17312

ЗАХИСТ GRID-ТЕХНОЛОГІЙ

Лекция

Информатика, кибернетика и программирование

Лекція 24. Захист Gridтехнологій Загальні положення Технологія Grid призначена для створення географічно розподіленої обчислювальної інфраструктури що об'єднує ресурси різних типів з колективним доступом до цих ресурсів в рамках віртуальних організацій що складаютьс...

Украинкский

2013-06-30

134.5 KB

7 чел.

Лекція 24. Захист Grid-технологій

Загальні положення

Технологія Grid призначена для створення географічно розподіленої обчислювальної інфраструктури, що об'єднує ресурси різних типів з колективним доступом до цих ресурсів  в рамках віртуальних організацій, що складаються з підприємств і фахівців, що спільно використовують ці загальні ресурси.

Ідейною основою технології Grid є об'єднання ресурсів шляхом створення комп'ютерної інфраструктури нового типу (Grid-інфраструктури), що забезпечує глобальну інтеграцію інформаційних і обчислювальних ресурсів на основі мережевих технологій і спеціального програмного забезпечення проміжного рівня (між базовим і прикладним ПЗ), а також набору стандартизованих служб для забезпечення надійного сумісного доступу до географічно розподілених інформаційних і обчислювальних ресурсів: окремим комп'ютерам, кластерам, сховищам інформації і мережам.

Архітектура Grid належить до архітектури, орієнтованої на сервіс (Service Oriented Architecture – SOA). Веб - сервіси на основі SOA дозволяють виключити міжпрограмні і інформаційні обміни, що сприяє раціоналізації операцій, збільшенню продуктивності, більшої гнучкості і низької вартості обчислень.

Найбільш важливим стандартом, покликаним визначити загальну, стандартну і відкриту архітектуру Grid, є стандарт Open Grid Services Architecture (OGSA). OGSA є сервіс-орієнтованою архітектурою, в якій специфікується набір розподілених обчислювальних патернів, що реалізовуються з використанням Web-сервісів. Стандарт призначається для визначення всіх основних сервісів, які можуть використовуватися в додатках e-business або e-science, включаючи управління роботами і ресурсами, комунікації і безпеку.

OGSA направлена на стандартизацію адресації (для сумісності), за допомогою визначення основи структури додатку GRID. По суті стандарт OGSA визначає сервіси GRID, їх можливості і те, на яких технологіях вони засновані. OGSA направлена на побудову і установку інтерфейсів, з яких можуть бути побудовані, системи, засновані на відкритих стандартах WSDL.

Основні характеристики GRID-систем, що впливають на рішення з безпеки

Структурно GRID-системи складаються із трьох складових: розподілені ресурси для виконання продуктивних обчислень, розподілені системи збереження даних та системи забезпечення розподілення навантаження на канали зв’язку.

Основними критеріями, що виділяють GRID - системи серед інших систем, що забезпечують доступ до ресурсів, що розділяються, є наступні:

  1.  Координація використання ресурсів, які не є об'єктом централізованого управління шляхом віртуалізація ресурсів і призначених для користувача груп у формі Віртуальних Організацій. GRID - системи мають лише обмежений доступ до ресурсів, залежний від політики того адміністративного домену (організації-власника), в якому цей ресурс знаходиться.
  2.  Динамічне розгортання сервісів на вимогу:
  •  надання нетривіальної якості сервісів в орієнтованому для сервісу середовищі (SOA - Service Oriented Architecture);
  •  середовище/домен безпеки визначається користувачем.
  1.  Використовує стандартні, відкриті і універсальні протоколи і інтерфейси на основі XML Web Services, Web Services Resource Framework (WSRF) і Open Grid Services Architecture (OGSA).

Віртуалізація підтримує погоджений доступ до ресурсів на різних гетерогенних платформах, дозволяє визначати відображення множини логічних екземплярів ресурсів на один і той же фізичний і допомагає управлінню ресурсами в розподіленій багатодоменному середовищі:

Віртуалізація Grid - сервісів дозволяє відображувати загальну семантичну поведінку сервісів на оригінальні механізми платформи

Віртуальні організації (ВО) (VO - Virtual Organization) є формою об’єднання ресурсів і користувачів, орієнтованих на виконання певних завдань і надання певних сервісів:

  •  дозволяють формувати нові сервіси з компонентних ресурсів і сервісів;
  •  ВО створюється на основі угоди і обов'язково включає правила у формі політики ВО.
  •  можуть містити специфічні сервіси для всієї VO.

