La scalabilità di Terraform oltre i confini organizzativi richiede un attento equilibrio tra standardizzazione e flessibilità. Grazie a strutture di team chiare, una governance ben progettata, processi CI/CD automatizzati e un adeguato supporto degli strumenti, anche infrastrutture multi-tenant complesse possono essere gestite in modo efficace. Con queste basi, è possibile estendere la pratica di Terraform dai singoli team all'intera organizzazione, garantendo coerenza, sicurezza ed efficienza.

Questa è la prima parte di una serie sulla progettazione della multi-tenancy come Infrastructure-as-Code in grandi infrastrutture.

Il 19 luglio 2024, un grave guasto IT dovuto a un aggiornamento difettoso della piattaforma Falcon di CrowdStrike ha causato interruzioni diffuse in diversi settori, tra cui il traffico aereo, gli ospedali e le agenzie governative. Questa piattaforma è progettata per aumentare la sicurezza bloccando gli attacchi in tempo reale. A tal fine, vengono integrati punti di misurazione in profondità nei sistemi server, il che richiede i massimi privilegi di amministratore su questi stessi sistemi. Questo approccio è già di per sé discutibile, ma è stata aggiunta un’ulteriore superficie di attacco: questi sensori, profondamente integrati nei processi di sistema per il monitoraggio della sicurezza, ricevevano aggiornamenti tramite un sistema di distribuzione globale controllato da CrowdStrike - implementato con la buona intenzione di garantire una copertura di sicurezza globale il più uniforme possibile, evitando di affidarsi all’iniziativa autonoma dei clienti.

Un approccio così centralizzato non costituisce ovviamente un problema solo se funziona correttamente e non provoca malfunzionamenti. Ma è successo esattamente il contrario - un aggiornamento difettoso è stato distribuito su larga scala a sistemi server che eseguivano Microsoft Windows. A causa della profonda integrazione nei sistemi, una libreria difettosa (sensorsvc.dll) ha causato una serie di Kernel Panic, noti come Blue Screen. Questo "Single Point of Failure" ha trasformato l’obiettivo di una sicurezza globale coerente in un’interruzione globale. Particolarmente colpite sono state le compagnie aeree - circa 1.500 voli sono stati cancellati - insieme a banche, settore retail e sanità. L’aggiornamento è stato ritirato, ma i sistemi server hanno dovuto essere ripristinati manualmente in modalità provvisoria. Questo incidente ha evidenziato le vulnerabilità dei sistemi di distribuzione degli aggiornamenti centralizzati e le reazioni a catena che possono derivare da un "Single Point of Failure".

E non solo: è diventato evidente cosa può accadere quando si rinuncia a misure fondamentali per la resilienza contro i guasti, come il monitoraggio robusto dello stato dei servizi con failover automatizzati, meccanismi per limitare il Blast Radius e capacità complete di Disaster Recovery. I clienti che avevano previsto tali scenari hanno potuto semplicemente attivare i loro sistemi di standby. Ma pochi avevano pensato così in profondità. Tuttavia, questi principi architetturali stanno diventando sempre più essenziali per i sistemi critici per il business.