Cloud Native Security in Service Mesh

Negli ultimi due decenni, abbiamo assistito all'avvento del cloud computing che ha portato all'adozione di nuovi modelli di design. Sempre più aziende hanno iniziato a sviluppare applicazioni cloud-native, ovvero applicazioni composte da micro-servizi vagamente correlati tra di loro e distribuiti come processi di run-time separati, invece di quelli monolitici. L'utilizzo di contenitori consente di raggiungere questo obiettivo eliminando le limitazioni di hosting hardware fisico e sistema operativo. Tuttavia, un'altra tecnologia chiave lo ha reso possibile: Kubernetes è un progetto che consente di automatizzare la distribuzione, il ridimensionamento e la gestione delle applicazioni containerizzate. Al giorno d'oggi, connettività, affidabilità, osservabilità e sicurezza sono diventate le nuove sfide per i team Dev e Ops. Infatti, anche se i nuovi modelli di progettazione consentono scalabilità e alta disponibilità, gli sviluppatori sono costretti a prendere in considerazione e incorporare nelle loro applicazioni un intero stack di funzionalità aggiuntive. Per risolvere questo problema, un primo approccio è stato quello di fornire queste funzionalità trasversali sotto forma di librerie che gli sviluppatori avrebbero potuto utilizzare nelle loro applicazioni, ma un nuovo modello ha preso piede, vale a dire il modello sidecar. Service mesh implementa il modello sidecar e consente ai team Dev e Ops di spostare connettività, affidabilità, osservabilità e sicurezza a livello di infrastruttura e implementa queste funzionalità in modo dichiarativo, così i team di applicazione non hanno bisogno di reinventare la ruota quando si tratta di requisiti trasversali non funzionali. Questa tesi analizza due delle principali soluzioni di service mesh, Istio e Kuma, agendo su due livelli: sicurezza di rete e monitoraggio dell'impatto delle policy definite, sulla latenza. In particolare, mostrando una serie di possibili configurazioni per implementare un'architettura zero-trust che garantisca comunicazioni sicure tra micro-servizi, controllo degli accessi, e controllo delle autorizzazioni, e infine il monitoraggio dell'impatto delle risorse utilizzate per definire le politiche sulla latenza di risposta. Inoltre, un confronto tra Kubernetes e OpenShift mostrerà i vantaggi e gli svantaggi di entrambi in termini di gestione della piattaforma, costi, impegno e funzionalità.