Microsoft Cloud for Sovereignty: la soluzione per soddisfare i requisiti di sovranità nel cloud e negli ambienti ibridi

Microsoft ha recentemente annunciato la disponibilità di Microsoft Cloud for Sovereignty in tutte le region di Azure. Microsoft Cloud for Sovereignty offre soluzioni affidabili per il settore pubblico, progettate per supportare la migrazione, lo sviluppo e la trasformazione dei carichi di lavoro nel cloud di Microsoft, rispettando al contempo i requisiti di conformità, sicurezza e controllo. In questo articolo, ci immergeremo nelle caratteristiche distintive di Microsoft Cloud for Sovereignty, esplorando come può garantire agli enti governativi una trasformazione digitale rapida e in linea con le normative.

Sovranità nell’hyperscale cloud

I governi di tutto il mondo devono soddisfare una vasta gamma di requisiti di conformità nazionali e regionali per le applicazioni e per carichi di lavoro, che includono governance, controlli di sicurezza, privacy, e in alcuni casi, la residenza dei dati e protezioni sovrane. Fino ad ora, la maggior parte delle soluzioni per affrontare questi requisiti normativi si sono affidate a cloud privati e ambienti on-premises, rallentando l’adozione di soluzioni cloud che siano allo stesso tempo scalabili, sicure e resilienti.

Che cos’è la sovranità dei dati e qual è la posizione di Microsoft sulla ‘sovranità’?

La sovranità dei dati è il concetto secondo cui i dati sono sotto il controllo del cliente e regolamentati dalla legge locale. Mentre la residenza dei dati garantisce che i dati rimangano in una specifica posizione geografica, la sovranità dei dati si assicura che essi aderiscano alle normative del paese in cui si trova il cliente del settore pubblico. Ogni giurisdizione ha i propri requisiti, una propria visione e delle esigenze uniche quando si tratta di affrontare le proprie necessità di sovranità. A tal proposito, nonostante Microsoft ritenga che molte di queste esigenze siano soddisfatte attraverso le soluzioni cloud standard offerte ha introdotto Microsoft Cloud for Sovereignty, che fornisce un ulteriore strato di capacità in grado di rispondere alle esigenze individuali dei clienti del settore pubblico e del governo. Sarà poi compito dei partner e dei clienti determinare cosa sia appropriato per le loro specifiche esigenze. Per i carichi di lavoro più sensibili che non possono essere ospitati nel cloud pubblico, Microsoft offre opzioni ibride, come Azure Stack HCI, che permettono ai clienti di mantenere i dati nei propri ambienti on-premises.

Nei paragrafi seguenti vengono riportate le richieste più comuni per raggiungere la sovranità dei dati nel cloud.

Residenza, sicurezza e conformità dell’hyperscale cloud

Microsoft Cloud for Sovereignty è radicato nelle oltre 60 region cloud di Azure a livello mondiale, garantendo un livello ineguagliato di sicurezza e la disponibilità di una vasta gamma di conformità normative. Questo posiziona Microsoft come il fornitore cloud con il maggior numero di region al mondo e tale infrastruttura permette ai clienti di attuare specifiche politiche per assicurare che i loro dati e le loro applicazioni rimangano all’interno del confine geografico di loro preferenza, rispettando così pienamente i requisiti di residenza dei dati imposti dalle normative nazionali o regionali.

Controlli per l’accesso ai dati

Microsoft Cloud for Sovereignty fornisce controlli per garantire la sovranità, la protezione e la crittografia dei dati sensibili e controllarne l’accesso, abilitati da:

  • Sovereign Landing Zone: si tratta di una zona di atterraggio specifica di Azure, ideata per entità che richiedono privacy, sicurezza e controlli sovrani in conformità con le normative governative. Queste zone forniscono un approccio ripetibile e sicuro per lo sviluppo e il deployment di servizi cloud. Governi che affrontano un contesto normativo complesso e multilivello trovano nelle Sovereign Landing Zone una soluzione efficace per progettare, implementare e gestire soluzioni, aderendo alle politiche stabilite. Esse permettono di implementare e configurare risorse Azure, garantendo l’allineamento con le best practice del Cloud Adoption Framework (CAF). Tali guide consentono alle organizzazioni di soddisfare i requisiti di sovranità dei dati. Per approfondimenti sulle SLZ e le loro funzionalità, si consiglia di consultare la documentazione su GitHub.
  • Azure Confidential Computing: è una tecnologia sviluppata da Microsoft che mira a migliorare la sicurezza dei dati mentre vengono processati nel cloud. Tradizionalmente, i dati possono essere protetti mentre sono inattivi (cioè memorizzati) o in transito (cioè durante la trasmissione), ma diventano vulnerabili quando sono in uso o in esecuzione su un server. Il Confidential Computing cerca di colmare questa lacuna proteggendo i dati anche quando sono in esecuzione. Questo viene realizzato tramite l’uso di una tecnologia chiamata “Trusted Execution Environment” (TEE), che è essenzialmente un’area sicura del processore. I TEE isolano i dati e il codice in esecuzione dagli altri processi, inclusi quelli del sistema operativo, in modo che solo il codice autorizzato possa accedere ai dati. Questo significa che anche se un attaccante riesce a penetrare il sistema operativo o la rete, non sarebbe in grado di accedere ai dati protetti all’interno del TEE. Azure Confidential Computing è particolarmente utile per i casi di utilizzo che richiedono un elevato livello di sicurezza dei dati, come le transazioni finanziarie, la gestione delle informazioni sanitarie o il trattamento di dati sensibili per aziende o governi.

