Real Cloud, Fake Cloud, e il Computer di Qualcun Altro: Sopravvivere alle Mostruosità del Mercato

Introduzione: Ma Non Eravamo Tutti sull'AI?

Parliamoci chiaro: nel 202X (o quando diavolo state leggendo), mettersi qui a disquisire sulle differenze basilari tra le varie offerte "cloud" ha un sapore quasi... vintage. L'universo tech è in pieno delirio da Intelligenza Artificiale, ogni startup sembra nascere con un .ai nel dominio e ogni conferenza è un tripudio di LLM, prompt pipe-engineer-dreaming (un po' pipeline, un po' sogno, un po' unicorno, sicuramente tutta fuffa) e reti neurali che promettono di risolvere pure il traffico sulla tangenziale. E noi? Noi siamo qui a chiederci se quella roba che ci vendono è davvero cloud (viva la consistenza).
Sembra anacronistico? Forse. È inutile? Assolutamente no. Anzi, è proprio questo il punto. 
Mentre tutti corrono come criceti impazziti sulla ruota dell'ultima buzzword, ci si dimentica (colpevolmente) delle fondamenta. E indovinate un po' dove girano la maggior parte di quegli algoritmi AI così affamati di dati e cicli di CPU/GPU? Esatto. Su infrastrutture che dovrebbero essere cloud. Ma spesso, non lo sono.
La scintilla per questo sfogo (chiamarlo articolo, suona troppo pomposo) è nata durante una delle solite chiacchierate – fatte più di sguardi complici che di parole, per non disturbare lo speaker di turno – con un manipolo di colleghi IT (manager? architetti? gente che dovrebbe sapere). Ed è riemersa la solita, sconfortante verità: il termine "cloud" è talmente abusato, stiracchiato e violentato dal marketing da aver perso quasi ogni significato. Viene appiccicato come un adesivo promozionale su qualsiasi cosa abbia una presa di rete e un indirizzo IP.
Quindi, cosa diavolo ci stanno vendendo dietro la giacca firmata (o la felpa col cappuccio, fa più startup), lo zainetto di pelle (obbligatorio) e le slide più luccicanti di una palla da discoteca, spesso presentate con la dialettica di chi cerca di piazzarti un depuratore d'acqua?
Questo pezzo è un tentativo di mettere un po' d'ordine nel caos, una sorta di guida di sopravvivenza per non farsi infinocchiare. Se pensate che "cloud" sia solo "il computer di qualcun altro" o se siete convinti che basti migrare una VM su AWS per aver "fatto la trasformazione digitale", potete anche chiudere qui e tornare a giocare con ChatGPT. Per tutti gli altri, quelli che magari praticano l'arte del "the quieter you become the more you are able to hear" – quelli che cercano di sentire la stonatura sotto la musica del marketing – iniziamo a distinguere il fumo dall'arrosto (spoiler: c'è un sacco di fumo).
L'artista Berndnaut Smilde fa apparire le nuvole in luoghi inaspettati... almeno lui non lavora nell'IT

Le Definizioni Ufficiali (La teoria che dovremmo ricordare)

Per amor di precisione (e per poter poi sbeffeggiare meglio le deviazioni), ricordiamo cosa dovrebbe essere il cloud secondo il NIST, l'ente che cerca di mettere paletti in questo Far West (... io vorrei farvi vedere il mondo dei prodotti Finance, quanto abuso di "Cloud"):
  • IaaS (Infrastructure as a Service): I mattoncini LEGO fondamentali. CPU, RAM, storage, reti. Ti danno l'hardware (virtuale), ma OS, middleware, patch, applicazioni... sono cavoli tuoi. Massima flessibilità, massima responsabilità. (Es. AWS EC2, Azure VMs, Google Compute Engine).
  • PaaS (Platform as a Service): Un livello sopra. Ti forniscono l'ambiente pronto all'uso per sviluppare e deployare: OS gestito, database gestiti, runtime, message queue... Tu ci metti il codice e configuri. Meno sbattimenti infrastrutturali, ma sei più legato alla piattaforma (ciao lock-in, ci vediamo dopo). (Es. Heroku ai tempi d'oro, Google App Engine, Azure App Service, AWS Elastic Beanstalk).
  • SaaS (Software as a Service): Il pacchetto "chiavi in mano" (o quasi). Usi il software via browser o API, dell'infrastruttura sottostante non sai (e spesso non ti importa) nulla. Comodità massima, controllo minimo. (Es. Salesforce, Microsoft 365, Google Workspace, la qualunque cosa con subscription mensile).
Belle, vero? Pulite, ordinate. Peccato che la realtà sia un po' più... disordinata. Ed è qui che nascono le categorie non ufficiali, quelle che incontriamo tutti i giorni, nel Vietnam del mercato dei fuffaguru:

