Download - Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud
![Page 1: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/1.jpg)
Dott. Claudio Ardagna Dott. Marco Anisetti Roberto AmelioMatr. 792527
RELATORE CORRELATORE TESI DI LAUREA DI
Anno Accademico 2013/2014
Progettazione e sviluppo di un editorper la certificazione di sicurezza
dei servizi cloud
![Page 2: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/2.jpg)
Cloud computing
Paradigma che permette l'accesso a risorse condivise modellate come servizi, attraverso un'infrastruttura scalabile, elastica e distribuita in Internet.
Rappresenta la convergenza di diverse tecnologie:
● Architetture SOA;
● Virtualizzazione;
● Standard per l'accesso alle risorse tramite Internet.
Il NIST definisce tre modalità di servizio: SaaS, PaaS, IaaS; e quattro modalità di distribuzione: pubblico, privato, ibrido, comunitario.
2
![Page 3: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/3.jpg)
ProblematicheRischi
Domini di governo Domini tecnologici
Governare e misurare il rischio d'impresa.
Aspetti legali.
Conformità con le politiche di sicurezza.
Gestione dei dati.
Portabilità del dato e interoperabilità tra fornitori.
Messa in sicurezza del software eseguito.
Valutazione dell'utilizzo della cifratura.
Gestione delle identità e controllo degli accessi.
Uso della tecnologia di virtualizzazione.
3
Assurance
Sicurezza
![Page 4: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/4.jpg)
Progetto europeo CUMULUS
Insieme di modelli, processi e strumenti volti a supportare schemi di certificazione di proprietà di sicurezza.
4
Certificati basati su diversi tipi di evidence garanti della proprietà di sicurezza:
● Basate su test;
● Basata sul monitoraggio;
● Basate su TPM.
Il processo di certificazione è multi-layer, incrementale, ibrido.
![Page 5: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/5.jpg)
Contributo
Editor
5
Editor a supporto del processo di certificazione per la generazione, modifica e memorizzazione di un Test-based Certification Model:
Può essere definito a due livelli di astrazione:
● CM Template, contiene informazioni generali sul processo di certificazione;
● Documento XML definito da CUMULUS che guida il processo di certificazione basato su test.
● CM Instance, istanza del Template con informazioni specifiche sul processo di certificazione e il relativo oggetto da certificare.
![Page 6: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/6.jpg)
Editor – Tecnologie utilizzate
SPRING è un framework open source usato per ridurre la complessità dello sviluppo di applicazioni Java EE.
Componente MVC di SPRING per il pattern MVC:
● Model, gestisce i dati;
● View, presenta i dati all'utente finale;
● Controller, implementa la logica applicativa.
Libreria JAXB per l'elaborazione di documenti XML:
● Bind, genera classi Java che rappresentano l'XML Schema;
● Marshall, crea un XML partendo da un albero di oggetti;
● Unmarshall, crea un albero di oggetti partendo dall'XML.
6
![Page 7: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/7.jpg)
Editor – Funzionalità e Flusso di definizione
Funzionalità implementate:
● Definizione e modifica di un CM Template;
● Definizione e modifica di un CM Instance;
● Generazione e memorizzazione di un CM Template e CM Instance.
Supporta la gestione di tutte le componenti di un Certification Model, tra le quali:
● Proprietà di sicurezza;
● Target of Certification (ToC);
● Collector.
7
![Page 8: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/8.jpg)
Proprietà di sicurezza
CUMULUS ha un suo vocabolario di proprietà definite secondo uno schema ben preciso, composto da:
● Un identificatore univoco;
● Una definizione;
● Un insieme di attributi, divisi in performance e parametric.
8
![Page 9: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/9.jpg)
Target of certification (ToC)
Descrive il perimetro della certificazione, qual è il servizio da certificare secondo una data proprietà di sicurezza.
Contiene le informazioni su:
● Il modello del servizio da certificare (SaaS, PaaS, IaaS);
● L'istanza del servizio da certificare;
● I Targets of Test (ToT).
9
![Page 10: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/10.jpg)
Target of certification (ToC)
10
I ToT utilizzano le API messe a disposizione dal framework di CUMULUS per richiamare gli strumenti necessari per l'esecuzione dei test.
![Page 11: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/11.jpg)
Collector
Specifica le attività di un processo di certificazione in uno scenario reale.
11
Referenzia l'AbstractCollector che descrive:
● i test da svolgere;
● come eseguire i test .
Specifica se i test sono svolti dinamicamente o staticamente e le loro condizioni di somministrazione.
Contiene l'Aggregator che si occupa dei criteri per interpretare i risultati dei test in termini di sufficienza delle evidence raccolte.
![Page 12: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/12.jpg)
Conclusioni
Progettazione e sviluppo di un editor a supporto di un processo di certificazione nella cloud:
● Definizione e modifica di un CM Template;
● Definizione e modifica di un CM Instance;
● Generazione e memorizzazione di un CM Template e CM Instance.
Lavori futuri:
● Gestione di altri tipi di CM;
● Matching tra CM Instance e CM Template;
● Controllo sulla semantica dei valori inseriti;
● Meccanismi di sicurezza a protezione dell'applicazione.
12
![Page 13: Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud](https://reader034.vdocuments.mx/reader034/viewer/2022042716/55b1019dbb61eb7e588b4723/html5/thumbnails/13.jpg)
Grazie per l'attenzione