Protezione automatica basata su policy nel computing continuum = Policy-based automatic protection in the computing continuum

Il Cloud computing è una tecnologia sempre più popolare tra le aziende, in quanto consente loro di richiedere servizi remoti rapidamente, senza dover costruire o gestire l'infrastruttura IT necessaria, affidandosi invece a un provider che si occupa di tutto. In questo contesto, le risorse computazionali sono state raggruppate in grandi data center per facilitare la loro gestione. Tuttavia, con l'aumento dei dispositivi IoT e l'incremento dei dati generati, l’”Edge computing" è emerso come un nuovo paradigma in cui le risorse non sono più centralizzate, ma distribuite e collocate il più vicino possibile alle sorgenti di dati e agli utenti finali, migliorando la velocità di elaborazione e riducendo la latenza. L'ulteriore evoluzione di questo concetto è il "Liquid computing", un paradigma che consente una condivisione flessibile delle risorse creando un pool dinamico di risorse che possono essere scambiate secondo necessità. Il progetto FLUIDOS ha come obiettivo l'implementazione del Liquid computing per sfruttare la potenza inutilizzata nell' Edge, creando un sistema scalabile e dinamico che colma il divario tra Edge e Cloud computing. In questo ambiente, un nodo Provider offre servizi, mentre un nodo Consumer li richiede. Attraverso una transazione, il Consumer concorda quali servizi intende trasferire al Provider. Tuttavia, proteggere l' Edge, dove le risorse sono distribuite più vicino alla sorgente dei dati, presenta nuove sfide di sicurezza. A differenza degli ambienti Cloud centralizzati, i nodi dell’ Edge sono esposti a una maggiore varietà di minacce, a causa della loro vicinanza agli utenti finali e ai dispositivi nella rete. Inoltre, i confini di ciascun cluster diventano dinamici, poiché possono espandersi su più provider. Questo comporta una maggiore complessità, poiché un singolo provider può servire più utenti, rendendo necessari robusti meccanismi di isolamento per gestire i vari carichi di lavoro. Questa esposizione richiede controlli rigorosi per garantire e gestire lo scambio di risorse e dati nel continuum. Il contributo di questa tesi è progettare un sistema automatizzato capace di applicare meccanismi di sicurezza che rendano sicure le connessioni tra i servizi trasferiti dal Consumer e i servizi del Provider. Per comprendere meglio il ruolo del sistema automatizzato all'interno di FLUIDOS, è utile riassumere il processo del progetto. Il processo FLUIDOS inizia quando il nodo Consumer identifica i provider idonei che soddisfano i requisiti di risorse e servizi. Una volta selezionato un provider, il Consumer e il Provider stabiliscono un accordo di condivisione delle risorse, formalizzato in un contratto che include le richieste di intento del Consumer e gli intenti di autorizzazione del Provider. Le richieste di intento del Consumer specificano le connessioni necessarie a supportare i suoi servizi trasferiti, mentre gli intenti di autorizzazione del Provider controllano e monitorano queste connessioni per garantire il rispetto delle politiche di sicurezza. Un processo automatizzato di armonizzazione allinea questi intenti, risolvendo eventuali discrepanze, mentre un processo di traduzione li converte in politiche di rete Kubernetes che vengono applicate per rendere le comunicazioni fra i servizi sicure.