Дозволяють стандартним чином обійти обмеження системи безпеки підприємства.

GRID - системи як правило, забезпечують роботу з наступними типами ресурсів:

  •  обчислювальні ресурси  –  окремі комп'ютери, кластери;
  •  ресурси зберігання даних – диски і дискові масиви, стрічки, системи масового зберігання даних;
  •  мережеві ресурси;
  •  програмне забезпечення – яке-небудь спеціалізоване ПО.

GRID - система є середовищем колективного компьютингу, в якій кожен ресурс має власника, а доступ до ресурсів відкритий в режимі, що розділяється за часом і по простору, мнлжини користувачів, що входять до віртуальної організації - сукупність людей і організацій, що вирішують спільно те або інше загальне завдання і які надають один одному свої ресурси. Віртуальні організації можуть розрізнятися за складом, масштабом, часом існування, родом діяльності, цілями, відносинами між учасниками (довірені/не довірені особи) і так далі. Склад віртуальних організацій може динамічно мінятися.

Для ефективного розподілу ресурсів і їх координації використовується планувальник ресурсів. Користуючись інформацією про стан GRID - системи, планувальник визначає найбільш відповідні ресурси для кожного конкретного завдання і резервує їх для її виконання. Під час виконання завдання може запитати додаткові ресурси або звільнити надмірні. Після завершення завдання всі відведені для неї обчислювальні ресурси звільняються, а ресурси пам'яті можуть бути використані для зберігання результатів роботи.

Центральним місцем у GRID-системі є Інтернет-портал де повинні бути сконцентровані засоби керування проектами, інформаційні ресурси, так і виконуватися координація обчислювальних ресурсів та збереження даних, а також відбиватися результати моніторингу стану обчислювального середовища та комунікаційних ресурсів. GRID-системи.

Проблеми безпеки в оточенні Grid є складними у зв'язку з тим, що ресурси часто розташовані в різних адміністративних доменах, причому кожен ресурс має власні права доступу. Питання захисту також ускладнюються тим, що є різні вимоги користувачів, власників ресурсу і розробників, які створюють або пристосовують їх поточні програми і інструменти, щоб скористатися Grid - технологією.

Користувач (людина або інша програма) чекають, що безпечна система Grid буде легка у використанні, забезпечить єдину авторизацію при вході, надасть делегування прав і підтримку всіх ключових додатків.

Власники ресурсів вимагають, щоб захист визначав локальний контроль доступу, мав стійкий і детальний аудит і облік, був здатний об'єднуватися з локальною інфраструктурою безпеки. Повинен бути захист у випадку, якщо інші ресурси поставлені під загрозу.

З погляду розробників, протокол захисту Grid повинен мати стійкий API/SDK, який дозволяє прямі виклики до різних функцій.

Крім того обробка інформації у віртуальному середовищі має свої специфічні особливості, відсутні у фізичному середовищі:

  •  інформація обробляється в гостьових машинах, які знаходяться під повним контролем гіпервізора, здатного абсолютно непомітно для традиційних засобів захисту інформації перехоплювати всі дані, що йдуть через пристрої;
  •  адміністратор віртуальної інфраструктури, що має права доступу до гіпервізора, стає дуже важливим суб'єктом безпеки інформаційної системи – фактично він може дістати доступ до інформаційних ресурсів в обхід існуючої політики інформаційної безпеки компанії;
  •  засоби управління віртуальною інфраструктурою є самостійним об'єктом атаки, проникнення до них дає можливість порушникові дістати доступ до серверів віртуалізації гіпервізорів, а потім до конфіденційних даних, що обробляються на гостьових машинах;
  •  традиційні засоби захисту інформації, розроблені для захисту фізичної інфраструктури, можуть не враховувати існування гіпервізора, що є фактично порушником, що реалізовує атаку «чоловік в середині», при взаємодії гостьової машини зі всіма пристроями;
  •  диски гостьових машин можуть розміщуються в мережевих сховищах, які повинні фізично захищатися як самостійні пристрої;
  •  традиційні міжмережеві екрани не контролюють трафік усередині сервера віртуалізації, де можуть знаходитися десятки гостьових машин, що взаємодіють між собою по мережі, проте цей мережевий трафік не покидає сервера віртуалізації і не проходить через фізичні міжмережеві екрани і інше фізичне мережеве устаткування;
  •  канали передачі службових даних серверів віртуалізації зазвичай не захищені, хоча по цих каналах серед інших даних передаються фрагменти оперативної пам'яті гостьових машин, які, зрозуміло, можуть містити конфіденційні дані.

