L’evoluzione delle reti di telecomunicazioni radiomobili verso la quinta (e, in prospettiva, la sesta) generazione (5G/6G) e della rete fissa verso l’Internet del futuro (Future Internet) è caratterizzata da una integrazione sempre più stretta tra i segmenti di rete mobile e rete fissa, da un uso molto spinto di virtualizzazione e “softwarizzazione” nella rete e dall’interazione stretta con i mezzi di calcolo (cloud e edge computing). Inoltre, le cosiddette “applicazioni verticali” (vertical applications), già ora pensate e strutturate per il cloud, evolveranno verso una più stretta interazione bidirezionale con la rete attraverso il fornitore del servizio di telecomunicazioni (da “cloud-native” a “5G-ready”).

Questo scenario è reso possibile, tra l’altro, dall’introduzione di concetti di programmabilità nella rete stessa, attraverso i paradigmi di Software-Defined Networking (SDN) e di Network Functions Virtualization (NFV), volti ad accrescere grandemente l’efficienza e la flessibilità dei servizi di rete. Insieme al cloud, queste tecnologie sono alla base della profonda evoluzione che sta rivoluzionando il settore delle tecnologie dell’informazione e della comunicazione (Information and Communications Technologies – ICT) e l’industria delle telecomunicazioni. In particolare, SDN introduce una netta separazione tra apparati di commutazione (switch), dedicati all’inoltro dell’informazione pacchettizzata – anche sulla base di indirizzamento a diversi livelli protocollari – e apparati di controllo (controller) che elaborano le politiche di instradamento e inoltro tra switch in un determinato dominio di rete; NFV sposta la realizzazione delle funzionalità da svolgere per realizzare i servizi di rete da apparati hardware dedicati (ad es., router, switch Ethernet, una miriade di cosiddetti “middleboxes” con vari compiti) a realizzazioni software (Virtual Network Functions – VNFs) che possono girare su servergeneral-purpose” ed essere facilmente create, modificate, disattivate, migrate da una macchina ad un’altra, aumentando così la flessibilità e la facilità di realizzazione di nuovi servizi come catene di VNF. D’altra parte, ciò richiede un complesso meccanismo di “orchestrazione” delle VNF stesse da parte del gestore di rete (Network Service Provider – NSP).

D’altro canto, come mostrato in Figura 1, nuovi modelli di business e il grande potenziale costituito dai sistemi cyber-fisici (Cyber-Physical Systems – CPS) e dall’Internet delle Cose (Internet of Things – IoT) stanno favorendo la transizione verso architetture di calcolo e comunicazione integrate e distribuite, articolate su più domini amministrativi che ricadono sotto il controllo di diverse entità (tenants) cooperanti per fornire servizi agli utenti finali (end-users).

La “softwarizzazione” in corso nell’ambito della rete agevola la realizzazione di queste catene digitalizzate di servizi, favorendone la riconfigurazione dinamica in presenza di variazioni nella richiesta degli utenti e del carico della rete. Dal punto di vista dell’architettura e dei protocolli, questa tendenza ha guidato l’evoluzione da una visione incardinata sull’infrastruttura ad una centrata sui servizi, con numerosi vantaggi in termini di tempi di realizzazione e introduzione sul mercato, allocazione dinamica di risorse e loro gestione dinamica.

Tuttavia, in questo scenario evolutivo gli aspetti legati alla sicurezza di rete sono stati adeguati alla nuova situazione in misura minore rispetto alle reali necessità. Le applicazioni di sicurezza tradizionali a livello di sistema informatico (funzionalità quali firewall, antivirus, ecc.) coprono infatti un ambito limitato in un contesto con più operatori (multi-tenant) cooperanti alla realizzazione di un servizio e non sono in grado di coprire l’intera catena eterogenea di servizi di rete necessari ad offrire le funzionalità richieste da un determinato servizio applicativo. Dal punto di vista della cybersicurezza di rete, l’avvento delle tecnologie di virtualizzazione e di Mobile Edge Computing (MEC – sostanzialmente, un “avvicinamento” delle tecnologie di cloud computing verso l’utente nella rete di accesso, attraverso la realizzazione di micro-datacenter, per ridurre i tempi di risposta) sta progressivamente allargando l’area geografica su cui insiste la catena di valore delle risorse coinvolte (server, applicazioni, servizi virtualizzati, “oggetti” intelligenti). In conseguenza di questo, un numero crescente di processi di businessviene costruito su ambienti di rete distribuiti, multi-dominio, ed eterogenei, la cui portata complessiva va ben oltre l’ambito tradizionale del “perimetro di sicurezza” che ha caratterizzato le reti aziendali e i dispositivi al loro interno.

