Un nuovo progetto di ricerca, denominato EMERALD, trasforma il panorama dei servizi basati sul cloud sviluppando un nuovo framework
Negli ultimi anni, il giro di affari che si basa sullo sviluppo di servizi e applicazioni basati sul cloud è aumentato notevolmente sia per le grandi che per le Piccole e Medie Imprese (PMI). Di conseguenza, si è sentita l’esigenza di rendere più agile il processo di certificazione dei servizi basati sul cloud, attraverso monitoraggi continui, in linea con le direttive contenute nell’EU Cybersecurity Act (EU CSA). Sebbene da un punto di vista tecnologico siano stati mostrati alcuni proof of concept per processi di certificazione basata sul continuo monitoraggio, esistono ancora molte sfide legate all’interoperabilità delle diverse tecnologie utilizzate.
Le imprese sono tenute a rispettare un’ampia serie di requisiti normativi, tra cui quelli relativi a sicurezza e privacy, in ambienti eterogenei, il che rende complesso e costoso integrare nuovi servizi e al contempo monitorare continuamente l’assolvimento di tali requisiti. Per aiutare gli sviluppatori a progettare e implementare servizi sicuri, sono necessarie nuove strategie per ottenere l’auto-adattabilità dei servizi e la portabilità dei dati.
Un nuovo progetto di ricerca, denominato EMERALD (Evidence Management for Continuous Certification as a Service in the Cloud), è stato finanziato dal programma Horizon Europe dell’Unione Europea con Grant Agreement 101120688. EMERALD si propone di trasformare il panorama dei servizi basati sul cloud, concentrandosi sullo sviluppo di un nuovo framework per migliorare la sicurezza e l’efficienza sia per le grandi imprese che per le PMI. Con l’impegno di sviluppare un processo di certificazione agile, EMERALD supporterà i fornitori di servizi cloud, i clienti e gli auditor nel processo di certificazione, promuovendo l’adozione di servizi cloud e garantendo che siano accessibili, sicuri e vantaggiosi per tutte le parti interessate.
L’obiettivo principale di EMERALD è quello di aprire la strada alla Certification-as-a-Service (CaaS) per una certificazione di cybersicurezza continua, ad esempio secondo quanto dettato dallo schema EUCS (European Cybersecurity Certification Scheme for Cloud Services). A questo scopo, EMERALD sfrutterà i risultati del progetto H2020 MEDINA (GA 952633), partendo dal TRL 5 (prototipo) e avanzando in EMERALD fino al TRL 7 (prodotto).
Per i fornitori di servizi cloud e per i clienti cloud, EMERALD offrirà un quadro per impostare, gestire e monitorare le loro certificazioni e consentire una ri-certificazione snella. Per gli auditors EMERALD offrirà un quadro di assistenza per l’audit.
Per realizzare l’obiettivo generale, EMERALD progetterà e implementerà un concetto di interazione con l’utente, offrendo una modalità uniforme per affrontare gli audit e un consistente grado di riduzione della complessità attraverso la personalizzazione del processo. Inoltre, EMERALD fornirà alle agenzie di cybersecurity e standardizzazione strategie e metodi innovativi per la creazione di requisiti e metriche di cybersecurity in grado di reagire ai cambiamenti e, se necessario, sufficientemente interoperabili per essere tradotti in altri schemi.
EMERALD è finalizzato a:
• Fornire strumenti di collezione di evidenze basati su un approccio graph knowledge-based.
• Ridurre la complessità delle certificazioni Cloud multi-schema grazie alla mappatura assistita tra requisiti di sicurezza e corrispondenti metriche.
• Fornire un’esperienza d’uso intuitiva nell’auditing continuo sia per gli auditor che per gli auditee.
• Fornire interoperabilità tra diversi framework di certificazione, strumenti di valutazione, e tipologia di dati.
• Convalidare i risultati in progetti pilota industriali.
• Promuovere il progetto, diffondere i risultati e coordinarsi con agenzie internazionali di settore.
Il consorzio EMERALD, guidato da Tecnalia (Spagna), è formato da un insieme equilibrato di partner accademici e industriali specializzati in aree quali la certificazione di requisiti disicurezza informatica, il cloud computing, l’intelligenza artificiale, il design UX/UI e i processi di auditing. Queste competenze diversificate assicurano un solido approccio al raggiungimento degli obiettivi di EMERALD, con un’attenzione particolare all’applicabilità pratica e alla rapida adozione dei risultati. Il consorzio comprende 11 partners: Tecnalia, Fraunhofer, Fabasoft, Consiglio Nazionale delle Ricerche, Software Competence Center Hagenberg, Know Center, CaixaBank, IONOS, CloudFerro, OpenNebula e Nixu.