Un framework Zero-Trust per il deployment automatizzato di infrastrutture AI nelle PMI: un caso di studio in Secure DevOps

Abstract

Le Piccole e Medie Imprese (PMI) affrontano un paradosso: l'imperativo di adottare l'IA è spesso frenato da vincoli di risorse e minacce informatiche che rendono proibitiva un'implementazione sicura. Questa tesi colma tale divario utilizzando la Ricerca Costruttiva (Design Science) per progettare, implementare e valutare "FRANCA AI", un nuovo artefatto IT sviluppato in un contesto reale di PMI. La piattaforma affronta un problema tripartito: l'implementazione pragmatica della Zero Trust Architecture (ZTA), la creazione di una pipeline DevSecOps automatizzata e il deployment di un sistema di Retrieval-Augmented Generation (RAG) sicuro e governato.

FRANCA AI rende operativi i principi ZTA—tra cui containerizzazione rinforzata (hardened), micro-segmentazione e proxy identity-aware—attraverso una pipeline "shift-left". Questa pipeline automatizza i test di sicurezza (SAST, SCA, scansione dei container), garantisce l'integrità degli artefatti tramite SBOM e facilita aggiornamenti senza interruzioni (zero-downtime) con capacità di rollback automatico. Il livello applicativo dell'IA abilita funzionalità RAG sicure e multi-namespace, integrando dati proprietari con rigorosi controlli di accesso OAuth 2.0. L'implementazione tecnica si avvale di servizi containerizzati, Infrastructure-as-Code, Doppler per la gestione dei segreti e GitHub Actions che subordina le promozioni all'esito delle scansioni di sicurezza (es. Bandit, Trivy).

I contributi principali includono: un blueprint di riferimento implementabile su misura per i vincoli delle PMI; un framework di valutazione che collega i controlli di sicurezza alle metriche di affidabilità; e prove empiriche che un'automazione leggera migliora significativamente la resilienza operativa. Le limitazioni includono l'ambito ristretto a un singolo caso di studio e l'assenza di un red-teaming formale.

Small and Medium-sized Enterprises (SMEs) face a paradox: the imperative to adopt AI is often stalled by resource constraints and cyber threats that make secure deployment prohibitive. This thesis addresses this gap using Constructive Research (Design Science) to design, implement, and evaluate "FRANCA AI," a novel IT artifact developed within a real-world SME context. The platform addresses a tripartite problem: the pragmatic implementation of Zero Trust Architecture (ZTA), the creation of an automated DevSecOps pipeline, and the deployment of a secure, governed Retrieval-Augmented Generation (RAG) system. FRANCA AI operationalizes ZTA principles—including hardened containerization, micro-segmentation, and identity-aware proxies—through a "shift-left" pipeline. This pipeline automates security testing (SAST, SCA, container scanning), ensures artifact integrity via SBOMs, and facilitates zero-downtime updates with automated rollback capabilities. The AI application layer enables secure, multi-namespace RAG, integrating proprietary data with strict OAuth 2.0 access controls. Technical implementation relies on containerized services, Infrastructure-as-Code, Doppler for secrets management, and GitHub Actions gating promotions on security scans (e.g., Bandit, Trivy). Primary contributions include a deployable reference blueprint tailored to SME constraints, an evaluation framework connecting security controls to reliability metrics, and empirical evidence that lightweight automation significantly enhances operational resilience. Limitations include the single-case scope and the absence of formal red-teaming.