Загрози безпеки в Grid – інфраструктурі

Основними загрозами для інформації що обробляється в GRID-системах є:

  •  загроза розкриття, яка полягає в тому, що інформація, яка призначалася тільки для певного кола осіб, стає відомою ширшому колу осіб;
  •  загроза цілісності, яка полягає в тому, що в результаті деякої діяльності користувачів може бути спотворена інформація, що зберігається в місцях зберігання або передається середовищем передачі даних;
  •  загрози неналежного використання ресурсів (ресурси можуть бути використані для зберігання, наприклад, «піратської інформації»;
  •  загроза відмови служб, яка полягає в тому, що зловмисник певними діями може викликати перебої в роботі деяких системних сервісів.

Забезпечення інформаційної безпеки Грід-інфраструктури передбачає вирішення як мінімум двох завдань: забезпечення стану конфіденційності, цілісності і доступності інформації організаційними і програмно-технічними засобами і забезпечення відповідності вимогам законодавства відносно захисту конфіденційної інформації і персональних даних.

З урахуванням загроз та проблем, що виникають при забезпеченні безпеки Grid-систем, засоби безпеки Grid-інфраструктури повинні реалізовувати механізми захисту

Вимоги до механізмів захисту

Аутентифікація. Це процес перевірки достовірності ідентифікаційних даних або посвідчень учасника взаємодії. При вході в Grid - систему повинні підтримуватися різні механізми аутентифікації та методи їх використання в різних ситуаціях. Крім того, очевидна потреба в управлінні контекстом і його розділенні.

Єдиний вхід до системи (Single Sign-on). У середовищі Grid можуть виникати випадки, коли запитам доведеться проходити через багатократні домени безпеки. Тому для усунення загрози компрометації закритого ключа користувачеві необхідно забезпечити функцію єдиного входу – одноразового пред’явлення закритого ключа. Однократна реєстрація забезпечує користувачеві можливість лише один раз пройти процедуру аутентифікації і, таким чином, створити проксі-сертифікат (proxy certificate), який може бути пред'явлений програмою будь-якій видаленій службі для аутентифікації від імені користувача.

Делегування прав. Використовується для забезпеченя реалізації єдиного входу до системи. Делегування робить можливим створення і передачу видаленій службі делегованого проксі-сертифікату, який може бути використаний цією службою для виконання дій від імені користувача (можливо, з деякими обмеженнями); ця можливість виявляється важливою при виконанні операцій що мають вкладену структуру. Проксі-сертифікат підписується за допомогою приватного закритого ключа або ключа іншого проксі-сертифікату і має обмежений термін дії.

Життєвий циклу мандатів і його оновлення – у багатьох випадках можлива ситуація, коли процес, ініційований суб'єктом, виконується довше, ніж час дії виданого мандату. Тому необхідно передбачити оновлення мандату, для того, щоб робота могла бути закінчена.

Авторизаціядозвіл доступу до служб на підставі політик авторизації, пов'язаних з ними (хто і на яких підставах може здійснювати доступ), і надання можливості стороні, що викликає,  задавати політики виконання. Суть авторизації полягає в тому, що при вході користувача в систему визначаються його повноваження на виконання певних дій (виконання додатка, доступу до файлу або таблиці бази даних). В результаті авторизації виробляється відображення повноважень на локальні права (credentials) в конкретному середовищі безпеки.

Конфіденційність і цілісність даних. Дані, що передаються або зберігаються, мають бути захищені за допомогою адекватних механізмів, що перешкоджають нелегітимному доступу. В деяких випадках потрібно зробити так, щоб нелегітимні користувачі навіть не дізналися про існування цих даних.

Множинність інфраструктур безпеки. Для розподілених операцій необхідне управління і взаємодія з множинними інфраструктурами безпеки. Наприклад, для комерційного банку даних, ізоляція клієнтів усередині цього банку даних – основна вимога; GRID повинен здійснювати не тільки контроль доступу, але і надавати ізоляцію.