La complessità nell’affrontare le normative che variano da paese a paese

La sovranità digitale è una questione complessa, che differisce significativamente da una nazione all’altra. Per affrontare questa sfida, Microsoft ha adottato un approccio collaborativo e personalizzato con il suo Microsoft Cloud for Sovereignty. Lavorando a stretto contatto con partner locali in diversi paesi, Microsoft è in grado di adattare le sue soluzioni cloud alle specifiche necessità di ogni cliente, massimizzando al contempo l’efficienza e garantendo implementazioni sicure.

In questo contesto, Microsoft offre ai suoi clienti la possibilità di adottare policy specifiche legate alla sovranità tramite Azure, semplificando il processo di conformità alle normative nazionali e regionali. Queste iniziative (insieme di policy) aiutano i clienti a stabilire parametri di sicurezza del cloud, facilitando l’adempimento delle normative.

Un esempio concreto è l’adozione dell’Azure Cloud Security Benchmark. I clienti possono iniziare da qui, aggiungendo poi il nuovo Sovereignty Policy Baseline per rafforzare le pratiche di sovranità digitale. In aggiunta, possono integrare strati specifici per le loro regioni, come le linee guida per la migrazione al cloud dell’Agenzia Nazionale per la Cybersecurity della Pubblica Amministrazione Italiana (ACN) per i clienti in Italia.

Infine, la nuova iniziativa politica Cloud Security Alliance Cloud Controls Matrix (CSA CCM v4) offre un punto di riferimento globale che informa e guida molti standard regionali, consolidando ulteriormente l’impegno di Microsoft verso soluzioni cloud sicure, conformi e sovrane.

Come Microsoft garantisce che i dati rimangano in uno specifico paese e come intende supportare le esigenze di sovranità dei governi che non dispongono di regioni Azure nel proprio territorio?

Microsoft fornisce informazioni dettagliate sulla residenza dei dati nel Cloud Microsoft attraverso la sua documentazione e il Microsoft Trust Portal. Misure aggiuntive per massimizzare la residenza dei dati sono state annunciate nell’ambito del EU Data Boundary. I governi di tutto il mondo hanno preferenze diverse riguardo la sovranità e la residenza dei dati. Per alcuni clienti, la residenza dei dati nel proprio paese non è una condizione preliminare per la sovranità. Inoltre, i controlli sulla sovranità che Microsoft mette a disposizione possono essere utilizzati ovunque, anche in assenza di una region nel proprio paese.

Microsoft Cloud for Sovereignty per i clienti italiani

Un passo significativo verso la sovranità digitale in Italia è rappresentato dall’introduzione della nuova region Azure Italy North. Questa region apre nuove possibilità per i clienti pubblici e privati, offrendo loro l’accesso alle Sovereign Landing Zones. Inoltre, Azure Italy North si distingue per l’adozione di tecnologie all’avanguardia come Azure Confidential Computing. Con l’aggiunta di Azure Italy North, Microsoft dimostra il suo impegno nel supportare le esigenze specifiche dei clienti italiani, fornendo soluzioni tecnologiche avanzate che rispondono alle sfide della sovranità digitale e della sicurezza dei dati.

Le capacità di Microsoft Cloud for Sovereignty

Le capacità di Microsoft Cloud for Sovereignty si estendono su diversi livelli:

Figura 1 – I vari strati che compongono Microsoft Cloud for Sovereignty

Nuove capacità per la Sovranità

Le seguenti nuovi soluzioni sottolineano il continuo investimento da parte di Microsoft per migliorare la sovranità nell’hyperscale cloud:

  • Capacità di analisi del “drift”: l’amministrazione e la manutenzione continuative possono potenzialmente introdurre cambiamenti che non sono conformi alle policy stabilite, portando nel tempo il deployment a deviare dalla conformità. Il nuovo strumento di analisi del drift ispeziona il deployment e genera un elenco di impostazioni non conformi, oltre a una valutazione della gravità, facilitando l’identificazione delle discrepanze da rimediare e la verifica della conformità degli ambienti specifici.
  • Transparency logs: fornisce ai clienti idonei la visibilità delle istanze in cui gli ingegneri Microsoft hanno avuto accesso alle risorse del cliente tramite accesso Just-In-Time (JIT), più comunemente in risposta a una richiesta di supporto del cliente.
  • Nuovi strumenti di configurazione nel portale Azure che permettono ai clienti di creare una nuova Sovereign Landing Zone su misura in due semplici passaggi utilizzando un’esperienza guidata.

Conclusioni

In conclusione, Microsoft Cloud for Sovereignty rappresenta una svolta significativa nella gestione dei dati e nella sovranità digitale nel cloud e negli ambienti ibridi. Con la sua capacità di soddisfare requisiti di conformità complessi e di garantire la sicurezza dei dati, questa soluzione si posiziona come un pilastro fondamentale per il settore pubblico e governativo. La disponibilità in tutte le regioni di Azure, insieme all’innovativo Azure Confidential Computing e alle Sovereign Landing Zones, offre ai clienti una flessibilità senza precedenti per mantenere i dati entro i confini nazionali o regionali, rispettando le normative locali. L’approccio personalizzato e collaborativo di Microsoft nel rispondere alle esigenze specifiche di ogni paese dimostra un impegno chiaro verso la sovranità digitale, offrendo soluzioni sicure, scalabili e affidabili. In particolare, per i clienti italiani, l’apertura della region Azure Italy North è un passo avanti significativo, che evidenzia l’investimento di Microsoft nel supportare le esigenze locali e rafforzare la sicurezza dei dati. Nel complesso, Microsoft Cloud for Sovereignty si distingue come un’importante innovazione nel panorama del cloud computing, portando avanti la missione di un futuro digitale più sicuro, conforme e sovrano.