Cloud, open source e sicurezza

Parrebbe che l’NSA punti a sviluppare un progetto di cloud Open Source. Credo che sia un’ottima notizia, nella speranza che ne risulti un progetto analogo a SELinux. Il cloud ha bisogno di sicurezza “seria”, e l’NSA è quella che può portare sicurezza seria e usabile. Sia chiaro, io non penso che SELinux sia molto “usabile” (in un sistema general purpose è già impegnativo Apparmor), ma la differenza è che SELinux deve scontrarsi con un sistema general purpose, mentre un sistema cloud è un contesto molto più semplice (in termini di sicurezza), uniforme e controllato, e applicare dei meccanismi di sicurezza adeguati dovrebbe essere molto più fattibile. La sicurezza sembra che sia la principale preoccupazione per l’utente del cloud; dico sembra, perché sembra una preoccupazione di poco impatto concreto, tutta parole ma senza che ne vengano tratte conseguenze di alcun tipo, una semplice attesa che un deus ex machina risolva i problemi.  Potrebbe però non essere una preoccupazione per il fornitore (grazie Fabrizio); il che è normale quando si parla di sicurezza: dato che “non si vede”, il fornitore è portato a trattarla come un costo e un problema di immagine, più che come un requisito effettivo; in questo caso, non sembra neanche essere considerato un vantaggio competitivo, il che conferma che le preoccupazioni di sicurezza degli utenti sono più che altro a parole. È qui che l’apporto di un progetto open source finanziato da una PA per affrontare le proprie esigenze si può trasformare in un grosso vantaggio per la collettività. Una logica quindi simile al rapporto fra NASA e OpenStack, e magari prima o poi i due progetti potrebbero trovare una sinergia… ma non bisogna dimenticare che la partita del cloud, nonostante le “preoccupazioni” per la privacy, si giocherà sull’affidabilità e le prestazioni (e quindi i costi), e tutto il resto sarà in secondo piano.