Categoria 1: Il "Computer di Qualcun Altro" (aka Hosting Glorificato con Sticker "Cloud")

La base della fuffa. Un server (fisico o, più spesso, una VM) accessibile da remoto. Utile? Certo, lo usiamo da decenni. È cloud? Nemmeno per sogno. Eppure, quanti provider ti affittano la solita VPS (Virtual Private Server – già il nome è un ossimoro a volte), magari con Plesk o cPanel preinstallato (wow!), la chiamano "Cloud VM" o "Business Cloud Server" e ti presentano un conto che fa impallidire un IaaS vero?
Perché non è cloud? Dov'è l'elasticità vera (pago solo ciò che consumo davvero, scalo su e giù in automatico o via API)? Dov'è il self-service reale (provisioning e deprovisioning istantaneo via API)? Dov'è l'alta disponibilità by design (non "speriamo che il ferro non si rompa")? Non ci sono. Paghi un canone fisso (o quasi) per risorse fisse. È hosting, punto.
L'inganno sta nel prezzo sproporzionato rispetto ai benefici (inesistenti) del cloud. La red flag gigante? L'evasività. Fate domande "tecniche" precise: 
  • "Dove sono fisicamente i data center?", 
  • "Che tecnologia di virtualizzazione usate (KVM, Xen, VMware)?", 
  • "Come è gestita la ridondanza storage e di rete?", 
  • "Avete API per gestire l'infrastruttura?", 
  • "Che livello di assurance ho sulla gestione dell'infrastruttura?", 
  • "Quali sono gli SLA veri sul downtime?"
Se la risposta è vaga, imbarazzata, o un laconico "passo la sua domanda al mio interno"... ecco, quella non-risposta è la vostra risposta. Stanno vendendo fumo. Nella migliore delle ipotesi vi arriverà una slide striminzita con poche "freccette" e/o  uno statement interno dove, guarda caso, la "liability" finisce tutta sulle vostre spalle.

Categoria 2: Il "Fake Cloud" (aka Cloud Washing come se piovesse)

Qui l'arte della mistificazione si raffina. Il marketing si fa aggressivo, le parole chiave diventano più tecniche: virtualizzazione spinta, container (Docker! Kubernetes!), orchestrazione! Sembra tutto meravigliosamente moderno. Poi, gratti la patina lucida e cosa trovi? Spesso, implementazioni raffazzonate dove sotto Kubernetes girano VM monolitiche che richiedono le stesse patch, le stesse manutenzioni programmate (con downtime annesso) e le stesse preghiere dei sistemi on-premise.
A volte il "capolavoro" consiste nel prendere il tuo vecchio hardware e spostarlo fisicamente nel loro data center ("lift and shift", lo chiamano i fighi) e magicamente... ecco il tuo "Private Cloud"! Peccato che di cloud-native non ci sia nulla. Niente autoscaling intelligente, niente infrastruttura immutabile, niente gestione infrastructure-as-code spinta (o no).
Il campanello d'allarme? Chiedete: 
  • "Ok, Kubernetes gestito, bello. Ma cosa succede quando dovete aggiornare la versione di K8s o l'OS dei nodi worker? C'è downtime per le mie applicazioni? Come viene gestito il processo? Posso controllarlo?". Oppure: 
  • "Come funziona esattamente l'autoscaling? Su quali metriche? Posso personalizzarlo?". 
Se le risposte sono fumose, se parlano di "garantire un numero fisso di risorse" o se il processo di upgrade sembra un intervento a cuore aperto, probabilmente siete nel regno del Fake Cloud. Stanno usando terminologia moderna per vendere pratiche obsolete.

Categoria 3: Il "Real Cloud" (Bello, Bellissimo... Ma Sai Guidarlo?)

