Verso l'automazione della sicurezza in Open Source MANO = Towards security automation in Open Source MANO

Lo sviluppo delle reti è stato rivoluzionato dall'introduzione di tecnologie di virtualizzazione al mondo delle reti quali NFV e SDN che permettono di realizzare reti dinamiche e flessibili tramite una separazione tra hardware e software. Le funzioni virtualizzate tramite NFV possono essere connesse tra di loro in modo arbitrario potendo realizzare servizi complessi in base alle proprie esigenze. La gestione di queste catene di funzioni viene effettuata da degli orchestratori NFV, tra i quali sono presenti Open Source MANO e Openstack Tacker. Gli orchestratori semplificano di molto la gestione dei servizi automatizzando non solo la loro creazione ma anche le diverse operazioni del ciclo di vita che risulterebbero complesse e ripetitive nel caso dovessero essere effettuate da un'operatore umano. Il numero crescente di attacchi informatici nel corso degli anni rende obbligatoria l'adozione di forme di sicurezza necessarie per non compromettere le funzionalità del servizio di rete che si vuole fornire. Molto spesso la definizione della sicurezza all'interno di una rete viene svolta da un 'amministratore di rete o un altro operatore specializzato, richiedendo quindi un intervento umano che rende l'intero processo soggetto a potenziali errori che potrebbero solo incrementare la vulnerabilità dell'intero sistema. Con l'idea di risolvere questo problema è stato sviluppato Verefoo, framework che permette di definire la sicurezza di una rete in maniera automatica. L' idea alla base di questo lavoro di tesi era andare a semplificare ulteriormente il processo di creazione di un servizio di rete gestito da parte di un'orchestratore delegando la definizione della sicurezza, secondo specifici requisiti, a Verefoo, il cui risultato viene poi raccolto per creare il grafo reale del servizio con inclusa la configurazione di sicurezza desiderata. La parte centrale della tesi è stata la realizzazione dell'interazione tra verefoo e OSM, effettuata cercando di riportare correttamente le funzioni presenti nel grafo prodotto da verefoo all'interno dell'orchestratore secondo le strautture dati da esso definiti e i comandi forniti, stesso discorso per il servizio nel suo complesso. Per questo motivo la parte finale della tesi contiene una prima parte per illustrare i procedimenti necessari per la creazione delle strutture che rappresentano funzioni e servizi di rete internamente a OSM, ovvero vnf package e ns package, concludendo con una semplice demo che mostra come creare un grafo definendo i collegamenti tra le funzioni di cui questo è composto. Infine viene mostrata un'interazione effettiva tra OSM e verefoo rappresentando un grafo prodotto in output da verefoo all'interno dell'orchestratore.