una base solida per la fiducia in Europa e sfruttare regolamenti di protezione dei dati come il GDPR per portare la migliore infrastruttura e servizi di dati in Europa.
“L’iniziativa GAIA-X non è pensata per fare meglio degli attuali principali attori del cloud”, afferma Prevost. “Apporterà maggiore trasparenza alle diverse caratteristiche chiave delle offerte dei player cloud, in particolare agli attributi relativi alla sovranità, ma non solo, facilitando l’interoperabilità tra i fornitori e assicurando che i valori fondamentali come la reversibilità o la privacy dei dati seguano linee guida chiare”.
Prevost spiega che le attuali offerte di cloud pubblico di Orange, come Flexible Engine o Flexible Computing Advanced, saranno disponibili nell’ecosistema GAIA-X: si tratta principalmente di integrare questi servizi affidabili nel framework di interoperabilità GAIA-X.
Il valore di GAIA-X per CIO e CISO
Secondo quanto riportato da Forrester, l’80% dei carichi di lavoro cloud in Europa si trova su almeno uno dei principali provider di cloud e solo il 12% delle imprese europee ha scelto un provider di cloud pubblico con sede in Europa, sollevando la questione del perché sia necessario un altro provider.
La sovranità dei dati in ambito cloud non è un problema nuovo e per molte aziende non è il problema più urgente. “Nel merito delle sue capacità tecniche, potrebbe esserci un interesse limitato per GAIA-X”, afferma Paul McKay, analista di Forrester specializzato in sicurezza e rischio. “L’appeal sarà verso le società con sede in Europa. Non lo vedo come un grande richiamo per le aziende che operano in Europa, ma hanno sede altrove”.
Alcune delle proposte di GAIA-X sono politiche. La dipendenza europea da Azure, AWS e Google Cloud dagli Stati Uniti e le offerte cloud di Alibaba dalla Cina danneggiano i fornitori europei e i politici si preoccupano delle controversie commerciali in corso. Ciò, combinato con una regolamentazione di vasta portata proveniente da Stati Uniti e Cina sull’accesso ai dati oltre i propri confini, potrebbe indurre alcuni CIO e CISO europei a cercare un’altra opzione.
“È chiaro che, sebbene la sicurezza sia importante, il livello di capacità di sicurezza offerto dai provider hyperscale è considerato abbastanza buono dalla maggior parte dei clienti”, afferma McKay. “Tuttavia, in alcuni paesi – e Francia e Germania sono i due che emergono più spesso – ci sono ancora molti dubbi sul livello di trasparenza e apertura degli hyperscaler, ed è il motivo per cui ritengono necessario creare questo tipo di offerta. Se si guarda ai possibili casi d’uso, l’Europa probabilmente ha ragionevoli pretese da avanzare per avere una posizione di leadership”.
McKay afferma che GAIA-X potrebbe attrarre le aziende che cercano una maggiore trasparenza sulla sovranità dei dati e su dove risiedono i dati e vengono elaborati dai grandi provider. Ciò è particolarmente vero per casi d’uso come backup e ripristino, elaborazione di dati sensibili di cui l’azienda deve sapere dove conoscere la posizione in ogni momento o archiviazione di proprietà intellettuali in posizioni indesiderate. “Per competere con gli hyperscaler GAIA-X deve concentrarsi sulle aree in cui può fornire un valore unico, e questo deriva dalla conoscenza del dominio in casi d’uso specifici del settore”, afferma. “Può competere come un’alternativa per quei carichi di lavoro sensibili se è in grado di fornire una serie di soluzioni che risolvono i problemi in domini in cui i clienti non sono soddisfatti del mercato esistente”.
In qualità di membro del panel fondatore di GAIA-X, il portavoce di Siemens Yashar Azad afferma che l’interesse della sua azienda nel progetto è alimentare la crescita di ecosistemi di dati europei. “Praticamente qualsiasi caso d’uso che si basa sulla generazione di insight da dati industriali” è un potenziale candidato per l’uso su GAIA-X, secondo Azad.
Tuttavia, quando si tratta di sicurezza, afferma che Siemens non è stata coinvolta e qualsiasi ulteriore dettaglio sulla sicurezza di GAIA-X non può ancora essere comunicato con sufficiente affidabilità, in parte perché l’associazione GAIA-X, che è tenuta a prendere decisioni di design vincolanti , deve ancora iniziare le operazioni. “Confidiamo che sia GAIA-X che i principali player del cloud continueranno ad adottare misure estese per garantire la sicurezza informatica. Vogliamo sottolineare che la proposta di valore di GAIA-X è dare agli utenti un migliore controllo sui propri dati, piuttosto che offrire una migliore sicurezza informatica”.
Cosa devono sapere i CISO su GAIA-X?
