Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Come le scelte infrastrutturali influenzano sicurezza, conformità e indipendenza tecnologica delle organizzazioni italiane. Sovranità del dato: molto più di “dove stanno i miei dati”.
«I nostri dati sono in Italia, siamo a posto.» Quante volte l’abbiamo sentita, questa frase? Troppe. E in più è sbagliata. O meglio, è una mezza verità, di quelle che fanno più danni delle bugie intere.
La sovranità del dato ha poco a che fare con la geolocalizzazione dei server. Ha a che fare con il controllo. Chi accede a quei dati, che cosa ci fa, e poi la domanda che quasi nessuno si pone al momento giusto: saremo capaci di spostarli altrove il giorno in cui decideremo di farlo?
Il quadro regolatorio europeo ha iniziato a prendere forma con il GDPR, ma il pezzo operativo mancava. Il Data Act lo sta colmando: porta regole concrete su accesso, utilizzo e portabilità dei dati generati da servizi digitali. E punta dritto contro il lock-in tecnologico, quel costo di uscita che cresce con gli anni di permanenza, fino a rendere il cambio di fornitore più caro del restare. Chi cerca un approfondimento sulle soluzioni di virtualizzazione open source in questo contesto può partire da Rackone.
Poi c’è ilCLOUD Act americano. Una normativa USA che in determinate circostanze consente l’accesso ai dati anche se stanno fisicamente su suolo europeo. Per chi tratta informazioni sensibili, sanità, difesa, finanza, pubblica amministrazione, il problema non è teorico. Esiste, è documentato, e se non ve lo siete mai posti forse è il momento di farlo.
A questo punto la domanda onesta è una: Se l’hypervisor che gestisce le nostre macchine virtuali è un software chiuso, una scatola nera di cui nessuno può leggere il codice sorgente, su che basi garantiamo la compliance? Sulla fiducia? La fiducia è un ottimo punto di partenza nelle relazioni umane. Nei contratti di fornitura IT funziona un po’ meno.
Il lock-in, se ne parla spesso, e tutti lo conoscono. Pochi però lo mettono davvero al primo posto. In genere è presente o è in fondo a un elenco di rischi che ogni anno qualcuno ricicla a inizio gennaio.
Nel 2023 Broadcom ha acquistato VMware. Qualche settimana dopo, sul tavolo dei CFO arrivano le nuove proposte commerciali per i rinnovi, cifre che nessuno aveva messo a budget, cifre che CIO hanno dovuto portare in consiglio di amministrazione e in qualche modo giustificare a chi non è addetto ai lavori.
VMware ha introdotto cambiamenti significativi al modello di licensing, ha tolto le licenze perpetue, ha reso obbligatoria la subscription, ha smontato i prodotti modulari, quelli che le aziende usavano da anni, e ha creato i bundle i quali includono componenti che molti clienti non hanno mai chiesto e non gli servono. In tre mesi il mercato della virtualizzazione è stato stravolto, contratti firmati l’anno prima, cifre concordate con i procurement, piani triennali già approvati dal board. Tutto da rifare.
Successivamente Broadcom ha fatto parziale marcia indietro reintroducendo le licenze vSphere Standard ed Enterprise Plus. Ma ormai il danno era fatto, la fiducia nel vendor non si ricostruisce con un comunicato stampa.
Ma quello che è emerso è che il vero problema oltre che economico era la dipendenza.
Dopo lo shock VMware/Broadcom il mercato ha partorito un’infinità di «alternative». Parola magica. Peccato che molte di queste alternative siano costruite su stack proprietari esattamente come quello da cui si scappa. Cambia il nome sul contratto, il meccanismo resta lo stesso.