Обмін політиками – надання можливості обміну інформацією про політики безпеки сторонам, що викликають, для створення безпечного середовища обміну інформацією. Останні вимоги і рекомендації до архітектури Grid обумовлюються необхідністю орієнтації таких систем на технології Web-сервісів, коли певний вузол містить безліч сервісів, які він надає для використання іншими вузлам, що входять в Grid-систему. Даний механізм має надати вузлу, що містить сервіси, можливість опублікувати свої вимоги до безпеки надання сервісів, а іншим вузлам - можливість ці вимоги прочитати.

Взаємодія систем безпеки. Grid є гетерогенною системою, в якій об'єднана безліч вузлів і підмереж (домени). Кожен з таких доменів має свої механізми безпеки.

Таким чином, наявність механізмів трансляції сутностей і мандатів, які виконують перетворення між різними форматами представлення інформаційних структур (наприклад, перетворення мандатів PKI в мандати Kerberos), а також засобів прив'язки користувачів, які виконують співставлення прав користувачам з різних доменів.

Доступність сервісів – можливість за придатний час обробити увесь потік запитів, що надходять від користувача. Рівень доступності на певний час може визначатися як поточним завантаженням ресурсів Grid-системи, так і фактом реалізації атак, направлених на генерацію умов відмови в обслуговуванні.

Мінімізація повноважень сервісів Сервіси, обслуговуючі мережеві з'єднання з багатьма клієнтами, потенційно є найуразливішими для атак зловмисників. Дуже важливо, аби компрометація таких сервісів не приводила до компрометації клієнтів, що делегують свої права для виконання завдань. Якщо мережевий сервіс безпосередньо отримує від клієнтів делеговані права, то його компрометація неминуче приводить до того, що зловмисник отримає всі делеговані права його клієнтів і зможе від їх імені виконувати несанкціоновані власниками прав дії - запускати в різних вузлах Grid власні зловмисні завдання, діставати доступ до конфіденційної інформації, псувати файли клієнтів і ін.

Невідмовність від авторства Строге виконання зобов'язань має на увазі можливість визначити, що даний учасник виконав певне завдання, навіть якщо сам він це заперечує. Можливість підтвердити відповідність між завданнями і людьми, які їх виконують, має важливе значення, особливо в спірних ситуаціях.

Моніторинг дій користувачів та процесів під час роботи з віддаленими ресурсами Grid-системи.

Аналіз рівня забезпечення безпеки. Рівень захищеності, що надається засобами захисту Grid, є одним з найважливіших показників ефективності функціонування Grid, разом з такими показниками як надійність, відмовостійкість, продуктивність і тому подібне. Рівень захищеності Grid – це міра адекватності реалізованих в ньому механізмів захисту інформації ризикам безпеки, що існують для даної системи, пов'язаним з реалізацією загроз безпеці інформації.

Проникність мережевих екранів (firewalls). Основним бар'єром при передачі даних в динамічних, кросдомених Grid - системах є міжмережеві екрани, тому при проектуванні системи захисту необхідно забезпечити можливість вільної передачі даних через екран без зміни їх політик безпеки. Особливо складною її робить величезна кількість правил і умов, а також різні обмеження на міжнародних сайтах.

Безпека периметру

Багато завдань вимагають, щоб додатки могли використовуватися і поза власним firewall’ом. Колаборація InterGrid часто вимагає перетину зон дії firewall’ів різних організацій. OGSA потрібно стандартизувати безпечні механізми взаємодії firewall’ів.

Інтеграція з локальними системами безпеки.

Сертифікація - тестування інфраструктурного програмного забезпечення (ІПЗ, middleware) Grid -систем на відповідність стандарту.

Контроль цілісності конфігурацій віртуальних машин з метою запобігання додавання недозволених пристроїв (в основному накопичувачів різних типів) у гостьовій віртуальній машині, на які порушник може виконати копіювання конфіденційної інформації. Необхідно також забезпечити довірене завантаження й контроль цілісності сервера віртуалізації й гіпервізора за допомогою апаратно-програмних модулів довіреного завантаження або їх аналогів.

Інфраструктура безпеки Grid

В основному ці вимоги при побудові Grid-інфраструктури вирішується на основі інфраструктури Grid Security Infrastructure (GSI), яка по суті є розширенням інфраструктури відкритого ключа (PKI — Public Кеу Infrastructure).