Questa crescente complessità mette quindi a dura prova le soluzioni di cybersicurezza di rete. Se, da un lato, garantire un adeguato livello di sicurezza per ogni componente locale di servizio potrebbe risolvere il problema all’interno di ogni dominio gestito da uno specifico operatore, questa soluzione graverebbe le risorse di rete di un carico non indifferente. D’altro canto, ridurre questo carico su un singolo dominio metterebbe a rischio l’intera catena di servizio; inoltre, ciascun tenant non possiede una conoscenza adeguata delle applicazioni di sicurezza messe in opera dagli altri.

Una possibile soluzione (si veda, ad esempio, il riferimento 1 per un approfondimento) consiste nella creazione di una entità di gestione centralizzata che abbia sufficiente conoscenza dell’informazione necessaria al controllo di sicurezza dell’intera catena di servizio, assicurando così la protezione da sorgente a destinazione (end-to-end) e garantendo implicitamente la mutua affidabilità tra i diversi attori coinvolti nella catena stessa. La presenza di una entità di gestione di questo tipo garantisce inoltre la possibilità di realizzare politiche di sicurezza più efficienti, flessibili e programmabili, adattate ai bisogni delle applicazioni di sicurezza dei servizi e delle risorse che compongono una specifica catena di servizio, riducendo così anche il carico computazionale sull’intero sistema. Tale soluzione comporta l’evoluzione del paradigma centrato sul servizio verso una federazione di sistemi embedded, in cui agenti software “locali” sono distribuiti nei punti da monitorare e sono connessi al gestore centralizzato. Le funzionalità svolte da tali agenti possono essere estremamente ridotte rispetto a quelle che sarebbero richieste da un loro intervento decisionale: il loro compito è essenzialmente di monitoraggio, rivelazione di anomalie, trasmissione delle informazioni locali necessarie al gestore e realizzazione delle azioni locali derivanti dall’esecuzione delle politiche di sicurezza che questo elabora sulla base delle informazioni ricevute dai vari agenti. Il concetto è per certi versi assimilabile all’interazione che avviene tra controller e switch nel contesto SDN.

Notiamo infine che, in questo scenario, l’utilizzo dei cosiddetti sistemi di cyber-range, vere e proprie “palestre” isolate e controllate su cui sperimentare soluzioni di cyber-security e addestrare gli operatori, riveste una rilevanza crescente per la verifica di politiche, funzionalità e applicazioni di sicurezza prima del loro impiego in contesti quali il 5G e oltre. I cyber-range consento la verifica e l’addestramento in un ambiente virtualizzato con la possibilità di emulare scenari realistici, facilitando la realizzazione di soluzioni più efficienti e robuste nel contrasto di attacchi con un elevato livello di sofisticazione.

I concetti qui esposti sono attualmente sviluppati in diversi progetti europei H2020, tra cui ASTRID (https://www.astrid-project.eu), GUARD (https://www.guard-project.eu) e SPIDER (https://spider-h2020.eu), nei quali gli estensori di questa nota sono attivamente coinvolti.

 

1 R. Bolla, A. Carrega, F. Davoli, M. Repetto, O. R. Sanchez, "Security implications, issues and approaches in programmable networks", in G. Bianchi, W. Cerroni, S. Palazzo, Eds., Network Programmability: a (r)evolutionary approach, CNIT Technical Report Series 06, TEXMAT, Rome, Italy, Dec. 2020, pp. 185-201. ISBN: 9788894982442. 

Raffaele Bolla, Alessandro Carrega, Franco Davoli, DITEN-Università di Genova e Consorzio Nazionale Interuniversitario per le Telecomunicazioni (CNIT), Laboratorio Nazionale di Reti Intelligenti e Sicure (Smart and Secure Networks – S2N), Genova (http://s2n.cnit.it/)