sicurezza

Progetto Medina: strumenti avanzati di certificazione dei servizi cloud Ue



Indirizzo copiato

Il progetto europeo Medina, finanziato da EU H2020, mira a fornire ai fornitori di servizi cloud (CSP) strumenti per una certificazione continua e automatizzata in linea con l’European Cybersecurity Certification Scheme for Cloud Service (EUCS). Medina unisce partner accademici, industriali e pubblici per migliorare la sicurezza e la fiducia dei clienti nei servizi cloud

Pubblicato il 4 set 2024

Michela Fazzolari

Ricercatrice IIT-CNR

Fabio Martinelli

Istituto di informatica e Telematica – Consiglio Nazionale delle Ricerche

Marinella Petrocchi

prima ricercatrice in Computer Science presso l’IIT-CNR, Pisa

Artsiom Yautsiukhin

Researcher at IIT-CNR



cloud collaboration
cloud collaboration

L’adozione del cloud computing nell’UE è ancora limitata. Tra le varie ragioni, una delle principali è la percezione dei clienti riguardo alla mancanza di sicurezza e trasparenza di questa tecnologia. I fornitori di servizi cloud (CSP) spesso si affidano a certificazioni di sicurezza come mezzo per migliorare questa trasparenza e affidabilità, ma ciò non è facile da fare in Europa al giorno d’oggi, principalmente a causa della frammentazione del mercato delle certificazioni.

Lo schema di certificazione EUCS

In questo contesto, l’EU Cybersecurity Act (EU CSA) propone di migliorare la fiducia dei clienti nel mercato ICT europeo attraverso una serie di schemi di certificazione a livello UE. Uno di questi è lo European Cybersecurity Certification Scheme for Cloud Service (EUCS) sviluppato dall’Agenzia dell’Unione Europea per la Cybersecurity (ENISA). Il progetto EUCS introduce concetti nuovi come:

  • Tre diversi livelli di garanzia: Base, Sostanziale e Alto[MP1]
  • Composizione delle certificazioni per la catena di fornitura cloud
  • Monitoraggio di certificazione continuo

Il progetto Medina

Tutto ciò implica nuove sfide tecnologiche per i fornitori di servizi cloud, che devono essere risolte per raggiungere pienamente i benefici attesi. In questo contesto, il progetto Medina, finanziato dall’EU H2020, mira a fornire ai CSP uno strumento che consenta loro di certificare i servizi cloud in modo automatizzato e in tempo reale. Il progetto Medina unisce partner accademici (CNR e Fraunhofer), industriali (Technalia, XLAB e Hewlett Packard Italiana), CSP pubblici (Bosch e Fabasoft) e enti di valutazione (NIXU) provenienti da 6 paesi dell’UE.

L’obiettivo del progetto di ricerca

L’obiettivo principale del progetto di ricerca europeo Medina è fornire un quadro olistico che migliori il controllo e la fiducia dei clienti sui servizi cloud consumati, supportando i CSP (fornitori IaaS, PaaS e SaaS) per il raggiungimento di una certificazione continua allineata all’EUCS. Il quadro proposto è composto da strumenti, tecniche e processi che supportano la valutazione continua delle misure di sicurezza per ottenere e mantenere la certificazione dei servizi cloud.

MEDINA si basa su su componenti che conferiscono al progetto una particolare rilevanza riguardo alla nozione di monitoraggio continuo e automatizzato dell’EUCS. Essi sono:

Catalogo dei controlli e delle metriche

EUCS fornisce una serie di requisiti di sicurezza, principalmente basati su standard internazionali, che devono essere valutati per certificare i servizi cloud. Al momento della stesura, l’EUCS non definisce le linee guida concrete o le “metriche di conformità” da utilizzare per valutare i requisiti. La mancanza di metriche standard dell’EUCS può diventare un problema per i CSP e gli enti di accreditamento delle certificazioni (CAB), che potrebbero dover utilizzare le proprie metriche personalizzate per implementare/valutare i requisiti dell’EUCS in modo automatizzato.

Medina ha definito un catalogo di requisiti EUCS e metriche, associati tra di loro.

Il catalogo offre la possibilità di valutare la conformità dei servizi cloud rispetto al livello di garanzia selezionato. Questo supporta i CSP a identificare l’ insieme dei requisiti di sicurezza da soddisfare per ottenere la certificazione.

Approccio basato sul rischio per i controlli di sicurezza

Medina propone uno strumento di supporto per i CSP, che possono stimare il rischio a cui vanno incontro se non sono conformi ad uno schema di certificazione.. Il rischio è calcolato tenendo conto delle informazioni sull’implementazione dei requisiti dell’EUCS e delle risorse cloud.

Obiettivo principale dell’analisi è stimare la deviazione dalla piena conformità rispetto a EUCS, considerando esigenze specifiche del singolo CSP. del servizio cloud. Le deviazioni sono classificate come maggiori o minori, assumendo che i servizi con deviazioni minori possano giustificare la mancanza dei requisiti dell’EUCS implementati, in quanto di effetto marginale sul quadro complessivo del rischio di sicurezza informatica, e ottenere un certificato.

Linguaggio di certificazione

Gli schemi di certificazione – e l’EUCS non fa eccezione – sono definiti in linguaggio naturale. E’ necessario quindi tradurre i requisiti degli schemi in un linguaggio eseguibile da un sistema informatico.

Medina ha definito un linguaggio naturale semicontrollato per la specifica dei requisiti e delle metriche, appoggiandosi anche a tecniche di elaborazione del linguaggio naturale (NLP) per l’associazione automatica di requisiti e metriche.

Raccolta delle evidenze e audit continuo

Essenziale per ottenere una certificazione basata su monitoraggio continuo è la raccolta di evidenze tecniche.

Medina offre un framework per la gestione delle evidenze digitali relative all’EUCS che, come i rischi, sono continuamente monitorate e valutate. In pratica, si raccolgono evidenze riguardanti l’operatività delle misure di sicurezza in atto, si confrontano tali evidenze con i valori che impone lo schema di certificazione, e se il confronto va a buon fine si ottiene la certificazione. Le evidenze raccolte in Medina sono sottoposte a controlli basati su tecniche di DLT/Blockchain per esser certi che non siano manipolate.

Conclusioni

Medina fornisce un framework modulare per la raccolta e valutazione delle evidenze, nonché per la valutazione del rischio in cui i CSP possono incappare se non ottengono la certificazione EUCS. Anche se la versione finale dell’EUCS non è ancora stata rilasciata, il framework Medina la anticipa con una raccolta di moduli pronti all’uso che supportano l’ambizioso obiettivo della certificazione di sicurezza informatica continua basata su evidenze. Queste attivita’ di ricerca continuano nei progetti EU EEMERALD e nazionale SERICS – DISE (Digital Sovereignty).


EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4