Для вирішення завдань забезпечення безпеки сучасні Grid-системи використовують інфраструктуру Globus Grid Security Infrastructure (GSI). GSI забезпечує безпечну роботу (безпечну комунікацію) в незахищених мережах загального доступу (Інтернет), надаючи такі сервіси, як аутентифікація, авторизація, конфіденційність та цілісність передачі інформації і єдиний вхід в GRID-систему (користувачеві потрібно лише один раз пройти процедуру аутентифікації, а далі система сама поклопочеться про те, щоб аутентифікувати його на всіх ресурсах, якими він збирається скористатися).

GSI заснована на надійній і широко використовуваній інфраструктурі криптографії з відкритим ключем (Public Key Infrastructure – PKI). GSI протоколи засновані на стандартних протоколах відкритого ключа:

  •  стандарти: X.509 & SSL/TL;
  •  розширення X.509 Proxy Certificates & Delegation.

Для ідентифікації користувача у протоколі GSI використовуються сертифікати на основі широко розповсюдженого стандарту X.509, що використовується у процесі генерації сертифікатів інфраструктури відкритих криптографічних ключів.

Для того, щоб застосувати X.509 для підтримки одноразової аутентифікації та делегування повноважень, GSI визначає новий тип сертифікатів X.509 – проксі-сертифікат. Від звичайних такий сертифікат відрізняється тим, що підписується не сертифікаційним центром, а сертифікатом самого користувача і на досить короткий термін (від декількох годин до декількох днів). Це робиться для того, щоб у разі захоплення проксі-сертифікату зловмисником заподіяна шкода була мінімальною. Проксі-сертифікат, на відміну від звичайного, генерується у безпарольній формі. Таким чином, користувач повинен ввести пароль тільки один раз при генерації проксі-сертифікату. Після цього згенерований сертифікат може використовуватись для аутентифікації у різних сервісах системи без необхідності введеня пароля. Делегування повноважень здійснюється шляхом передачі закритої частини проксі-сертифікату певному сервісу, який після цього зможе виступати від особи користувача.

При виконанні аутентифікації та шифрування даних в інфраструктурі GSI як правило, використовується протокол Transport Layer Security – TLS, що є модифікацією протоколу Secure Socket Layer – SSL, хоча можуть бути використані й інші протоколи аутентифікації на основі технології відкритих криптографічних ключів. Протокол віддаленого делегування X.509 проксі-сертифікатами є надбудовою над рівнем TLS.

Таким чином GSI надає розробникам, що будуть реалізовувати комплексні системи захисту інформації GRID-інфраструктури, наступні функції захисту:

  •  захист інформації, що передається, на транспортному рівні і рівні повідомлень;
  •  аутентифікація через цифрові сертифікати X.509;
  •  різні схеми авторизації;
  •  делегація посвідчення особи і єдиний вхід (sign-on);
  •  конфігурація захисту на різних рівнях: контейнер, обслуговування, і ресурс.

Захист інформації, що передається, транспортного рівня і рівня повідомлень

Захист транспортного рівня та рівня повідомлень призначений для забезпечення автентифікації сторін, що приймають участь у обміні, а також цілісності та конфіденційності даних, що передаються між сторонами.

Транспортний рівень використовує протокол TLSTransport Layer Security (SSLSecure Sockets Layer).

Рівень повідомлень має дві реалізації, засновані на різних стандартах: WSSecurity і WS-SecureConversation. При встановленні з'єднання по WS-SecureConversation визначається, так званий, контекст безпеки (secure context). Після ініціалізації обміну повідомленнями всі подальші повідомлення використовують цей контекст безпеки. Крім того, на відміну від WS-Security, WS-SecureConversation забезпечує анонімну аутентифікацію і можливість делегування прав.

При забезпеченні захисту транспортного рівня, повинні використовуватися засоби захисту, що шифрують комунікації (усю інформацію між клієнтом і засобом обробки інформації).

При забезпеченні захисту рівня повідомлень повинні використовуватися засоби захисту, що шифрують тільки вміст повідомлення SOAP (решта частини повідомлення SOAP не шифрується).

Як захист транспортного рівня, так і захист рівня повідомлень в GSI засновані на криптографії “відкритого ключа” (public-key) і, тому, можуть гарантувати реалізацію механізмів конфіденційності, цілісності, і автентифікації.

