Il Cnr partner del progetto Medina per creare un sistema sicuro e unico di certificazione cloud, sulla scia dello Schema europeo di certificazione
Il Cnr partner del progetto Medina per creare un sistema sicuro e unico di certificazione cloud, sulla scia dello Schema europeo di certificazione di sicurezza informatica per i servizi cloud (EUCS), per garantire sicurezza, trasparenza e affidabilità, oltre che contribuire ad aiutare l’Europa a prepararsi per le sfide del cloud di domani.
Il cloud computing ha ancora una adozione limitata in Europa, nonostante i suoi evidenti vantaggi: questo perché gli utenti hanno ancora una percezione di scarsa sicurezza e trasparenza di questa tecnologia. I fornitori di servizi cloud (CSP = Cloud Service Providers) di solito si affidano alle certificazioni di sicurezza per dare ai loro potenziali clienti una prova della loro trasparenza e affidabilità, ma il “mercato delle certificazioni” è contesto frammentato, in cui agiscono diversi attori che spesso non si riconoscono a vicenda come affidabili.
Per superare questa difficoltà l’EU Cybersecurity Act (EU CSA), varato dalla Commissione europea, ha proposto di adottare lo Schema europeo di certificazione di sicurezza informatica per i servizi cloud (EUCS): una nuova certificazione, sicura e basata sul digitale, che risulti affidabile sia per i fornitori europei di servizi cloud che per i loro clienti. Questo nuovo tipo di certificazioni apre nuove sfide tecnologiche per soddisfare i diversi “livelli di garanzia” che l’EU CSA richiede.
Ed è proprio su queste sfide che sta lavorando Medina, la “Research and Innovation Action” finanziata dal programma europeo H2020: l’obiettivo è di creare entro la fine del 2023 un sistema sicuro per ottenere una certificazione continua per i Cloud Service Providers, basata su audit e pronta per rispondere proprio alle richieste dell’EUCS.
Il consorzio Medina, guidato da Tecnalia, è costituito da una serie di partner accademici e industriali che svolgono ruoli chiave nell’ecosistema della certificazione della sicurezza cloud dell’Unione Europea. Medina raggruppa centri di ricerca (Tecnalia, Consiglio nazionale delle ricerche, Fraunhofer), fornitori di cloud (Bosch, Fabasoft), fornitori di tecnologia (Hewlett Packard Enterprise, XLAB) e auditing (Nixu).
Il consorzio affronterà nuove sfide nell’area della certificazione di sicurezza dei sistemi cloud. In particolare, Medina si occuperà di:
– realizzare una guida all’implementazione dei controlli EUCS, comprese le misure da applicare e le prove da raccogliere, riducendo così il tempo del processo di certificazione;
– garantire il supporto per le verifiche automatiche di conformità dei controlli nei principali schemi di certificazione della sicurezza del cloud, riducendo l’impegno umano, i costi e i rischi per
– ottenere e mantenere una certificazione;
– operare uno snellimento per la raccolta e valutazione delle tracce digitali;
– assicurare un audit trail delle tracce digitali, per garantire che nessuno le abbia manomesse durante il periodo di validità del certificazione.
All’interno del progetto i ricercatori dell’Istituto di informatica e telematica (Iit) del Cnr – tutti parte dell’Unità di Ricerca Trust, Security and Privacy- Marinella Petrocchi, Artsiom Yautsiukhin, Michela Fazzolari, Fabio Martinelli si occupano di:
– coordinamento del Work Package sul Medina Certification Language, per un linguaggio machine-readable universale che soddisfi i requisiti dei principali schemi di certificazione cloud;
– sviluppo degli strumenti per la quantificazione dei rischi a cui i cloud providers si espongono se non soddisfano i requisiti;
– coordinamento delle attività di disseminazione.
La metodologia di Medina verrà valutata in due casi d’uso reali che coprono i tre modelli di servizio cloud (IaaS, PaaS e SaaS) esistenti sul mercato. Bosch si occuperà di implementare uno scenario per la certificazione europea di backend multi-cloud per soluzioni IoT, mentre Fabasoft convaliderà un audit continuo di soluzioni SaaS per il settore pubblico. Il consorzio aumenterà anche la consapevolezza sui benefici del progetto nel contesto del Cybersecurity Act, portando avanti attività di training e di standardizzazione (ad esempio, ENISA EUCS).
Il progetto ha completato la metà del percorso (la sua durata complessiva sarà di 36 mesi) e sta progredendo rapidamente per raggiungere le prossime tappe. Finora il lavoro si è concentrato sulla definizione dell’architettura generale di Medina, delle sue componenti e della loro integrazione. Il tutto sarà convalidato dai casi d’uso portati da Bosch e Fabasoft. Tra gli strumenti già sviluppati spiccano il servizio di gestione del rischio e il catalogo dei requisiti e delle metriche di sicurezza, entrambi essenziali per un monitoraggio continuo (e automatico), come richiesto da EUCS e da altri schemi di certificazione.
Medina contribuisce alla politica europea di certificazione della sicurezza del cloud, migliora l’affidabilità dei servizi cloud grazie alla conformità con gli schemi di certificazione di sicurezza, collabora con le parti interessate e aiuta l’Europa a prepararsi per le sfide di sicurezza del cloud di domani.
Vedi anche: