IAAS
In breve
Lei noleggia l’equivalente di un terreno libero e delle relative fondamenta: macchine virtuali, spazio di archiviazione, rete. Le viene fornita la materia prima e lei gestisce tutto ciò che vi costruisce sopra.
▶ Definizione precisa
Infrastructure as a Service, secondo la definizione del NIST (SP 800-145). Il fornitore mette a disposizione le risorse di base virtualizzate: macchine virtuali, storage a blocchi o a oggetti, rete virtuale, firewall. Il cliente mantiene il controllo su tutto il resto: sistema operativo, middleware, ambienti di esecuzione, dati e applicazioni. Esempi: EC2 (AWS), Compute Engine (Google), vSphere e Cloud (VMware), Dedibox ed Elements (Scaleway).
La nostra analisi
L’IaaS rappresenta il livello più elementare, nonché quello in cui il margine di controllo del cliente è maggiore. Siete voi a scegliere il sistema, le versioni, la configurazione di rete e il metodo di crittografia. Sulla carta, si tratta del livello che garantisce la massima autonomia possibile, poiché nulla di ciò che opera al di sopra della macchina dipende dal fornitore. La parola chiave è «possibile».
Possibile, perché il controllo tecnico non modifica il vincolo giuridico. Se il fornitore che gestisce l’infrastruttura di base è soggetto a una giurisdizione straniera, può essere costretto a interrompere l’accesso o a consegnare i dati, indipendentemente dalla qualità di ciò che il cliente ha costruito su di essa. La sovranità di un IaaS non si evince dal livello di servizio, ma dalla legislazione a cui è soggetto l’operatore.
Da qui deriva una frequente confusione nelle aziende francesi: credere che possedere il proprio stack applicativo sia sufficiente per essere sovrani. Non è sufficiente. Se l’elaborazione avviene su un IaaS soggetto al CLOUD Act, lo stack interno non modifica in alcun modo tale esposizione. Il codice rimane di vostra proprietà; l’accesso, invece, dipende da chi gestisce la macchina e dalla legislazione a cui è soggetto.