E finalmente, arriviamo al cloud vero. 
Quello dei grandi provider (AWS, Azure, GCP, Oracle? e pochi altri, siamo onesti) o di qualche offerta di nicchia ben fatta. Qui l'elasticità è reale, il pagamento a consumo (se ben gestito) pure. 
Le API sono sovrane, il self-service è la norma. IaaS, PaaS, SaaS convivono e offrono un potenziale enorme. Infrastrutture che scalano globalmente, servizi serverless, database gestiti che si auto-riparano, AI/ML integrati... un parco giochi per ingegneri (e per il business, se usato bene). L'IT smette di essere un freno e diventa (potenzialmente) un acceleratore. È davvero passare dalla Punto alla Tesla.
MA. (Sapevate che arrivava, vero?). 
La Tesla è un gioiello di tecnologia, ma non si guida da sola (non ancora, e forse è un bene) e soprattutto richiede un pilota capace (e attento ai costi!). Il Real Cloud è potente, ma intrinsecamente complesso. La domanda cruciale qui non è se è cloud, ma: 
  • "Come diavolo lo governo?"
  • "Bello l'autoscaling, ma come lo imposto per non ricevere una bolletta che mi costi un rene alla fine del mese (il famoso bill shock)?"
  • "Fantastici i log centralizzati, ma come imposto alert utili e non rumore di fondo?"
  • "Ok, mille servizi disponibili, ma quale combinazione è davvero ottimale per la mia applicazione in termini di costi, performance e resilienza?"
  • "Come gestisco la sicurezza in questo ambiente distribuito e dinamico? Il modello di responsabilità condivisa (Shared Responsibility Model) l'ho capito davvero o sto solo sperando che il provider faccia tutto lui?"
Il problema? Molti vendor (e partner) sono bravissimi a venderti la potenza di fuoco dell'infrastruttura, ma molto meno trasparenti o d'aiuto sulla parte cruciale: l'architettura applicativa e la configurazione fine. 
Quella è "roba tua". E se non hai le competenze interne (o un partner veramente bravo e onesto), rischi di:
  • Sovra-provisionare risorse: Pagando un sacco di soldi per potenza che non usi (la Tesla usata per andare a fare la spesa al supermercato dietro l'angolo).
  • Sotto-provisionare risorse: Con performance imbarazzanti o downtime quando il carico aumenta.
  • Configurare male la sicurezza: Lasciando buchi grandi come crateri.
  • Ignorare l'ottimizzazione dei costi: Bruciando budget senza controllo.
Un Cloud Engineer/Architect serio si vede da come progetta per la crescita e per il controllo dei costi, da come imposta un monitoraggio significativo (non le vanity metrics della console) e da come abilita il vero self-service per i team di sviluppo, automatizzando tutto l'automatizzabile. Perché altrimenti, ti ritrovi a fare il SysAdmin con strumenti più fighi (e costosi), ma sempre SysAdmin rimani. Hai comprato la Tesla per poi rimpiangere la Punto perché almeno sapevi dove mettere le mani.

Categoria 4: Il "Cloud 41-bis" (aka La Gabbia Dorata)

Questa è forse la variante più subdola e dolorosa a lungo termine. Prendi un'applicazione, magari anche ben scritta, e invece di lasciarla libera di sfruttare la potenza generica del cloud (IaaS o PaaS standard), la incateni mani e piedi a servizi iper-specifici e proprietari di un singolo provider.
Il tuo codice, che potrebbe girare quasi ovunque con pochi adattamenti, si ritrova a dipendere da quel database NoSQL con API creative, da quella message queue esoterica, da quel servizio di identity management che parla solo il dialetto del vendor. Il risultato? Lock-in totale. Sei in una gabbia. Magari dorata (all'inizio sembra tutto facile e veloce), ma pur sempre una gabbia.
Spesso questi "ecosistemi" vengono venduti come acceleratori, soluzioni "tutto compreso" per evitare la complessità del Real Cloud. In realtà, stai barattando la libertà e la flessibilità futura per una (presunta) comodità immediata. Migrare diventa un incubo tecnico ed economico, a volte semplicemente impossibile.
Attenzione: usare servizi PaaS o SaaS specifici non è il male assoluto. Ma bisogna farlo con consapevolezza, capendo il trade-off. Un conto è scegliere consapevolmente un database gestito per le sue feature uniche, sapendo che ti stai legando; un altro è farsi imporre un'intera architettura proprietaria che ti preclude qualsiasi alternativa. Il tuo IaaS (se lo usi) deve rimanere uno strato flessibile, non diventare la base per costruire il tuo Fort Knox personale (del vendor).

Il Fantasma del Lock-in (Che Aleggia Ovunque)

