SPECS, un broker di servizi di sicurezza per il Cloud basato su Security Service Level Agreement

1. Alla domanda di partecipazione va allegato
questo documento di presentazione del
progetto.
STANDARD: max 5 pagine, font 12 - inclusi
eventuali allegati tecnici o tabelle o altri elementi
utili.
Documentazione di progetto della soluzione:
SPECS, un broker di servizi di sicurezza per il Cloud basato su
Security Service Level
Agreement

2. 1 Descrizione progetto
L'ampia diffusione del cloud computing in quasi tutti i domini applicativi ha reso sempre più
evidente la necessità di introdurre garanzie formali sul generale livello di qualità dei servizi offerti,
tipicamente inteso in termini di disponibilità del servizio, prestazioni e sicurezza, all’interno di
Service Level Agreements (SLA). In particolare, l’introduzione di SLA relativi alla sicurezza
(Security SLA) rappresenta un tema di grande interesse, in quanto la percezione di mancato
controllo sui dati e sulle applicazioni, che si ha con l’utilizzo del cloud, rappresenta, ad oggi, uno dei
fattori maggiormente limitanti la piena adozione del cloud. L'adozione degli SLA e, nello specifico,
di Security SLA nel cloud, è un’attività piuttosto recente e negli ultimi anni sono stati finanziati
numerosi progetti di ricerca ed iniziative europee per avanzare lo stato dell’arte sulle conoscenze di
questo argomento. Tra i progetti più interessanti sul tema, possiamo annoverare SPECS, A4Cloud,
SLA-Ready, SLALOM e MUSA. Le soluzioni più comuni adottate per l’introduzione di meccanismi
di sicurezza in ambiente cloud si basano sull'adozione di Security Control Framework (come il
NIST Control Framework, maggiormente utilizzato negli Stati Uniti, a la Cloud Control Matrix,
sviluppata dalla Cloud Security Alliance e più diffusa in Europa) o su approcci basati su assessment
e/o certificazione formale, che presuppongono una conoscenza completa di tutti i livelli di servizio,
e in genere mirano a verificare policy e/o configurazioni di sicurezza staticamente, ovvero tramite
audit di sicurezza a posteriori. Al contrario, l'adozione degli SLA di sicurezza permette di
automatizzare il processo di configurazione e verifica dei meccanismi di sicurezza per migliorare il
livello di servizio sulla base dei requisiti degli utenti finali e poterlo anche verificare
dinamicamente. L’applicabilità di questa soluzione dipende, da un lato, da una rappresentazione
ben definita dei requisiti di sicurezza comprensibile sia ai clienti che ai fornitori e, dall'altro, dala
capacità di monitorare efficacemente il rispetto di tali requisiti (mediante Service Level Objective -
SLO - di sicurezza misurabili).
In tale contesto, risultano molto interessanti i risultati del progetto europeo FP7-SPECS che ha
portato allo sviluppo di un framework open source per offrire Servizi di Sicurezza, con il paradigma
as-a-Service, progettati, configurati, monitorati e garantiti mediante parametri di sicurezza
completamente specificati in Security SLA, fornendo allo stesso tempo, gli strumenti per gestire
sistematicamente il ciclo di vita degli SLA. Il risultato significativo è che un utente può avere da un
lato garanzie di sicurezza rispetto ai requisiti che ha espresso e, dall’altro, degli strumenti per
monitorare l’effettivo livello di sicurezza in essere nel sistema.
Obiettivo del progetto sottoposto al “Premio PA Sostenibile” è rendere disponibile il prototipo del
framework SPECS a supporto della diffusione del cloud nelle pubbliche amministrazione e a

3. supporto dei Cloud Service Provider di medie dimensioni (ovvero non i grandi player di cloud
pubblici) per:
a) Abilitare la negoziazione di parametri di sicurezza incentrata sui requisiti dell'utente al fine di
comporre e utilizzare servizi cloud che soddisfano il livello di sicurezza minimo richiesto.
b) Monitorare in real time il reale livello di sicurezza concordato in fase di negoziazione con un
CSP. In particolare, il framework è in grado di gestire notifiche verso gli utenti cloud o verso i
provider se qualche parametro di sicurezza rischia di essere violato e fornire, in maniera
automatica, strumenti adattativi di “remediation”.
c) Fornire servizi di sicurezza aggiuntivi, anche on-demand, per migliorare il livello di servizio
fornito da un servizio cloud offerto anche da provider pubblici.
Riteniamo che l’utilizzo del framework SPECS come broker di servizi di sicurezza per arricchire le
offerte dei servizi cloud nel contesto italiano, potrebbe aumentare e migliorare l’utilizzo dei servizi
cloud, in linea con gli obiettivi dell’agenda digitale italiana che mira ad un uso più pervasivo del
cloud e ad una certificazione delle soluzioni di sicurezza nelle pubbliche amministrazioni.
2 Descrizione del team e delle proprie risorse e competenze
Partecipano al progetto ricercatori e professori che hanno coordinato il progetto europeo FP7-
SPECS (www.specs-project.eu) e afferenti al Centro Regionale Information Communication
Technology (CeRICT), in particolare:
L’Ing. Alessandra De Benedictis ha ricevuto il Dottorato di Ricerca in Ingegneria Informatica e
Automatica presso l’Università degli studi di Napoli Federico ed è attualmente assegnista di ricerca.
I suoi interessi di ricerca includono lo progettazione e sviluppo di strumenti e tecniche per
progettare e valutare la sicurezza di sistemi distribuiti cloud o di sistemi con limitate risorse
computazionali (WSN, IOT,...).
Il Prof. Massimiliano Rak, Professore Associato presso l’Università della Campania Luigi Vanvitelli. I
suoi interessi scientifici riguardano prevalentemente l’analisi e la progettazione di Sistemi ad Alte
prestazioni e sulle metodologie di progettazione e sviluppo di sistemi distribuiti sicuri. E’ stato
coordinatore di numerosi progetti di ricerca nazionali ed internazionali.