Nutanix AHV è un esempio. Tecnicamente solido, nessuno lo mette in dubbio. Ma il modello commerciale ha tre o quattro variabili che si moltiplicano fra loro: licensing agganciato all’hardware certificato, costi a TiB sullo storage, costi per utente sulla parte EUC. E provate a far parlare nodi HCI di vendor diversi: vi diranno che si può, in pratica non si può. C’è poi un dettaglio tecnico che in certi contesti pesa tantissimo: niente supporto per gli storage esterni di sempre, dai Fibre Channel agli array iSCSI. Se un’azienda ha messo centinaia di migliaia di euro in una SAN, e ne abbiamo viste tante di queste situazioni, quel vincolo non è un dettaglio. Diventa un problema da chiudere prima ancora di firmare il contratto.
Azure Stack HCI, che Microsoft ha appena rinominato Azure Local (tanto per rendere tutto più chiaro), è un caso ancora più interessante. Viene venduto come soluzione on-premise. Verissimo, fino al punto in cui scopri che deve sincronizzarsi con Azure ogni 30 giorni per rinnovare le licenze. Se la connessione cade, il cluster va in «reduced functionality mode»: le VM attive continuano a girare, ma crearne di nuove non si può. E tutta la parte di management dipende da Azure Active Directory (ora Entra ID) per brokering e gateway. Se Azure ha un problema, il tuo hardware, fisicamente nel tuo datacenter, pagato, installato e cablato, diventa un asset inutilizzabile.
Per ambienti air-gapped o infrastrutture critiche che devono funzionare anche se internet sparisce, questi vincoli architetturali non sono accettabili in alcuna forma.
Una soluzione concreta è già disponibile, e non c’è bisogno di inventarsi nulla, il software open source e gli standard aperti. La strada che l’Europa percorre già da tempo con le sue politiche di sovranità digitale.
L’open source maturo mette sul tavolo qualcosa che il software proprietario, per come è fatto, non potrà mai garantire. Se l’hypervisor si comporta in modo sospetto con i dati, prima o poi qualcuno se ne accorge. Formati documentati, API pubbliche: spostare i workload diventa una questione di pianificazione, non di riscrittura totale. L’ecosistema dei partner non orbita attorno a un’unica azienda. Se il fornitore di supporto non ti convince, lo cambi senza dover smontare la piattaforma.
C’è poi un vantaggio in più, il codice open source non finisce dentro un’acquisizione, nessuno lo compra, nessuno lo rivende. Non arriva un fondo di private equity a mettere le mani sul progetto e a ribaltare le condizioni di licenza dall’oggi al domani. Il codice resta lì, con la sua licenza, accessibile a chiunque.
E poi c’è la sicurezza, quando un hypervisor tiene separate macchine virtuali che lavorano dati sensibili, avere una comunità globale di sviluppatori e ricercatori che spulcia il codice riga per riga è un vantaggio che pesa. Un audit permanente, gratuito, che nessun vendor proprietario può nemmeno sognarsi di eguagliare, per grande e strutturato che sia.
Proxmox Server Solutions GmbH è una azienda europea con sede a Vienna, per chi deve fare i conti con GDPR, NIS2 e Data Act non è un dettaglio da trascurare. Con oltre 2 milioni di host installati, in crescita esponenziale, in più di 140 paesi. Nel 2025 il progetto ha raggiunto i 20 anni di storia, vent’anni di sviluppo costante, con una roadmap rimasta coerente nel tempo. Martin Maurer, co-fondatore di Proxmox, stima che il 95% delle installazioni VMware sia migrabile senza perdita di funzionalità.
Lo stack tecnologico è composto da progetti open source conosciuti da tutti gli utilizzatori del mondo Linux, KVM per la virtualizzazione, LXC per i container, ZFS e Ceph per lo storage software-defined: soluzioni consolidate e presenti nei datacenter da anni, il tutto gestito da interfaccia web o via API REST. Nessuna licenza per core, nessun bundle obbligatorio, nessuna sorpresa al rinnovo.