E questo ci porta al tema trasversale: il Vendor Lock-in. Non è una categoria a sé, ma un veleno che può insinuarsi in tutte le forme di cloud (persino nell'hosting glorificato, se usi pannelli di controllo proprietari o servizi aggiuntivi specifici).
I vendor (tutti, nessuno escluso) cercano di legarti a sé. È il loro mestiere. Lo fanno con:
  • Servizi unici e proprietari: Difficili o impossibili da replicare altrove.
  • API specifiche: Che richiedono riscrittura del codice per cambiare provider.
  • Tool di gestione e monitoring integrati: Comodi, ma ti abituano a lavorare solo nel loro ecosistema.
  • Costi di egress dei dati: A volte esorbitanti, rendendo costoso portare via i tuoi dati.
  • Sconti basati sulla fedeltà o sul volume: Che ti incentivano a consolidare tutto su un unico provider.
Ripeto: non è necessariamente "male". A volte i benefici di un servizio specifico superano il rischio del lock-in. Ma la decisione deve essere consapevole. Devi chiederti prima: 
"Quanto mi sto legando? Qual è il costo/sforzo per migrare se un domani volessi/dovessi farlo? Ho alternative? Ho una strategia di uscita?".
Quindi, Che Si Fa? Diventate Paranoici (Ma Informati)
Se siete arrivati fin qui senza addormentarvi o lanciare il portatile dalla finestra, forse un po' di speranza c'è. Il consiglio?
Siate scettici. Mettetevi il cappello da detective (o da CISO paranoico, che è quasi la stessa cosa). Non bevete il Kool-Aid del marketing.

Scavate

Fate domande. Tante. Precise. Tecniche. E non accontentatevi di risposte vaghe. Ascoltate non solo quello che dicono, ma come lo dicono, cosa non dicono, dove esitano. I dettagli sono tutto. Non volete "sporcarvi le mani" con la tecnologia? Auguri. In alternativa pagate qualcuno davvero bravo per farlo, ma pretendete di capire cosa state comprando.
Ecco una checklist minima (da adattare e approfondire) per iniziare a smascherare la fuffa:
  • Trasparenza Tecnica: Dove sono i data center? Che hardware/software usano (virtualizzazione, storage, rete)? Forniscono accesso a log dettagliati dell'infrastruttura? Hanno API complete per tutto (o almeno tutto quello che mi serve)?
  • Elasticità Reale: Come funziona davvero lo scaling (automatico/manuale)? Su quali metriche? È istantaneo? I costi scalano anche verso il basso in modo proporzionale quando il carico diminuisce?
  • SLA Chiari e Verificabili: Quali sono le garanzie reali di uptime (e come vengono misurate)? Cosa succede (penali?) se non vengono rispettate? Coprono solo l'infrastruttura o anche i servizi gestiti?
  • Sicurezza e Compliance: Come gestiscono la sicurezza fisica e logica? Hanno certificazioni rilevanti (ISO 27001, SOC 2, etc.)? Come gestiscono patch e vulnerabilità? Il modello di responsabilità condivisa è chiarissimo? Avete controllo voi sugli accessi e sulle policy? I dati dove risiedono fisicamente (GDPR & co.)?
  • Costi Nascosti (Hidden Costs): Il prezzo è davvero tutto compreso? Ci sono costi aggiuntivi per traffico di rete (soprattutto egress), API call, storage IOPS, supporto tecnico (che non sia solo aprire un ticket)? Chiedete esempi di fatture dettagliate.
  • Strategia di Uscita (Exit Strategy / Lock-in): Quanto sarebbe complesso/costoso migrare dati e applicazioni altrove? Usano standard aperti o tecnologie proprietarie? Ci sono vincoli contrattuali sulla durata o penali per uscita anticipata?
  • Gestione (Self vs Managed): Il livello di gestione è chiaro? Se è "managed", quanto controllo/visibilità avete? Potete scegliere quali parti gestire voi e quali delegare? Se è "self-service", quali strumenti e supporto vengono forniti?

Conclusione

Prima le Basi, Poi l'Hype
In quest'epoca in cui l'AI sembra la risposta a qualsiasi domanda (anche a quelle non poste), è facile dimenticarsi che ogni algoritmo complesso, ogni modello addestrato su petabyte di dati, ha bisogno di fondamenta solide su cui poggiare. E quelle fondamenta, oggi, sono (o dovrebbero essere) il cloud.
Se ancora inciampiamo nel distinguere un vero IaaS da un hosting con lo sticker, se ancora ci facciamo abbindolare dal "cloud washing", se non abbiamo capito come governare la complessità (e i costi) del "Real Cloud", come possiamo pensare di costruire sopra questa roba applicazioni AI affidabili, scalabili, sicure ed efficienti? Stiamo costruendo castelli di carte su fondamenta di sabbia (o, peggio, di fumo marketing).
Quindi, il messaggio finale è semplice: prima di correre dietro all'ultima sirena tecnologica, assicuratevi di avere basi solide. Capite veramente cosa state comprando e usando. Siate critici, siate tecnici, siate paranoici. Non fidatevi delle slide luccicanti. La vera innovazione nasce dalla competenza, non dall'entusiasmo cieco. E la competenza, nel nostro campo, parte dal sapere esattamente di cosa stiamo parlando. Altrimenti, state solo pagando per lo zainetto di pelle.

1 commento: