Negoziazione di risorse e politiche di sicurezza in ambienti di cloud computing

L’attività dell’unità di ricerca UniCT si è focalizzata su due tematiche di ricerca: R1) gestione
dinamica degli SLA in ambienti Cloud Computing e R2) gestione della sicurezza in ambienti di
Cloud Computing. Rispetto a ciascuna tematica sono stati effettuati studi di revisione dello stato
dell’arte che hanno supportato la successiva realizzazione degli obiettivi. In merito a tale
realizzazione, è stata portata avanti un’intensa attività di progettazione cui hanno fatto seguito
attività specifiche di implementazione e testing di prototipi software.

Gestione dinamica degli SLA in ambienti Cloud Computing

Il lavoro specifico effettuato nell’ambito della tematica di ricerca R1 ha riguardato la definizione
e la realizzazione di un framework per la negoziazione di SLA su risorse computazionali gestite
secondo il paradigma del Cloud Computing. Tale framework va ad integrarsi in un contesto più
ampio di piattaforma per la gestione di risorse Cloud in contesti di tipo volunteer, che è proprio
l’obiettivo complessivo del progetto CLoud@Home. In tale contesto il lavoro svolto da UniCT ha
voluto fornire un supporto concreto alla risoluzione delle problematiche specifiche di gestione
della volatilità delle risorse. Compito specifico del framework è stato quello di fornire un
supporto per la creazione, il monitoraggio e l’enforcement di SLA tra i consumer di risorse
volunteer e i provider degli stessi. In merito alla fase di creazione dello SLA, è stato pensato un
semplice processo di negoziazione dei parametri di qualità del servizio che obbligasse il
provider delle risorse a fornire dei template di SLA che facessero da guida al consumer per la
scelta dei parametri. In un successivo passaggio, con la collaborazione di altri componenti della
piattaforma, il framework è in grado di negoziare automaticamente tali parametri con il
consumer sulla base delle informazioni relative alla disponibilità di risorse. Una volta approvato
lo SLA, il framework è responsabile per il ciclo di vita dello stesso. Lo SLA stesso viene
monitorato con la collaborazione di strumenti di monitoring della piattaforma stessa, e nel caso
in cui dovesse essere registrata una qualunque violazione, sarà cura del framework effettuare
una terminazione formale dello SLA e del servizio in fase di erogazione. Il supporto al processo
di negoziazione e creazione dello SLA è stato fornito dal protocollo WS-Agreement. In fase di
progettazione sono state studiate modifiche al protocollo al fine di conferire al processo di
negoziazione caratteristiche di dinamicità e flessibilità.
In particolare poichè in uno scenario reale un generico servizio può essere fornito a partire dalla
composizione di molteplici servizi, eventualmente in esecuzione e gestiti da diversi domini
amministrativi, la qualità del servizio finale fornito all’utente è fortemente influenzata dalla
qualità dei singoli servizi componenti. Se solamente uno dei servizi elementari che compongono
il servizio complessivo viola a runtime i livelli di qualità dichiarati nello SLA, è molto probabile
che anche la qualità complessiva venga compromessa. Si sono quindi introdotte delle
opportune modifiche sia allo schema che al protocollo WS-Agreement che permettono la
rinegoziazione a runtime delle garanzie di QoS nel momento in cui, a runtime, ci si accorge che
si sta per violare i livelli di qualità stabiliti. La rinegoziazione permette dunque di evitare la
sospensione del service provisioning e di conseguenza la terminazione brutale dell’agreement.
In fase di prototipizzazione le funzionalità del framework sono state raggruppate in un
componente software che ha preso il nome di SLA Manager. Tale componente “vive” in un più
ampio contesto di piattaforma cloud che prende il nome di Cloud@Home, e collabora con altri
componenti (Frontend, RQM) per la realizzazione di numerosi task. Sono stati quindi progettati
degli scenari specifici con lo scopo di validare le funzionalità della piattaforma in generale, e del
componente SLA Manager nello specifico. Gli scenari riguardano la fruizione di risorse virtuali in
configurazione cluster costruite a partire da risorse fisiche messe a disposizione da centri di
calcolo accademici. Sono quindi stati creati una serie di SLA template quali basi di partenza per
la definizione degli SLA. Il componente SLA Manager è stato testato dapprima in uno scenario
di definizione dello SLA, che prevedeva l’interazione con il consumer da una parte e con il
componente RQM dall’altra. Quindi le funzionalità dello SLA manager sono state testate in uno
scenario di QoS recovery, in cui lo SLA Manager ha collaborato con i componenti RQM, CHASE
e MAGDA per assicurare l’obiettivo di QoS contrattato nello SLA. In entrambi gli scenari lo SLA
Manager ha risposto secondo le direttive stabilite in fase di progettazione.
Le attività svolte hanno permesso ai componenti dell’unità di ricerca di approfondire le
tematiche relative alla Qualità del Servizio negli ambienti Cloud: in particolare si è riscontrato
che il mercato odierno del cloud computing è dominato da soluzioni proprietarie per quanto
riguarda modelli di delivery delle risorse, modelli di prezzo e Service Level Agreement. Nei futuri
mercati cloud, quando gli standard tecnologici per le cloud saranno maturi e la piena
interoperabilità tra cloud diverse sarà una realtà, la concorrenza dei provider si giocherà sulla
capacità di fornire livelli di Qualità del Servizio differenziati e adattati alle esigenze dei clienti.
Tutto ciò comporterà una diversificazione delle offerte cloud in termini di modelli di SLA,
protocolli di negoziazione delle risorse e modelli di prezzo.
Si è quindi affrontata l'esigenza di supportare i clienti nella scelta dell'offerta cloud che dal punto
di vista delle caratteristiche di business (modello di prezzo, protocolli di negoziazione, qualità
offerta, SLA) meglio si adatta alle esigenze della propria applicazione. E’ stato quindi definito un
modello strutturato mediante uso di tecnologie semantiche per descrivere le caratteristiche di
business delle risorse cloud e dei requisiti degli applicativi in modo da poter costruire un
processo efficace di matchmaking tra domanda e offerta. A tal fine, sono state sviluppate un
insieme di ontologie per descrivere e caratterizzare le risorse offerte dai cloud provider da un
lato, e le esigenze delle applicazioni espresse dai clienti dall'altro. Grazie a queste ontologie è
stato definito un meccanismo flessibile di pubblicazione e discovery semantico delle risorse
cloud che include come criteri modelli di prezzo, capacità di negoziazione e livelli di qualità dei
servizi offerti.