4. La Prof.ssa Valentina Casola, Professore Associato presso l’Università degli studi di Napoli Federico
II. I suoi interessi scientifici riguardano prevalentemente aspetti teorici e sperimentali in diverse
aree della sicurezza informatica, incluse metodologie di analisi e valutazione di differenti
meccanismi di sicurezza. E’ autrice di oltre 100 articoli scientifici su riviste e conferenze
internazionali ed è stata coordinatore di numerosi progetti di ricerca.
Il Prof. Umberto Villano, Professore Ordinario presso l’Università del Sannio, Direttore del
Dipartimento di Ingegneria. I suoi interessi scientifici riguardano prevalentemente l’analisi e
predizione delle prestazioni di sistemi paralleli e distribuiti. E’ autore di oltre 100 articoli scientifici
su riviste e conferenze internazionali ed è stato coordinatore di numerosi progetti di ricerca.
3 Descrizione dei bisogni che si intende soddisfare
Per quanto descritto precedentemente, il progetto mira a soddisfare nuovi bisogni, nati dall’utilizzo
sempre più pervasivo del cloud, anche nelle pubbliche amministrazioni, al fine di garantire requisiti
di sicurezza. In particolare, il progetto SPECS propone una soluzione concreta alla necessità di
negoziare il livello di sicurezza di un servizio cloud, configurandolo sulla base di specifiche
necessità, e alla necessità di monitorare la sicurezza realmente offerta dalla soluzione, al fine di
poter effettivamente garantire un Security SLA. In particolare, per quanto riguarda la negoziazione
della sicurezza, SPECS: (a) permette agli utenti di negoziare servizi di sicurezza, non solo per lo
specifico provider, ma anche per lo specifico servizio offerto (ad oggi questa funzionalità non è
offerta dai grandi player); (b) permette ai cloud provider di misurare quantitativamente la
sicurezza e garantire i Security SLO. Per quanto riguarda il monitoraggio della sicurezza, SPECS
permette di monitorare gli SLA, anche quando sono associati a servizi offerti da provider esterni.
Grazie alle funzionalità offerte dal framework SPECS, è inoltre possibile sviluppare nuovi Servizi di
Sicurezza con il modello di business as-a-Service, ovvero aggiungere/modificare servizi di sicurezza
on-demand, anche in aggiunta a servizi forniti da provider esterni e offrire nuovi servizi di
sicurezza fornite sotto il controllo di uno SLA.
4 Descrizione dei destinatari della misura
SPECS si rivolge a sviluppatori di servizi cloud e, in generale, a Cloud Service Provider privati che
possono personalizzare i loro servizi in sicurezza sulla base delle necessità dei loro clienti,

5. riuscendo a negoziare meccanismi di sicurezza aggiuntivi, a dispetto dei grandi cloud player. Alla
luce del piano triennale per l’Informatica nelle PA, pensiamo che tale soluzione possa accelerare
l’utilizzo del cloud anche nelle pubbliche amministrazione, dove requisiti quali sicurezza, privacy
dei dati e localizzazione dei dati diventano i fattori maggiormente determinanti per un effettivo
utilizzo di tale paradigma.
5 Descrizione della tecnologia adottata
Tutte le funzionalità descritte per gestire il ciclo di vita di un Security SLA, ovvero Negoziazione,
Enforcement e Monitoraggio, sono offerte come servizi web, accessibili mediante API standard ed
implementate con tecnologia REST.
Sono già disponibili applicazioni web-based per poter accedere alle principali funzionalità del
framework, che includono la gestione del ciclo di vita dei Security SLA e un catalogo contenente un
insieme di metriche di sicurezza.
6 Indicazione dei valori economici in gioco (costi, risparmi ipotizzati,
investimenti necessari) e tempi di progetto
Il framework SPECS, come risultato del progetto europeo, è un prototipo dimostratore che ha un
Technology Readiness Level pari a 4, è dunque necessario un effort di sviluppo e di re-
ingegnerizzazione dei servizi offerti per poterlo offrire ad un numero elevato di utenti.
Il completamento di tutte le funzionalità al più alto livello di maturità richiede un effort stimato di
circa due anni. E’ attualmente in corso un’analisi del modello di business per valutare la possibilità
di fondare una start-up dedicata che potrebbe offrire i primi servizi entro 6 mesi.