Orchestrazione ed armonizzazione di policy per la protezione nel computing continuum = Orchestration and harmonization of protection policy in the computing continuum

In un mondo sempre più connesso e caratterizzato da applicazioni sempre più complesse, emerge la necessità di un nuovo approccio nel panorama del cloud computing. Il liquid computing rappresenta una rivoluzione in quest'ambito, fornendo agli utenti l'acces so ad un pool di risorse senza confini, accessibile in qualsiasi momento e da qualsiasi posizione geografica. Favorendo un continuum di risorse tra diversi domini di amministrazione, si previene il sottoutilizzo delle risorse e si offre un deployment delle applicazioni maggiormente flessibile, scalabile e resiliente. Il liquid computing prevede un approccio decentralizzato, multiproprietario e intent-driven, garantendo un continuum di risorse e servizi. FLUIDOS (Flexible, scaLable, secUre and decentralIzeD Operating System) è un progetto europeo che nasce con l'obiettivo di implementare questa visione. Il progetto si concentra su tre proprietà fondamentali: trasparenza del deployment, trasparenza delle comunicazioni e trasparenza delle risorse disponibili. Questa tesi affronta nello specifico lo sviluppo di un orchestratore di sicurezza, con l'obiettivo di garantire un adeguato isolamento a livello di rete per i diversi workload eseguiti nel continuum. Una delle problematiche introdotte dal liquid computing è la protezione dei bordi. Il concetto di singolo server fisico non esiste più in questo caso, ma si può parlare di cluster virtuale, ossia l'insieme logico di tutte le risorse appartenenti ad uno stesso utente e distribuite potenzialmente su più cluster fisici. Il bordo del cluster virtuale diventa un bordo dinamico, capace di estendersi su più cluster fisici. Coinvolgendo cluster e dispositivi diversi, richiede nuove soluzioni per essere protetto. Nello specifico la protezione del cluster che mette a disposizione le proprie risorse da potenziali danni causati dalle applicazioni offloadate e la protezione delle stesse applicazioni da furto di dati e codice e interferenze da parte dell’host. L’idea proposta prevede l’integrazione con il processo di acquisizione delle risorse, in modo da implementare un corretto isolamento non appena il processo di peering viene completato. Il tutto si basa su degli intenti, policy ad alto livello in cui è possibile esprimere le richieste in termini di connessioni di rete concesse o negate. Il processo di condivisione delle risorse prevede due attori diversi: il consumer e il provider. Il provider mette a disposizione le proprie risorse, il consumer invece sfrutta le risorse messe a disposizione dal provider. Ogni attore può dunque esprimere le proprie richieste sotto forma di intenti, producendo due set di intenti differenti. Il processo di offloading delle ricorse prevede dapprima uno scambio delle richieste, in secondo luogo una verifica della compatibilità di queste richieste (Verify) ed infine un processo di armonizzazione (Harmonize) in caso di esito positivo. Il risultato dell’armonizzazione viene poi tradotto in primitive di isolamento (Kubernetes Network Policies) ed applicato all’interno del cluster. Dopo una prima fase di descrizione della struttura dell'orchestratore e del suo funzionamento complessivo, l'attenzione si concentrerà sull'implementazione e sulla validazione di due moduli nello specifico: Verify e Harmonize.