I risultati di questa attività sono confluiti nei seguenti lavori presentati in conferenze
internazionali e pubblicati su riviste internazionali. I lavori in collaborazione con le altre unità di
ricerca testimoniano le interazioni avute durante lo svolgimento del progetto nonchè l’elevato
livello di sinergia tra alcuni componenti delle unità.

● Giuseppe Di Modica and Orazio Tomarchio. Flexible and dynamic SLAs management in
Service Oriented Architectures. In Nikola Milanovic, editor, Engineering Reliable Service
Oriented Architecture: Managing Complexity and Service Level Agreements, pages
22-40. IGI Global, 2011.
● A. Cuomo, G. Di Modica, S. Distefano, A. Puliafito, M. Rak, O. Tomarchio, S.
 Venticinque, and U. Villano. An SLA-based Broker for Cloud Infrastructures. Journal of
Grid Computing, pages 1-25, 2012.
● Antonio Cuomo, Giuseppe Di Modica, Salvatore Distefano, Massimiliano Rak, Alessio
Vecchio: The Cloud@Home Architecture - Building a Cloud Infrastructure from
Volunteered Resources. In CLOSER 2011 - Proceedings of the 1st International
Conference on Cloud Computing and Services Science, pages 424-430,
Noordwijkerhout, Netherlands, May, 2011
● Salvatore Distefano, Antonio Puliafito, Alessio Vecchio, Marco Avvenuti, Giuseppe Di
Modica, Orazio Tomarchio, Umberto Villano, Salvatore Venticinque, Massimiliano Rak,
and Beniamino Di Martino. The Cloud@Home Project: Towards a New Enhanced
Computing Paradigm. In Euro-Par 2010 Parallel Processing Workshops, volume 6586 of
Lecture Notes in Computer Science, pages 555-562, Ischia, Italy, August 2011.
● Giuseppe Di Modica and Orazio Tomarchio. A semantic model to support advanced
supply-demand matchmaking in future cloud resources market. In KEOD 2011 -
Proceedings of the International Conference on Knowledge Engineering and Ontology
Development, pages 429-432, Paris (France), October 2011.
● S. Distefano, A. Puliafito, M. Rak, S. Venticinque, U. Villano, A. Cuomo, G. Di Modica,
and O. Tomarchio. QoS management in Cloud@Home infrastructures. In Proceedings -
2011 International Conference on Cyber-Enabled Distributed Computing and Knowledge
Discovery, CyberC 2011, pages 190-197, Beijing (China), October 2011.
● Giuseppe Di Modica and Orazio Tomarchio. A semantic discovery framework to support
supply-demand matchmaking in cloud service markets. In CLOSER 2012 - Proceedings
of the 2nd International Conference on Cloud Computing and Services Science, pages
533-541, Porto (Portugal), April 2012.
● Giuseppe Di Modica and Orazio Tomarchio. A semantic model for utility driven discovery
of cloud resources. In Proceedings - 2012 6th International Conference on Complex,
Intelligent, and Software Intensive Systems, CISIS 2012, pages 822-827, Palermo
(Italy), July 2012.