Враховуючи, що не всім зв'язкам в GRID-системі можуть знадобитися реалізація усіх трьох механізмів, необхідно використовувати засоби, які дозволяють комбінувати можливості цих механізмів (рівнів безпеки) один з одним в різних варіантах, дозволяючи тим самим підібрати оптимальний варіант для кожного конкретного завдання.

Переваги захисту транспортного рівня: продуктивність і простота реалізації, внаслідок того, що не треба проводити розбір шифрованих повідомлень на складові. Недолік – використання протоколу TLS утруднено при реалізації механізмів однократної авторизації та делегування.

Рівень повідомлень, з іншого боку, надає більше можливостей, наприклад, має реалізацію механізму делегування.

GSI пропонує дві схеми захисту рівня повідомлень, і одну схему для захисту на транспортного рівня.

Безпечне Повідомлення GSI: Забезпечує захист рівня повідомлень і засновано на запропонованому стандарті WS-Security.

Безпечний Діалог GSI: Забезпечує захист рівня повідомлень і заснований на специфікації WS-SecureConversation. Якщо вибраний цей метод, встановлюється контекст безпеки (secure context) між клієнтом і сервером. Після початкового обміну повідомленнями, щоб встановити контекст, всі наступні повідомлення зможуть використовувати цей контекст багато разів, що приводить до кращої роботи, чим Безпечне Повідомлення GSI (якщо верх установки контексту прийнятний). До того ж, Безпечний Діалог GSI – це схема, яка підтримує тільки делегацію посвідчення особи.

Транспорт GSI: Забезпечує захист транспортного рівня, використовуючи TLS – захист транспортного рівня (раніше відомий як SSL) і забезпечує кращу роботу (використовується за умовчанням в GT4). TLS і SSL – спеціальні протоколи для створення захищеного каналу між двома сторонами, що зв'язуються, що забезпечують постійне шифрування передаваної інформації і, якщо потрібно, аутентифікацію протягом одного сеансу.

Ці схеми не взаємовиключні.

Ідентифікація та автентифікація користувачів і вузлів GRID

Як ідентифікатори користувачів та ресурсів в GSI використовуються цифрові сертифікати стандарту X.509 двох типів:

  1.  Сертифікат користувача (User Certificate) – цей сертифікат повинен мати кожен користувач, що працює з GRID-системою. Сертифікат користувача містить інформацію про ім'я користувача, організацію, до якої він належить, і центр сертифікації, що видав даний сертифікат.
  2.  Сертифікат вузла (Host Certificate) – цей сертифікат повинен мати кожен вузол (ресурс) GRID-системи. Сертифікат вузла аналогічний сертифікату користувача, але в нім замість імені користувача указується доменне ім'я конкретного обчислювального вузла.

У роботі з сертифікатами X.509 і в процедурі видачі/отримання сертифікатів задіяно три сторони:

  1.  Центр Сертифікації (Certificate Authority CA) – спеціальна організація, що володіє повноваженнями видавати (підписувати) цифрові сертифікати. Різні CA зазвичай незалежні між собою. Відносини між CA і його клієнтами регулюються спеціальним документом.
  2.  Підписчик – це людина або ресурс, який користується сертифікаційними послугами CA. CA включає в сертифікат дані, що надаються підписчиком (ім'я, організація і ін.) і ставить на нім свій цифровий підпис.
  3.  Користувач – це людина або ресурс, що покладається на інформацію з сертифікату при отриманні його від підписчика. Користувачі можуть приймати або відкидати сертифікати, підписані яким-небудь CA.

Сертифікат ключа має основні поля та додаткові. Додаткові поля дозволяють обмежити галузь або політику застосування ключа, визначеного сертифікатом, або самого сертифікату. Це дозволить забезпечити різну функціональну сумісність, оскільки в різних системах випуск сертифікатів здійснюється відповідно до її політики, а також захистити від претензій довіряючої сторони, яка неправильно використовувала сертифікат.

Авторизація

Авторизація визначає, хто уповноважений виконувати певне завдання (у контексті веб-служб визначена веб-служба).

Як правило, користувачі, що належать одній ВО, мають схожі  вимоги до використання ресурсів GRID. Кожна ВО має власну політику, згідно якої повинні надаватися ресурси її користувачам.