Il richiamo alla sicurezza di GAIA-X riguarda soprattutto il mantenimento di “valori europei” intorno alla sovranità al cuore del suo ecosistema. Ciò avviene attraverso “regole di policy” che tutte le aziende devono rispettare per far parte di GAIA-X. Le regole includono termini contrattuali che devono consentire la reversibilità senza barriere e attributi precisi delle descrizioni dei servizi dei fornitori su temi come le posizioni dei data center, la conformità al GDPR o le normative extraterritoriali come il CLOUD Act degli Stati Uniti.
Prevost afferma che, trattandosi di un ecosistema decentralizzato, GAIA-X fornirà tre servizi comuni: un’identità federata per garantire che sia semplice utilizzare diversi provider, un catalogo di provider e delle loro offerte per consentire ai clienti di trovare i servizi di cui necessitano, un modello di conformità per assicurarsi che tutti rispettino le regole all’interno dell’ecosistema. “I dettagli sulle funzionalità di sicurezza dei servizi federati di GAIA-X, come l’identità, sono ancora in via di definizione”, aggiunge. “Per questo il progetto non è stato ancora completamente descritto, lo sarà una volta che le specifiche saranno pronte per avviare una fase beta”.
Per quanto è noto finora, i meccanismi di identità e fiducia federati consentiranno agli utenti di distribuire rapidamente i requisiti di sicurezza e sovranità designati su tutti i servizi GAIA-X che un cliente sta utilizzando. L’utente decide quali dati risiedono dove, dove è consentito portarli e chi può accedervi. Gli utenti saranno in grado di spostare i dati tra diversi fornitori di GAIA-X.
Anche se le promesse circa la possibilità di trasferire dati e trasparenza potrebbero essere un utile contributo al mercato, McKay ritiene non siano un differenziazione sufficiente per attirare CIO e CISO. Almeno fino a che non sia chiaro il valore aziendale. “Attualmente il principale problema di GAIA-X è la mancanza di dettagli su come funziona il progetto in pratica, sia in generale che in particolare per quanto riguarda la sicurezza”, dice McKay
Un altro punto delicato è lo schema di certificazione European Cloud Security. L’auspicio di McKay è che ci sia una collaborazione tra GAIA-X ed ENISA per creare una serie di garanzie grazie alle quali gli utenti possano vedere quali servizi offrono sicurezza, trasparenza, apertura e garanzie normative richieste per specifici dati e carichi di lavoro.
È probabile che i cloud provider avranno difficoltà a dimostrano la conformità “ex ante” (per esempio, dimostrare la conformità alle regole prima di una violazione delle regole) con i requisiti di sicurezza GAIA-X una volta definiti. “Ciò significa che i fornitori di servizi cloud dovranno disporre di strumenti dinamici per dimostrare continuamente la conformità e implementare strumenti tecnici per mostrare il movimento dei dati, la loro conformità con le richieste dei clienti nel luogo in cui risiedono i dati”, afferma McKay. “Sebbene alcuni aspetti di questo tipo di monitoraggio siano già esistenti per alcuni fornitori di servizi GAIA-X, sarà difficile garantirlo ed essere certi che venga considerato ex ante dagli organismi di regolamentazione che sovrintendono alla certificazione di GAIA- X”.
Per questi motivi, allo stato attuale delle cose McKay suggerisce a CIO e CISO di tenere d’occhio gli sviluppi di GAIA-X, ma di non pensarci seriamente fino a quando non sarà chiaro il valore reale che può offrire alle aziende. L’analista ritiene che “i prossimi sei-nove mesi sono davvero cruciali per capire se il progetto sarà in grado di offrire il valore atteso”.
La risposta dei cloud provider a GAIA-X
Diverso è l’approccio dei grandi cloud provider, che non stanno fermi a guardare. Oltre ad entrare a far parte di GAIA-X, molti stanno aumentando gli sforzi in materia di confidential computing e sfidando la portata dei Governi. Microsoft ha recentemente promesso di contestare ogni richiesta governativa di dati dei clienti del settore pubblico o enterprise da qualsiasi Paese in cui esiste una base legale per farlo e che fornirà un compenso monetario ai clienti se i dati vengono divulgati in risposta a una richiesta governativa che viola il GDPR .
A breve termine, McKay afferma che il successo del progetto dipende molto dalla scelta dei team che saranno coinvolti e dai ruoli di leadership. Per vedere il successo a lungo termine, la UE dovrebbe inserire il progetto nella più ampia strategia del mercato unico digitale, per coinvolgere più ampiamente gli altri Paesi, oltre a Francia e Germania.
L’analista di Forrester sottolinea anche un altro aspetto. GAIA-X potrebbe sabotare la propria riuscita sul mercato se soccombe a “insidie protezionistiche” e gli enti governativi aderiscono al progetto esclusivamente per il desiderio di evitare i grandi operatori storici. “La proposta di GAIA-X riuscirà a imporsi se offre la migliore soluzione tecnica ai requisiti degli enti governativi”, conclude McKay. “Se verrà fornita dal settore pubblico per favorire o indebolire uno specifico provider sulla base della sovranità, la sua reputazione sul mercato sarà definitivamente danneggiata”.