L’evento Google Cloud Next 18 presenta man mano novità sempre più concrete. Dopo le partnership tecnologiche e gli annunci trasversali della nuova Cloud Services Platform, l’attenzione si è spostata verso alcuni elementi più verticali e si è concentrata sulla sicurezza degli ambienti cloud. Questo è un argomento particolarmente caldo per tutti i cloud provider, dato che la percezione di una poca sicurezza del cloud è forse il deterrente principale che frena la migrazione delle aziende verso la nuvola. In questo senso Google ha annunciato al Cloud Next 18 diverse novità, tra cui si segnalano in particolare nuovi controlli di contesto nella fase di accesso alle applicazioni, il modello delle Shielded VM e la Binary Authorization.

Nel controllo degli accessi Google spinge un approccio che chiama “context-aware access” e che abbiamo già visto applicare in altri ambiti, specie quello finanziario. In sintesi, qualsiasi accesso alle risorse in cloud (API, G Suite e applicazioni in SaaS) viene permesso o bloccato anche a seconda di alcune informazioni di contesto come il dispositivo, il momento e il luogo della richiesta di accesso. In più, Google ha sviluppato un token fisico - la Titan Security Key - che gli utenti dei servizi del cloud di Google possono adottare per controllare meglio l’utilizzo dei loro account.

Negli ambienti cloud è anche molto importante implementare funzioni di sicurezza al livello più basso possibile. A questo servono le Shielded VM e il modello della Binary Authorization. Le macchine virtuali “shielded” implementano un approccio già usato per l’avvio sicuro dei firmware dei computer o di altri dispositivi hardware: usando opportunamente chiavi di identificazione e cifratura, l’ambiente cloud può garantire che ogni singola macchina virtuale esegua codice autenticato, quindi sicuro, e che non venga modificata in maniera arbitraria.
La Binary Authorization offre qualcosa di simile a livello di container. Le immagini dei container devono essere “firmate” digitalmente, per verificarne integrità e correttezza, prima di poter essere attivate. Questa funzione si integra con il Google Kubernetes Engine e può essere attivata anche all’interno dei flussi di sviluppo DevOps, rendendoli più sicuri senza ridurne l’elasticità.

L’intelligenza va in periferia

In campo IoT l’approccio di Google è quello che altri grandi nomi dell’IT hanno già definito di “intelligent edge”: assodata la necessità di elaborare molti tipi di dati immediatamente là dove vengono raccolti, serve per questo portare alla periferia delle reti funzioni di elaborazione ed analisi sempre più sofisticate. Una strategia sensata che tra l’altro permette a Google di far valere gli sviluppi portati avanti in campo intelligenza artificiale e machine learning.

Il potenziamento dell’edge computing necessita però di una combinazione fra hardware, software locale e servizi cloud. Per questo al Cloud Next 18 Google ha presentato innanzitutto il chip Edge TPU, fratello (molto) minore della Tensor Processing Unit che Big G usa per addestrare nel cloud gli algoritmi complessi di machine learning. Edge TPU è un complemento di quella Cloud TPU, perché può eseguire in locale i modelli basati su TensorFlow addestrati centralmente nel cloud.
Il chip Edge TPU (in alto) su una board collegata al kit hardware di sviluppoLato software è arrivato invece Cloud IoT Edge, una piattaforma runtime che sarà eseguita su dispositivi hardware di classe gateway, basati su sistemi operativi derivati da Linux o su Android Things. Cloud IoT Edge ha due compiti fondamentali. Il primo è collegare questi dispositivi al cloud Google - in particolare ai servizi centralizzati di Cloud IoT Core - in maniera sicura, gestendone tanto il traffico dati quanto l’aggiornamento del software e del firmware. Il secondo compito è eseguire in locale algoritmi di machine learning preventivamente addestrati, usando il nuovo chip Edge TPU oppure la CPU e/o la GPU del dispositivo.