Процес авторизації полягає в наданні ресурсів з урахуванням політики ВО та локальної політики ресурсних центрів. Управління віртуальними організаціями здійснюється службою управління членством у віртуальних організаціях (Virtual Organization Membership Service  - VOMS).

Адміністративний клієнт цієї служби дозволяє додавати користувачів, задавати значення атрибутів, створювати групи і так далі Призначений для користувача клієнт контактує із службою VOMS, пред'являючи сертифікат деякого користувача, і отримує список (якщо користувач належить декільком ВО) його груп, ролей і можливостей.

Використання VOMS дозволяє отримати такі переваги:

Користувач може бути членом декількох груп:

  •  об’єднання прав груп.

ВО може мати групи:

  •  різні права для кожної групи;
  •  пов’язані групи.

ВО може мати ролі

  •  наприклад, sysadmin.

При створенні Proxy-сертифікату вводиться додатковий атрибут – ім.’я ВО.

Таким чином авторизації користувачів здійснюється з використанням формалізованого опису їх повноважень на підставі таких атрибутів доступу користувача:

  •  група ВО, до якої належить користувач;
  •  його роль усередині групи;
  •  можливості виконання операцій.

Єдиний вхід до системи і делегування повноважень

Для вирішення єдиного входу використовується механізм генерації проксі-сертифікатів. Від процедури видачі сертифікату центром сертифікації, даний алгоритм відрізняється тим, що роль центра сертифікації тут грає користувач (точніше його клієнтська програма), а сам сертифікат видається на вельми короткий проміжок часу (звичайно не більше 12-ти годин).

Крім єдиного входу в систему механізм проксі-сертифікатів також дозволяє користувачеві делегувати свої права на певний строк процесу, тобто дозволяє ресурсам системи (наприклад, веб-сервісам) виконувати різні завдання від імені клієнта і з його правами доступу.

Права підтверджуються володінням сертифікатом (тобто відповідним закритим ключем). Делегування полягає не в пересилці закритого ключа (разом з сертифікатом), а в підписці клієнтом нового (делегованого) проксі-сертифікату. Послідовність дій при делегуванні наступна:

  •  сторони обмінюються сертифікатами і виконують взаємну аутентифікацію;
  •  сервер генерує ключову пару і на базі сертифікату клієнта формує запит на проксі-сертифікат, в якому вказані передавані права (призначення сертифікату) і термін дії;
  •  сервер відправляє запит клієнтові;
  •  клієнт, якщо він згоден з передачею запрошуваних прав, підписує проксі-сертифікат своїм закритим ключем;
  •  сервер отримує делегований проксі-сертифікат, який (разом із закритим ключем) і застосовується для виконання дій від імені клієнта.

Тим самим вдається уникнути передачі по мережі закритого ключа і отримати необхідні права на необхідний термін.

Проксі-сертіфікат може використовуватися також для делегації особи  користувача до іншого користувача. З урахуванням ієрархії обчислень повинна бути реалізована можливість використовувати проксі-сертифікати для підпису інших проксі-сертификатів.

Процес перевірки достовірності проксі-сертификата практично ідентичний процесу перевірки достовірності звичайного сертифікату. Основна різниця в тому, що проксі-сертифікат не підписується у Центрі Сертифікації (CA), його підписує користувач.

Моніторинг дій користувачів під час роботи з віддаленими ресурсами Grid-системи 

Постійний моніторинг захисту ВО та локальних ресурсів ресурсних центрів є однією з основних вимог до захисту Grid-інфраструктури.

Зміна правил доступу одним членом цієї організації робить вплив на останніх її членів, але залишається непоміченим до тих пір, поки реально їх не торкнеться. Тому, необхідний постійний моніторинг змін правил і контроль дотримання взаємних угод, що дозволяють гарантувати, що всі сторони дотримуються взаємних угод.

В даний час існує досить багато засобів моніторингу стану ресурсів Grid-системи і завдань, що запускаються. Проте ці засоби не надають засобів аналізу роботи користувачів для виявлення їх аномальної діяльності. Тому на сьогоднішній день розробка методів і моделей аналізу поведінки користувачів в складних розподілених Grid-системах при побудові комплексної системи захисту інформації Grid-інфраструктури є актуальним завданням.