Gestione della sicurezza in ambienti di Cloud Computing

Il lavoro specifico effettuato nell’ambito della tematica di ricerca R2 ha riguardato la definizione
e la realizzazione di un framework per la gestione dei livelli di sicurezza in ambienti di Cloud
Computing. Il contesto da cui si è partiti è quello di un mercato di servizi Cloud, offerti da svariati
Cloud Provider, ciascuno dei quali offre livelli di sicurezza differenti in termini di autenticazione,
confidenzialità ed integrità dei dati. Nasce l’esigenza per il consumer di orientarsi in un tale
contesto eterogeneo e tutelare la propria sicurezza in senso lato, secondo quelle che sono le
proprie esigenze e percezioni. In tale ambito, l’obiettivo è stato quello di fornire al consumer uno
strumento con il quale potesse essere in grado di ricercare provider cloud che potessero
soddisfare alle proprie specifiche esigenze di sicurezza; al contempo, si vuole fornire al provider
di servizi cloud uno strumento con il quale poter caratterizzare in maniera univoca ed universale
i livelli di sicurezza che egli è in grado di offrire.In ultima analisi, lo strumento in questione deve
essere in grado di effettuare un match tra quelle che sono le specifiche esigenze di sicurezza
del consumer e le caratteristiche di sicurezza offerte invece dai diversi Cloud provider. In tale
ampio contesto, il primo passo è stato quello di analizzare specifiche e standard di sicurezza
nati in ambito di Web Services da poter eventualmente reimpiegare nel progetto. Quindi sono
stati analizzati una serie di linguaggi per la specifica di politiche di sicurezza, con lo scopo di
verificare se eventualmente qualcuno di questi potesse essere adattato al contesto specifico di
sicurezza in ambito Cloud. In seguito ad un’approfondita analisi dello stato dell’arte, fatta di
studi comparativi di specifiche e linguaggi di policy, si è scelto di adottare la notazione
WS-Policy per rappresentare le politiche di sicurezza. Quindi si è passati a progettare un
particolare modello ontologico descrittivo del contesto di sicurezza. L’idea di base è stata quindi
quella di annotare semanticamente i documenti WS-Policy in maniera tale da poter attuare un
matching semantico tra quelli che sono i requisiti di sicurezza espressi dal consumer e le
effettive capacità espresse dai providers: un tale matching, infatti, va oltre il semplice confronto
tra parole chiavi, e fornirà risultati rispondenti alle reali esigenze manifestate. Si è passati quindi
alla progettazione di un motore semantico in grado di effettuare il match secondo opportune
tecniche note in letteratura. Infine, è stato realizzato un prototipo software del framework di
discovery fin quì descritto. I test mirati a validare l’approccio adottato hanno fornito riscontri
positivi. il passo successivo è stato quello di studiare l’integrabilità di tale approccio nell’ambito
di un più ampio contesto di SLA. Prendendo a riferimento la specifica WS-Agreement, sono stati
effettuati test di integrazione delle specifiche di sicurezza all’interno di uno SLA. E’ stato quindi
progettato uno scenario di impiego, che prevedeva la presenza di più Cloud Provider i quali
dichiaravano le proprie capacità di fornire livelli di sicurezza in una specifica sezione di uno
SLA. In tale scenario, il consumer esprime i propri requisiti di sicurezza che vengono inglobati in
uno SLA template. Un motore di negoziazione si occupa quindi di interagire con gli SLA
pubblicati dai vari provider, e di trovare quello che soddisfa al meglio le esigenze del consumer.
Anche i risultati di questa attività sono confluiti in vari lavori presentati in conferenze
internazionali e pubblicati su riviste internazionali.

● Giuseppe Di Modica and Orazio Tomarchio. Semantic Security Policy Matching in

service oriented architectures. In Proceedings - 2011 IEEE World Congress on Services,
SERVICES 2011, pages 399-405, Washington DC (USA), July 2011.
● Giuseppe Di Modica and Orazio Tomarchio. Semantic annotations for security policy
matching in WS-Policy. In SECRYPT 2011 - Proceedings of the International Conference
on Security and Cryptography, pages 443-449, Seville (Spain), July 2011.
● G. Di Modica, O. Tomarchio, M. Rak, and L. Liccardo. Ontology-based Negotiation of
Security Requirements in Cloud. In 8th International Conference on Information
Assurance and Security, Sao Carlos (Brasil), November 2012.