Dati sempre con noi a portata di cloud
Per la comunità della ricerca arriva GARRbox: un servizio sicuro e facile da utilizzare per archiviare, condividere e sincronizzare i dati
C’erano una volta i floppy disk… e prima ancora altri ingombranti strumenti per memorizzare i dati. La realtà di oggi è profondamente diversa e anche la chiavetta USB sembra ormai superata: i documenti diventano sempre più immateriali, tanto da poter viaggiare in rete con maggiore facilità. L’esigenza di ricercatori, docenti e studenti è quella di avere il dato sempre aggiornato, a portata di mano e sincronizzato con vari dispositivi, nonché di condividerlo semplicemente. Da qui il grande successo dei servizi di “personal storage” che usano la cloud, e quindi la rete.
Le maggiori preoccupazioni di fronte a questi servizi sono sui livelli di garanzia della privacy e di protezione dei nostri dati, che sono archiviati in qualche punto della rete, ma senza che sia possibile sapere dove di preciso. Per dare una risposta a queste domande è stato sviluppato GARRbox, il primo servizio di cloud storage riservato agli utenti della comunità italiana dell’istruzione e della ricerca e che garantisce che le risorse siano mantenute su server GARR localizzati nel nostro Paese. Il servizio, ideato da Massimo Carboni, responsabile dell’infrastruttura e dei servizi di supporto del GARR, è stato progettato a partire da esigenze specifiche espresse dalla comunità della ricerca italiana: avere una piattaforma della quale ci si possa fidare, conoscere la collocazione dei dati e soprattutto avere la certezza che i contenuti siano tutelati e non vengano usati per altri fini. Per conoscere meglio tutte le caratteristiche di GARRbox abbiamo intervistato Fabio Farina che ha guidato il team di sviluppo del servizio.
Fabio Farina
Consortium GARR
Sviluppo di servizi cloud
Il tema della sicurezza dei dati sembra essere il punto principale di forza di GARRbox. Quali sono le caratteristiche principali che lo differenziano dalle altre piattaforme esistenti?
GARRbox offre funzionalità analoghe a quelle che è possibile trovare sui principali servizi di storage cloud commerciali come Dropbox, Google Drive, iCloud, solo per citarne alcuni. Però ha alcune caratteristiche che lo distinguono in modo importante per la protezione dei dati: mantiene le proprie risorse sul territorio nazionale, i dati quindi restano in Italia e la loro tutela è regolamentata dalle nostre leggi. Gli utenti inoltre si registrano al servizio tramite la Federazione di identità digitali IDEM e questo è una garanzia sulla veridicità dell'identità dell'utente perché esso viene autenticato e autorizzato dalla propria organizzazione di appartenenza.
Dentro GARRbox: le tecnologie usate
GARRbox si basa sullo stato dell’arte delle tecnologie cloud infrastrutturali e su codici per la maggior parte “aperti”. È stato utilizzato OpenStack per la gestione delle risorse di calcolo e la connettività interna al servizio, GlusterFS per la gestione dello storage, own- Cloud con supporto commerciale per le funzionalità di base di interfaccia. Oltre a questi moduli, è stato sviluppato ad hoc un modello di autorizzazione e automazione dei workflow principali.
I dati poi sono memorizzati in forma cifrata, e solo gli utenti proprietari, grazie ad un secondo livello di credenziali di cifratura, possono vederne i contenuti. Queste caratteristiche, normalmente, non sono presenti nella maggior parte degli storage cloud commerciali. Inoltre, il servizio è gestito e mantenuto dallo staff GARR, quindi in un certo senso è degli utenti che fanno parte della comunità.
Da quali esigenze è nato il servizio?
Il servizio nasce da una richiesta specifica avanzata dal Ministero della Salute all'interno di un accordo quadro con GARR. Occorreva un servizio che fosse in grado di memorizzare dati di ricerca in modo sicuro e affidabile, ma che fosse di utilizzo immediato. I requisiti erano piuttosto semplici: la possibilità di effettuare su un sistema accessibile in rete sia l’upload che il download di file, la sincronizzazione dalle postazioni personali di lavoro, l’accesso da dispositivi mobili e la condivisione dei contenuti in modo semplice.
Come è stato sviluppato il servizio, quali fasi ci sono state?
La sperimentazione
ETTORE VIRZÌ • Area Sistemi Informativi Università degli Studi di Milano-Bicocca
Siamo stati molto contenti di contribuire al miglioramento del servizio GARRbox. Negli ultimi 4-5 mesi abbiamo lavorato al fianco degli sviluppatori del GARR, evidenziando criticità, proponendo soluzioni e correzioni. Abbiamo apprezzato la velocità con cui i nostri feedback sono stati recepiti e messi in pratica. Quella dello spazio storage personale è un’esigenza molto sentita tra i ricercatori che già abitualmente usano le piattaforme esistenti sul mercato. Gli aspetti che hanno riscosso il maggior successo sono stati l’autenticazione con IDEM, la possibilità di tenere traccia delle varie versioni dei file e la facilità di condivisione con gruppi di persone. In questo caso poi, trovare già in lista il nome del collega con cui condividere il documento ti fa sentire a casa e parte di una comunità. Penso sia questo il vero valore aggiunto di GARRbox e che lo differenzia da altre piattaforme che danno minori garanzie sul trattamento dei contenuti.