In questo contesto dove le memorie DDR5 per server costano più del 250% in più rispetto a un anno fa, ogni GB di RAM che l’hypervisor restituisce ai workload produttivi è denaro che resta in cassa proprio sul budget hardware. Proxmox VE ci arriva da due strade, il KSM (Kernel Samepage Merging) deduplica le pagine di memoria identiche tra i guest e in certi scenari arriva a triplicare la densità di VM per host. L’overhead dell’hypervisor in sé è contenuto by design, circa 2 GB per i servizi di gestione. Tutto il resto va ai carichi di lavoro.
Questa è la percezione da archiviare definitivamente. Sì, Proxmox VE piace agli appassionati, ai maker, a chi si tira su il laboratorio in garage. Niente di male, anzi: è ossigeno per la community. Ma fermarsi a quella lettura nel 2026 vuol dire guardare il presente con gli occhi di cinque anni fa.
La piattaforma gira in produzione, non in test, su infrastrutture di controllo del traffico aereo e ferroviario. Gira nel settore aerospaziale, dove l’affidabilità non è una buona pratica ma una condizione di sopravvivenza del servizio. Strutture sanitarie hanno costruito cluster iperconvergenti Proxmox con Ceph per sostenere workload ad alta disponibilità in conformità con le normative di settore.
I casi di studio che Proxmox Server Solutions sta pubblicando costantemente confermano che anche nei settori critici la soluzione sta venendo adottata, nel settore aerospaziale europeo la piattaforma sostiene l’elaborazione di dati satellitari, dove i vincoli di prestazione e prevedibilità non lasciano margine all’improvvisazione. Nell’industria siderurgica nordamericana cluster VMware sono stati migrati su Proxmox VE riconquistando stabilità e tagliando la dipendenza dal vendor proprietario. Grandi strutture sanitarie tedesche hanno costruito sulla piattaforma la base infrastrutturale dei propri progetti di ospedale digitale. In ambito industriale e tecnologico si registrano incrementi di prestazione nell’ordine del 40% dopo la migrazione da VMware. E sul fronte degli integratori, progetti europei nel comparto della sicurezza applicativa hanno portato oltre 10.000 VM da VMware ESXi a Proxmox VE 9.x con impatto pressoché nullo sull’esperienza utente.
A questi casi si affianca l’esperienza diretta dei partner sul campo. Come Proxmox Gold Partner italiano, Rackone segue ormai stabilmente progetti di migrazione da VMware verso Proxmox VE presso clienti enterprise e pubblica amministrazione. Le obiezioni che fino a un paio d’anni fa sembravano dirimenti, dalla maturità della piattaforma al supporto enterprise alla compatibilità con gli ecosistemi backup e storage esistenti, oggi trovano risposta in progetti reali e ripetibili. La migrazione non è più una scommessa per pionieri. È una pratica consolidata, con metodologie collaudate e tempistiche che si misurano in settimane o mesi, non più in trimestri di valutazione.
Si parla molto di sovranità del dato, e questa passa anche dal backup. Se i backup vivono su un servizio cloud con chiavi di crittografia in mano al vendor, e per giunta in formati non portabili, la dipendenza tecnologica potrebbe arrivare anche all’impossibilità di effettuare il ripristino.
Proxmox Backup Server (PBS) copre proprio questa porzione del perimetro. Backup incrementali con deduplicazione, crittografia end-to-end con chiavi che restano all’interno dell’organizzazione, verifica periodica dell’integrità. La cifratura avviene lato client: anche se qualcuno mette le mani sullo storage di backup, i dati restano illeggibili. Sul fronte disaster recovery, PBS abilita architetture multi-site con replica geografica. Strategia 3-2-1 piena, senza dover transitare per servizi cloud di terze parti.
Anche l’ecosistema attorno alla piattaforma si è ormai assestato. Dal 2025 Acronis Cyber Protect Cloud esegue backup agentless di VM e container LXC su Proxmox, con disaster recovery e replica cross-platform. Dell e Lenovo certificano i propri server per Proxmox VE. La supply chain c’è, è aperta, ed è ormai matura.
