progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud

Dott. Claudio Ardagna Dott. Marco Anisetti Roberto AmelioMatr. 792527

RELATORE CORRELATORE TESI DI LAUREA DI

Anno Accademico 2013/2014

Progettazione e sviluppo di un editorper la certificazione di sicurezza

dei servizi cloud

Cloud computing

Paradigma che permette l'accesso a risorse condivise modellate come servizi, attraverso un'infrastruttura scalabile, elastica e distribuita in Internet.

Rappresenta la convergenza di diverse tecnologie:

● Architetture SOA;

● Virtualizzazione;

● Standard per l'accesso alle risorse tramite Internet.

Il NIST definisce tre modalità di servizio: SaaS, PaaS, IaaS; e quattro modalità di distribuzione: pubblico, privato, ibrido, comunitario.

2

ProblematicheRischi

Domini di governo Domini tecnologici

Governare e misurare il rischio d'impresa.

Aspetti legali.

Conformità con le politiche di sicurezza.

Gestione dei dati.

Portabilità del dato e interoperabilità tra fornitori.

Messa in sicurezza del software eseguito.

Valutazione dell'utilizzo della cifratura.

Gestione delle identità e controllo degli accessi.

Uso della tecnologia di virtualizzazione.

3

Assurance

Sicurezza

Progetto europeo CUMULUS

Insieme di modelli, processi e strumenti volti a supportare schemi di certificazione di proprietà di sicurezza.

4

Certificati basati su diversi tipi di evidence garanti della proprietà di sicurezza:

● Basate su test;

● Basata sul monitoraggio;

● Basate su TPM.

Il processo di certificazione è multi-layer, incrementale, ibrido.

Contributo

Editor

5

Editor a supporto del processo di certificazione per la generazione, modifica e memorizzazione di un Test-based Certification Model:

Può essere definito a due livelli di astrazione:

● CM Template, contiene informazioni generali sul processo di certificazione;

● Documento XML definito da CUMULUS che guida il processo di certificazione basato su test.

● CM Instance, istanza del Template con informazioni specifiche sul processo di certificazione e il relativo oggetto da certificare.

Editor – Tecnologie utilizzate

SPRING è un framework open source usato per ridurre la complessità dello sviluppo di applicazioni Java EE.

Componente MVC di SPRING per il pattern MVC:

● Model, gestisce i dati;

● View, presenta i dati all'utente finale;

● Controller, implementa la logica applicativa.

Libreria JAXB per l'elaborazione di documenti XML:

● Bind, genera classi Java che rappresentano l'XML Schema;

● Marshall, crea un XML partendo da un albero di oggetti;

● Unmarshall, crea un albero di oggetti partendo dall'XML.

6

Editor – Funzionalità e Flusso di definizione

Funzionalità implementate:

● Definizione e modifica di un CM Template;

● Definizione e modifica di un CM Instance;

● Generazione e memorizzazione di un CM Template e CM Instance.

Supporta la gestione di tutte le componenti di un Certification Model, tra le quali:

● Proprietà di sicurezza;

● Target of Certification (ToC);

● Collector.

7

Proprietà di sicurezza

CUMULUS ha un suo vocabolario di proprietà definite secondo uno schema ben preciso, composto da:

● Un identificatore univoco;

● Una definizione;

● Un insieme di attributi, divisi in performance e parametric.

8

Target of certification (ToC)

Descrive il perimetro della certificazione, qual è il servizio da certificare secondo una data proprietà di sicurezza.

Contiene le informazioni su:

● Il modello del servizio da certificare (SaaS, PaaS, IaaS);

● L'istanza del servizio da certificare;

● I Targets of Test (ToT).

9

Target of certification (ToC)

10

I ToT utilizzano le API messe a disposizione dal framework di CUMULUS per richiamare gli strumenti necessari per l'esecuzione dei test.

Collector

Specifica le attività di un processo di certificazione in uno scenario reale.

11

Referenzia l'AbstractCollector che descrive:

● i test da svolgere;

● come eseguire i test .

Specifica se i test sono svolti dinamicamente o staticamente e le loro condizioni di somministrazione.

Contiene l'Aggregator che si occupa dei criteri per interpretare i risultati dei test in termini di sufficienza delle evidence raccolte.

Conclusioni

Progettazione e sviluppo di un editor a supporto di un processo di certificazione nella cloud:

● Definizione e modifica di un CM Template;

● Definizione e modifica di un CM Instance;

● Generazione e memorizzazione di un CM Template e CM Instance.

Lavori futuri:

● Gestione di altri tipi di CM;

● Matching tra CM Instance e CM Template;

● Controllo sulla semantica dei valori inseriti;

● Meccanismi di sicurezza a protezione dell'applicazione.

12

Grazie per l'attenzione