Microsoft, annunciato il programma Cloud for Sovereignty - Cloud Champions

Microsoft, annunciato il programma Cloud for Sovereignty

di pubblicato in data 20/07/2022

Il programma permetterà alla pubblica amministrazione di garantire che i dati trattati dai servizi cloud Microsoft risiedano e siano elaborati in una regione specifica.

In occasione di Inspire 2022, l'evento dedicato alla propria rete di aziende partner, Microsoft ha annunciato Microsoft Cloud for Sovereignty, un programma rivolto principalmente alle pubbliche amministrazioni e alle organizzazioni che devono gestire dati soggetti a particolari vincoli normativi, di sicurezza e di localizzazione.

L'obiettivo dichiarato è permettere agli enti pubblici di utilizzare i servizi del cloud Microsoft mantenendo un maggiore controllo sulla collocazione dei dati, sulle modalità con cui vengono trattati e sulle persone che possono accedervi.

La questione è centrale per l'adozione del cloud nel settore pubblico. Le piattaforme dei grandi provider offrono capacità, resilienza e velocità di innovazione difficilmente replicabili all'interno di un singolo datacenter, ma costringono governi e organizzazioni regolamentate a confrontarsi con interrogativi che non sono soltanto tecnici: dove risiedono i dati, quale legislazione si applica, chi può accedervi e quanto controllo rimane effettivamente nelle mani del cliente.

Sebbene per molti servizi Infrastructure as a Service e Platform as a Service fosse già possibile scegliere la regione geografica nella quale distribuire le risorse, Microsoft Cloud for Sovereignty intende estendere un modello coerente di controllo anche ai servizi Software as a Service, tra i quali Microsoft 365, Dynamics 365 e Power Platform.

La sovranità non coincide con la sola residenza del dato

La distinzione tra residenza e sovranità del dato è il punto più importante dell'annuncio.

La data residency indica il luogo fisico o l'area geografica nella quale un'informazione viene conservata. La sovranità digitale comprende invece un insieme più ampio di condizioni: chi può accedere al dato, secondo quali procedure, sotto quale giurisdizione, con quali strumenti di protezione e con quali possibilità di verifica da parte del cliente.

Un dato può, per esempio, essere memorizzato in un datacenter europeo ma risultare comunque accessibile, per ragioni di assistenza o manutenzione, da personale che opera da altri Paesi. Allo stesso modo, la scelta di una regione cloud non implica necessariamente che ogni log, metadato o informazione diagnostica venga trattata esclusivamente all'interno di quella regione.

Microsoft Cloud for Sovereignty nasce per affrontare il problema su più livelli. Non si presenta come un nuovo cloud completamente separato da Azure, ma come un insieme coordinato di tecnologie, configurazioni e procedure costruite sopra il cloud pubblico Microsoft.

La differenza non è marginale. Un'infrastruttura fisicamente separata potrebbe offrire un isolamento più netto, ma rischierebbe anche di rimanere indietro rispetto ai servizi e agli aggiornamenti disponibili nel cloud globale. Microsoft sceglie invece di mantenere i clienti all'interno della propria piattaforma principale, introducendo controlli aggiuntivi per adattarla ai requisiti dei singoli Paesi.

I quattro livelli di Microsoft Cloud for Sovereignty

Microsoft rappresenta il programma attraverso quattro livelli: Data Residency, Sovereign Controls, Governance and Transparency ed Expertise. La residenza geografica costituisce quindi soltanto la base di un modello che comprende anche protezione tecnica, verificabilità e competenze locali.

I quattro livelli di Microsoft Cloud for Sovereignty: Data Residency, Sovereign Controls, Governance and Transparency, Expertise

Data Residency

Il primo livello sfrutta l'infrastruttura regionale di Azure. Al momento dell'annuncio, Microsoft dichiarava di disporre di oltre 60 regioni cloud nelle quali i clienti potevano distribuire servizi e dati.

La novità più significativa consiste nell'intenzione di applicare criteri di localizzazione più uniformi all'intero ecosistema Microsoft, includendo non soltanto macchine virtuali, database e componenti applicativi, ma anche strumenti di collaborazione e applicazioni SaaS.

In Europa questo percorso si collega al programma EU Data Boundary, con il quale Microsoft si era impegnata a consentire ai clienti dell'Unione europea e dell'Associazione europea di libero scambio di conservare ed elaborare una parte crescente dei propri dati all'interno del territorio europeo.

L'impegno riguarda anche alcune informazioni prodotte dai servizi e dai processi di assistenza, ma non equivale alla promessa di eliminare qualsiasi flusso internazionale. La stessa Microsoft riconosceva la necessità di analizzare globalmente alcuni segnali per individuare minacce informatiche e proteggere la propria infrastruttura.

È un limite importante, perché mostra quanto sia difficile trasformare un concetto giuridico e politico come quello di sovranità in un confine tecnico completamente impermeabile.

Sovereign Controls

Il secondo livello riguarda gli strumenti attraverso i quali il cliente può limitare l'accesso ai dati e ridurre la dipendenza operativa dal fornitore.

Microsoft raccoglie sotto la definizione di Sovereign Controls diverse tecnologie già presenti nel proprio cloud: cifratura con chiavi controllate dal cliente, protezione dei dati durante l'elaborazione, autorizzazione preventiva degli accessi da parte del personale Microsoft e configurazioni predefinite per limitare le regioni, i servizi e le modalità di distribuzione consentite.