«E se qualcosa si rompe, chi chiamo?» È la domanda che prima o poi salta fuori in ogni valutazione tecnica. Legittima. La risposta, per Proxmox, non è «arrangiati sul forum della community». Esiste un programma strutturato di partner certificati, con subscription ufficiali e SLA articolati su più livelli. Esiste una rete globale di supporto distribuita sul territorio. Esistono percorsi di formazione e certificazione consolidati.
Sul territorio italiano i partner autorizzati coprono installazione, progetti di migrazione P2V e V2V, formazione certificata e supporto tecnico in lingua italiana fino al regime H24. Il principio operativo è semplice: le stesse garanzie di livello di servizio che un’organizzazione si aspetterebbe da qualsiasi vendor commerciale, senza il lucchetto tecnologico in coda al contratto. I corsi ufficiali «Proxmox VE Deployment and Management» e «Proxmox VE Clustering and Shared Storage» sono disponibili anche in lingua italiana (dettagli su https://www.rackone.it/proxmox/corsi-proxmox/) e rappresentano un acceleratore importante per chi non ha ancora maturato competenze interne sulla piattaforma.
A prescindere dalla tecnologia che si decide di adottare, alcune misure vanno messe in campo da subito. Inserite nei contratti clausole esplicite su portabilità dei dati, tempi di uscita, formati di export e supporto alla migrazione: il Data Act fornisce ormai il fondamento giuridico necessario, vale la pena sfruttarlo. Privilegiate stack basati su standard aperti ogni volta che è praticabile, in modo che cambiare fornitore di supporto non significhi azzerare e ricostruire la piattaforma. Disegnate architetture ibride fin dalla fase di progettazione, con la possibilità reale di spostare workload tra ambienti differenti.
E poi due pratiche che quasi nessuno applica davvero. La prima: mantenete aggiornato un exit plan documentato, con inventario dei workload, mappatura delle dipendenze applicative e test di migrazione a cadenza periodica. La seconda: tenete operativo un cluster pilota su una piattaforma alternativa, per validare le procedure prima di trovarvele addosso in regime di emergenza. Quando il problema esplode non c’è più margine per sperimentare. È un principio che tutti riconoscono e che pochissimi mettono in pratica.
strategica fanno parte della natura stessa del software proprietario, è successo in passato e succederà anche nel futuro.
Il report “Virtualization Software Market Report 2025” di The Business Research Company, stima che il settore della virtualizzazione passerà da 85,83 miliardi di dollari nel 2024 a 186,19 miliardi entro il 2029.Le scelte infrastrutturali che si compiono adesso hanno un orizzonte temporale di almeno 5 anni.
Optare per Proxmox VE, o più in generale per una piattaforma aperta, non è una dichiarazione di principio. È una scelta che riguarda il controllo. Controllo sui dati, sul perimetro di rischio, sulle dinamiche commerciali del fornitore, dinamiche che nessuna organizzazione, per quanto grande e strutturata, è davvero in grado di influenzare dall’esterno. Il prossimo cambio di rotta di un vendor proprietario non è una questione di «se». È una questione di «quando».
Una precisazione necessaria: open source non significa fare tutto in autonomia. Il vero discrimine lo fanno i partner territoriali, in particolare per le organizzazioni che operano in contesti regolamentati. RACKONE Srl è il primo Proxmox Gold Partner e Authorized Training Partner in Italia. Consulenza, migrazione da VMware e da altri hypervisor, supporto tecnico in lingua italiana 24/7 con SLA garantiti, formazione certificata. Per chi vuole incassare i benefici dell’open source senza rinunciare alla rete di sicurezza del supporto enterprise, è il punto di partenza più immediato. Maggiori informazioni su www.rackone.it/proxmox.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]