Le architetture software cloud-native promettono di rispondere ai requisiti di flessibilità e scalabilità richiesti alle moderne applicazioni aziendali, grazie alle capacità di trarre il massimo vantaggio dalle risorse di cloud privato, pubblico e ibrido disponibili, oltre che dal supporto delle tecnologie per container, microservizi, funzioni serverless e delle logiche dichiarative nel provisioning dei servizi.
Modernizzare le applicazioni in logica cloud native non basta per ottenere più efficienza e flessibilità dall’IT se non si automatizzano le operazioni di gestione generale dei processi e del modello di deployment a container. Lo sviluppo del nuovo software a microservizi comporta infatti un aumento esponenziale del numero di oggetti da gestire, accompagnato dall’ulteriore necessità di sfruttare al meglio i servizi offerti dai provider. Laddove nel passato le componenti in gioco erano due, l’applicazione monolitica e il server, oggi ci sono decine di microservizi su infrastrutture d’esecuzione distribuite gestite attraverso codice e template dichiarativi. Non è raro che in un singolo deploy siano coinvolte centinaia di risorse: dal deployment dei container nei cluster Kubernetes alle componenti di networking virtuale, servizi di load balancing e regole per garantire la security. “Un numero di entità che può essere affrontato solo attraverso la standardizzazione delle operazioni e l’automazione”, afferma Andrea Mercanti, Cloud Native Advocate di Storm Reply. A Mercanti abbiamo chiesto di spiegarci nel dettaglio come cambiano i processi IT negli ambienti cloud native e come incide l’automazione su deploy e sicurezza.
L’automazione a supporto delle pipeline di produzione e del modello di deployment a container
Provisioning delle risorse infrastrutturali per nuovi progetti, messa in produzione di applicazioni a microservizi, deployment in container in ambienti on premise in cloud e ibridi si semplificano oggi con l’automazione. “Cominciando dalla standardizzazione dei processi per i deploy applicativi, la gestione delle pipeline di delivery in produzione, le azioni di rollback oltre che per le reazioni ad allarmi e guasti comuni. – precisa Mercanti – Un’automazione ben fatta semplifica le operazioni che nel passato richiedevano azioni specifiche per ogni applicazione e l’intervento di persone specializzate”.
Attraverso la standardizzazione delle pipeline di continuous integration e continuous delivery (CI/CD) si riesce a ottenere un ambiente omogeneo dove è più semplice individuare i problemi, risolverli, raccogliere i feedback dagli utenti per il miglioramento continuo dei servizi. L’automazione dei task di risposta agli allarmi comuni permette di ridurre l’onerosità della gestione: “Per esempio, se di notte si verifica una segnalazione d’intrusione, l’automazione può disconnettere il sistema, segregarlo in una security zone dove potrà essere analizzato con calma il mattino successivo”. Standardizzazione e automazione devono riguardare anche il controllo dei costi: “Con l’uso dei servizi in cloud è importante pensare a questo aspetto fin dall’inizio – spiega Mercanti –, se non lo si fa, il costo dei servizi rischia di esplodere”. È importante che diventi parte integrante delle operation: “L’uso di template standardizzati per i servizi permette di avere infrastrutture resilienti, scalabili, con costi ottimizzati e prevedibili”, precisa Mercanti.
Come funziona l’approccio alla sicurezza con il policy-as-a-code
Garantire la sicurezza delle applicazioni cloud native, che utilizzano il modello di deployment a container è più complesso rispetto agli ambienti legacy. “Il cloud permette di creare, con pochi click, complete infrastrutture virtuali dove è facile trascurare qualcosa che riguarda la sicurezza”, spiega Mercanti.
Per non lasciare alla ventura un aspetto così importante, serve standardizzare i processi di controllo su ciò che viene prodotto nelle pipeline di CI/CD. Un aspetto dell’automazione consiste infatti nella verifica che quanto creato rispecchi le best practice e le policy specifiche per l’azienda. “Un task importante da automatizzare è la verifica che i deploy fatti siano conformi con le policy – precisa Mercanti –. Questo si ottiene grazie all’applicazione della metodologia di policy-as-a-code, per cui nel cloud-native non solo l’infrastruttura diventa codice, ma anche le policy per la sicurezza”.
Strumenti come AWS Config, HashiCorp, Sentinel per Terraform e altri permettono di automatizzare i controlli che altrimenti andrebbero eseguiti manualmente da un team di security, studiando faldoni di documenti descrittivi dell’architettura hardware, del software, delle porte usate, delle modalità di comunicazione, accesso alle virtual machine (VM) e così via. Nel caso vengano aggiunte nuove applicazioni o appaiano nuove minacce informatiche, basterà modificare il contenuto delle policy-as-a-code e risulteranno aggiornati i controlli di sicurezza integrati nei processi automatizzati della pipeline CI/CD. “L’automazione applicata alle policy di security non solo elimina i tempi morti per i check di security, ma evita l’errore umano nel controllo di decine di policy su centinaia di componenti diverse”, precisa Mercanti.
Il deploy delle applicazioni cloud-native nella pratica: un caso reale
Poiché la modernizzazione dei processi IT è onerosa e ha effetti sull’organizzazione, è importante che i progetti di cambiamento abbiano un forte sostegno da parte della dirigenza. “Con le logiche cloud-native non si possono riutilizzare le procedure consolidate per l’on premise, ma si deve progettare una diversa automazione – spiega Mercanti –. Non serve una soluzione definitiva, ma almeno che sia prevista nei progetti di aggiornamento applicativo. Il rischio è ritrovarsi in produzione con software zombie, creati senza alcun metodo e sui quali è rischioso e costoso mettere le mani”.
Un progetto d’automazione della pipeline di produzione e container deployment è stato realizzato da Storm Reply per un’azienda di servizi di identità digitale, già molto avanti nell’adozione del cloud e dei software a microservizi. “Le nuove logiche avevano creato problemi di gestione – spiega Mercanti –. Per questa azienda abbiamo realizzato non solo la pipeline CI/CD, ma anche un supporto di automazione end-to-end, dall’onboarding dei nuovi progetti in cloud al deploy”. L’automazione aiuta il team di sviluppo a creare nel cloud le sandbox e gli ambienti di deploy che servono ai progetti, tenendo conto dei ruoli delle persone, dell’utilizzo delle risorse e degli interventi su repository e altre componenti del processo di CI/CD. “Nella soluzione, l’automazione collega più di 150 entità diverse – continua Mercanti –. Le attività di provisioning delle risorse che nel passato potevano richiedere anche sei mesi sono oggi realizzate in un paio di giorni, grazie anche all’integrazione con i processi d’approvazione dell’azienda”.