La prima analisi delle funzionalità del servizio risale a fine 2012. Abbiamo svolto un'indagine approfondita delle tecnologie relative e nel 2013 abbiamo realizzato un prodotto pilota che è stato utilizzato per circa sei mesi dal personale GARR. Facendo tesoro dell’esperienza del proto-servizio e delle indicazioni degli utenti, siamo passati alla realizzazione di un servizio più maturo,di cui la prima versione stabile è arrivata a giugno 2014. Questa è stata provata da un gruppo di utenti composto dai dipendenti GARR e da personale dell’Area Sistemi Informativi dell'Università degli Studi di Milano-Bicocca. Ovviamente lo sviluppo non si ferma e continueremo a raccogliere le segnalazioni e le richieste degli utenti per migliorare il sistema attraverso versioni successive ad intervalli regolari.
Quali sono stati gli aspetti più difficili da risolvere?
Abbiamo avuto la capacità (o la fortuna) di individuare immediatamente il modello architetturale giusto per GARRbox. E questo ci ha permesso di ridurre significativamente lo sforzo sistemistico durante lo sviluppo delle evoluzioni del servizio. Le maggiori difficoltà a mio avviso sono state legate a garantire gli elevati standard di sicurezza che il servizio ora possiede. In particolare, capire come far interagire le funzionalità di cifratura dei dati con il modello di identità federata (per il quale le credenziali degli utenti non viaggiano mai in rete) ha richiesto varie iterazioni di progettazione e realizzazione. Pensiamo di essere ad un buon punto e abbiamo coinvolto gli esperti di crittografia di ownCloud per portare la nostra proposta nel codice open source dello strumento.
Esistono, nella comunità della ricerca, altre esperienze di questo genere?
GARRbox non è un’attività isolata, esistono differenti strumenti analoghi realizzati in Italia e in Europa. In particolare, altre reti della ricerca, istituti come il CERN e alcuni grandi atenei hanno scelto di realizzare i propri servizi basandosi sulla piattaforma open source di ownCloud. Questo sta ponendo le basi per la creazione, a livello internazionale, di uno standard aperto di interoperabilità tra i diversi sistemi di personal storage cloud. In GARRbox la differenza principale è la cosiddetta “multi-tenancy”, ovvero ogni ente ha un proprio spazio di archiviazione per i dati dedicato e quindi l’accesso è riservato. GARRbox è in grado di gestire differenti domini amministrativi e rappresenta la soluzione ideale per una comunità ampia e multidisciplinare. Inoltre la gestione delle risorse storage è personalizzabile, per adattarle alle esigenze dei singoli utenti e dell’ente di cui fanno parte.
Chi può utilizzare il servizio? A chi si deve rivolgere chi è interessato?
GARRbox è indirizzato alle organizzazioni che fanno parte della rete GARR, sono esse che possono richiedere il servizio indicando la quantità di spazio di archiviazione che desiderano avere e il numero di utenti che potranno usarlo. L’organizzazione che lo richiede sottoscriverà con GARR uno specifico accordo con le condizioni tecniche ed economiche per la fruizione del servizio. Una volta attivato il servizio, saranno le singole organizzazioni a gestire i permessi per i propri utenti. Ad oggi, GARRbox è già disponibile per gli Istituti di Ricovero e Cura a Carattere Scientifico (IRCCS) e gli Istituti Zooprofilattici Sperimentali (IZS), che sono i protagonisti dell'accordo con il Ministero della Salute citato in precedenza. Per garantire la massima sicurezza, la condizione tecnica indispensabile per accedere al servizio è che l’ente sottoscrittore abbia un Identity Provider per la gestione delle identità digitali che faccia parte della Federazione IDEM. Per gli enti che non hanno ancora un Identity Provider federato con IDEM, è possibile usare il servizio GARR “IdP in the Cloud”, che permette di entrare nella Federazione con pochi passi amministrativi senza dover approfondire gli aspetti tecnici necessari che vengono gestiti dal servizio. Gli enti interessati ad avere maggiori informazioni sul servizio e sui costi relativi possono contattare GARR all’indirizzo:
Identità digitale e IdP in the Cloud
Un’identità digitale è una “patente” che consente l’accesso a molteplici risorse e servizi attraverso le credenziali rilasciate dall’ente di appartenenza. La Federazione IDEM garantisce standard comuni e una catena di “fiducia” tra le organizzazioni che ne fanno parte. Con questo sistema si semplifica e si rende più sicura l’attività online dell’utente ed allo stesso tempo si riduce il lavoro di gestione delle credenziali a carico di chi offre servizi. Infatti solo l’organizzazione di appartenenza dell’utente detiene le sue informazioni personali senza la necessità di replicarle in numerosi database. Per le organizzazioni che non hanno le risorse hardware o di personale per gestire in proprio un sistema di gestione delle identità digitali (Identity Provider) è stato sviluppato il servizio IdP in the Cloud, che demandando gli aspetti tecnici alla gestione di GARR, permette agli enti di non doversi dotare di una infrastruttura tecnologica ma di limitarsi alla sola gestione amministrativa delle identità degli utenti.