Cloud sovrano: l'approccio di Broadcom con VMware Sovereign Cloud

Sono anni che si parla di cloud sovrano ma, nonostante svariati annunci, solo recentemente ci si sta avvicinando ad avere, in Europa, delle infrastrutture indipendenti dall'amministrazione USA. Questo anche perché a lungo si è fatta confusione fra la data residency, cioè dove fisicamente sono posizionati i server che gestiscono i dati, e la data sovereignity, ovvero il controllo completo e indipendente, la "vera" sovranità sul dato.

Recentemente, complici le tensioni geopolitiche e il crescente ruolo dell'IA, si sta però puntando ad assicurare un reale e totale controllo dei dati in Europa, anche quando questi sono ospitati presso le infrastrutture degli hyperscaler. Che, va detto, ancora oggi non sempre rispettano i requisiti più stringenti. Fra gli operatori statunitensi che hanno scelto di assicurare a cittadini e imprese europee un controllo completo, slegandosi dal controllo degli USA, c'è Broadcom che ha presentato VMware Sovereign Cloud.

Sovranità sui dati: non basta appoggiarsi ai server europei per essere al sicuro

Oggi molte aziende non possono fare a meno di appoggiarsi ad hyperscaler statunitensi. Per quanto le realtà europee stiano crescendo rapidamente, infatti, nessuna può ancora competere per offerta, capacità di calcolo e flessibilità con i big del cloud.

Una dipendenza tecnologica che si porta dietro anche una serie di problemi di natura geopolitica. Due, nello specifico, i nodi: da un lato il Cloud Act, una legge USA che impone alle aziende statunitensi di ottemperare alle richieste del Governo. Anche quando operano oltre i confini nazionali. Se, quindi, l'amministrazione USA chiedesse a un hyperscaler di consegnare i dati relativi a un cliente italiano o europeo, questo sarebbe obbligato dalla legge a obbedire. Il tutto senza nemmeno poter avvisare il cittadino o l'azienda in questione. In pratica, gli USA hanno - sulla carta - il potere di ottenere qualsiasi informazione, anche la più riservata. 

Ovviamente l'UE ha risposto con una serie di norme, a partire dal GDPR, che impone di conservare i dati considerati sensibili sul territorio europeo. Ma questo, come abbiamo visto, non è sufficiente a mettersi al riparo da possibili interferenze del Governo USA. Certo, gli hyperscaler hanno preso delle contromisure per frenare le ambizioni statunitensi e garantire più libertà e indipendenza ai clienti europei. Fra questi, la possibilità per i clienti di gestire in maniera autonoma le chiavi di cifratura. Così facendo, se anche l'amministrazione USA riuscisse a mettere le mani sui dati, non avrebbe automaticamente l'accesso: dovrebbe infatti trovare il modo di violare la chiave crittografica.

Questa, però è solo una parte del problema. La seconda, forse più grave, è che dipendendo da infrastrutture USA, viene meno anche la certezza della continuità del business. Perché per quanto si possano negoziare SLA elevatissimi, potrebbe bastare un ordine del Presidente USA per bloccare un servizio europeo, se questo si appoggia a infrastrutture di realtà americane. 

Non si tratta di paranoie o di temi che vanno a colpire solo chi opera in settori pesantemente regolamentati: Anton Carniaux, Legal Director di Microsoft, ha infatti dichiarato di fronte al parlamento francese, sotto giuramento, di non poter garantire che i dati europei che Microsoft gestisce (su server europei) siano concretamente protetti da tentativi di accesso da parte dell'amministrazione USA. 

Non solo: un ordine del presidente USA ha anche bloccato il lavoro della Corte Penale Internazionale. Come? Semplicemente ordinando a Microsoft di bloccare l'account del procuratore Karim Khan, impedendogli di accedere alle proprie mail e documenti, e obbligandolo a passare ai servizi della realtà svizzera Proton. 

Il rischio è, insomma, concreto. E abbiamo già esempi pratici. 

I server in UE non bastano: servono realtà di diritto europeo per garantire privacy e continuità del business

Sebbene a lungo i rappresentanti degli hyperscaler USA abbiano sostenuto che appoggiarsi a server fisicamente posizionati in UE fosse sufficiente, è evidente che la realtà è differente. Ma come si può uscire dall'empasse, oltre che potenziando le infrastrutture cloud controllate dall'UE? Alcune realtà, fra cui Broadcom, hanno scelto un approccio diverso per assicurarci che VMware Cloud Foundation 9, che verrà usato anche per mettere in piedi infrastrutture di IA, possa garantire una vera sovranità sui dati ai clienti europei.

Secondo l'approccio di Broadcom i dati non solo devono risiedere su server presenti in Europa, ma bisogna assicurare che solo le autorità europee avranno giurisdizione su di questi. Per farlo, sono necessarie entità europee, totalmente separate dalla dalla casa centrale, che rispondono solo alle norme europee, e non devono quindi ottemperare a eventuali ordini del governo USA. In pratica, server fisicamente posizionati in Europa, gestiti da personale che opera all'interno di imprese residenti nell'UE. Garantendo maggiore sicurezza e totale conformità alle norme UE. Oltre a questo, le chiavi crittografiche rimangono di proprietà dei clienti, che quindi saranno gli unici ad avere modo di decifrare i propri dati.

Con VFC9, Broadcom mette a disposizione dei propri clienti uno stack completo per realizzare infrastrutture di cloud sovrano. 

Un approccio che quindi garantisce continuità del business e totale privacy, indipendentemente dai possibili capricci dell'amministrazione USA, oltre che la conformità con le più stringenti norme europee sulla gestione dei dati sensibili. 

Un aspetto fondamentale, soprattutto in un periodo in cui l'IA sta guidando gli sviluppi tecnologici e di business, e in cui i dati sono sempre più centrali nelle strategie aziendali e governative.