Il valore del programma non risiede quindi in una singola nuova tecnologia, ma nel tentativo di comporre strumenti già esistenti in un modello coerente e verificabile.

Una pubblica amministrazione potrebbe, per esempio, stabilire che determinate categorie di dati debbano risiedere esclusivamente in una regione autorizzata, essere cifrate con chiavi controllate internamente e non risultare accessibili al personale del provider senza un'approvazione esplicita.

Questi vincoli possono essere tradotti in policy tecniche e configurazioni standard, riducendo il rischio che ogni progetto cloud venga realizzato secondo criteri differenti o dipenda dalla corretta configurazione manuale di ogni singolo servizio.

Rimane però una distinzione fondamentale: rendere disponibile un controllo non significa garantire automaticamente che venga utilizzato correttamente. La sua efficacia dipende dalla classificazione dei dati, dalla qualità delle policy e dalla capacità dell'organizzazione di verificare nel tempo che le configurazioni rimangano conformi.

Governance and Transparency

Il terzo livello affronta il tema della trasparenza. Per un'organizzazione pubblica non è sufficiente che il fornitore dichiari di rispettare determinati standard: deve essere possibile ottenere evidenze, comprendere i processi adottati e verificare, almeno nei casi più sensibili, il funzionamento della piattaforma.

Microsoft Cloud for Sovereignty estende il preesistente Microsoft Government Security Program, attraverso il quale governi e organizzazioni qualificate possono accedere a informazioni di sicurezza riservate e approfondire il funzionamento dei prodotti Microsoft.

Secondo i dati comunicati nel 2022, il programma coinvolgeva più di 45 Paesi e organizzazioni internazionali, rappresentati da oltre 90 agenzie. Con il nuovo annuncio, Microsoft prevedeva di estendere questo livello di trasparenza anche ad alcuni componenti fondamentali dell'infrastruttura Azure.

Il messaggio è che la fiducia nel cloud non dovrebbe dipendere soltanto dalle certificazioni pubblicate dal provider. Per i clienti con requisiti elevati sono necessari anche diritti di audit, accesso alle evidenze e canali diretti con i team responsabili della sicurezza e della conformità.

Expertise

L'ultimo livello è quello delle competenze. Microsoft definisce Cloud for Sovereignty una proposta partner-led e partner-first: non un prodotto che il cliente può semplicemente attivare da un portale, ma un programma nel quale i partner locali hanno il compito di adattare architetture, controlli e procedure ai requisiti dei diversi Paesi.

Tra i partner inizialmente citati figurano Arvato, Capgemini, Minsait, Orange, SAP e Telefonica. Nel caso italiano, Microsoft ha annunciato la collaborazione con Leonardo.

Il ruolo dei partner non è quindi soltanto commerciale. Sono i partner a dover interpretare la normativa locale, configurare i controlli, integrare la piattaforma con i sistemi esistenti e supportare le attività di verifica.

Questo approccio riconosce implicitamente che la sovranità digitale non può essere ridotta a un elenco di funzionalità tecniche. Dipende anche dal contesto normativo, dalla classificazione dei dati, dai processi dell'organizzazione e dalle responsabilità attribuite ai diversi soggetti coinvolti.

La sovranità non è una casella da selezionare

Al momento dell'annuncio, Microsoft Cloud for Sovereignty era disponibile soltanto attraverso una preview privata in un numero non specificato di regioni. Non era quindi possibile acquistarlo e configurarlo autonomamente come un normale servizio Azure.

La natura inizialmente limitata del programma e il forte coinvolgimento dei partner mostrano anche il suo principale limite: nessuna piattaforma può rendere automaticamente conforme un'organizzazione.

Il provider può mettere a disposizione regioni specifiche, chiavi controllate dal cliente, procedure di autorizzazione, strumenti di audit e configurazioni standard. Rimane però responsabilità dell'organizzazione stabilire quali dati siano sensibili, quali regole debbano essere applicate e come verificare che tali regole vengano rispettate lungo l'intero ciclo di vita del servizio.

La conformità, inoltre, non è una proprietà immutabile. Normative, servizi e configurazioni cambiano nel tempo. Un'architettura conforme al momento della sua realizzazione può smettere di esserlo dopo una modifica, l'introduzione di un nuovo servizio o un cambiamento nei flussi di trattamento dei dati.

Microsoft Cloud for Sovereignty va quindi interpretato come un tentativo di portare il tema della sovranità oltre la sola localizzazione geografica. Il programma riconosce che il controllo del dato coinvolge anche cifratura, identità, attività degli operatori, assistenza, audit e competenze locali.

È una direzione inevitabile per il mercato del cloud pubblico, soprattutto nel settore governativo e nelle industrie regolamentate. Ma il valore concreto della proposta dipenderà meno dalle dichiarazioni del provider e più dalla possibilità di dimostrare, caso per caso, che i controlli annunciati siano realmente applicabili, verificabili e coerenti con la normativa locale.

La distinzione da mantenere è quindi quella tra ciò che Microsoft annuncia, ciò che la piattaforma consente tecnicamente e ciò che una specifica implementazione riesce effettivamente a garantire.

Fonti