Мінімізація повноважень сервісів 

Сервіси, обслуговуючі мережеві з'єднання з багатьма клієнтами, потенційно є найуразливішими для атак зловмисників. Дуже важливо, аби компрометація таких сервісів не наводила до компрометації клієнтів, що делегують свої права для виконання завдань. Якщо мережевий сервіс безпосередньо отримує від клієнтів делеговані права, то його компрометація неминуче наводить до того, що зловмисник опанує всі делеговані права його клієнтів і зможе від їх імені виконувати несанкціоновані власниками прав дії - запускати в різних вузлах Грід власні зловмисні завдання, діставати доступ до конфіденційної інформації, псувати файли клієнтів і ін.

Однією зі схем обмеження повноважень є схема, запропонована в GT4. Основна ідея схеми  полягає в тому, аби сервіс, що приймає запити, володів мінімально необхідними привілеями і займався лише авторизацією клієнтів, а прийомом делегованих прав і обслуговуванням завдання кожного клієнта займався окремий екземпляр іншого сервісу, що має авторизовані привілеї саме цього клієнта.

Аналіз рівня забезпечення безпеки

Аналіз рівня забезпечення безпеки містить виконання таких методів дослідження:

  •  сканування зовнішніх мережевих адрес в Grid;
  •  сканування ресурсів Grid;
  •  аналіз конфігурації серверів і робочих станцій доменів Grid за допомогою спеціалізованих програмних засобів.

Перераховані методи дослідження передбачають використання як активного, так і пасивного тестування системи захисту. Активне тестування системи захисту полягає в емуляції дій потенційного зловмисника по подоланню механізмів захисту. Пасивне тестування передбачає аналіз конфігурації Grid і програмного забезпечення по шаблонах з використанням списків перевірки. Тестування може здійснюватися вручну або з використанням спеціалізованих програмних засобів.


 

А также другие работы, которые могут Вас заинтересовать

60145. Позакласний захід: «Формула кохання» 69.5 KB
  Ломоносов Більш ніж про кохання в світовій літературі тільки про смерть написано. Про емоції розкажуть виступи учнів про вплив речовин: адреналін норадреналін вазопресин серотонін З коханням складніше. На думку дослідників кохання -це хімічний процес...
60146. День Чорного моря - свято зі сльозами на очах 114 KB
  Обладнання: екологічний пакет Чорноморська скринька презентація Чорне море проектор комп’ютер виставка Відпочинок на Чорному морі відеокліпи про море. Хід виховного заходу Учень читає вірш на фоні морського шуму Безмолвное море лазурное море...
60147. Поэзии и музыки чарующий мир. Литературно-музыкальное путешествие 162 KB
  Прививать любовь к красоте слова и музыки. Посредством поэзии и музыки воспитывать любовь к родной природе ценить дружбу стремиться к самосовершенствованию. Библиотекарь: Ребята мы сегодня с вами собрались чтобы окунуться в прекрасный удивительный и чарующий мир поэзии и музыки.
60148. Виховний захід «Твори добро на радість людям» 276.34 KB
  Мета: Формувати в учнів уявлення про морально-етичні відношення у навколишньому середовищі; вчити виявляти шанобливе ставлення до батьків, старших, піклування про молодших; розвивати почуття чуйності і доброзичливості
60149. Іменини Трирічка (виховний захід у 3 класі) 400 KB
  По сигналу одна команда кричить З днем а інша народження Оце привітали так привітали А тепер у нас справжній День народження Вчитель: З днем народження вітаєм Діти: Так так так І звичайно побажаєм Діти...
60150. Колективна творча справа «Майбутнє України - це я, це ти» 202.5 KB
  Я ти він вона Учениця Ми є діти українські Хлопці та дівчата Рідний край наш Всі Україна Учениця Славна і багата Ведуча ІІ Всім хто присутні сьогодні на святі Скажем слова ми прості. Всі Гостей дорогих ми вітаємо щиро Стрічаємо хлібом любов’ю і миром...
60151. Внеклассное мероприятие по информатике и литературе. Творческая лаборатория «Я всё могу» 118.5 KB
  Пушкина развивать устную речь учащихся логическое мышление внимание наблюдательность умение анализировать информацию воспитывать любви к искусству к русской словесности воспитывать ответственности за порученное дело чувства коллективизма гуманизма...
60152. ЗИМУ ЯК ПРОЖИТИ БЕЗ ПРОБЛЕМ? 243 KB
  МЕТА: ознайомити учнів з видовим різноманіттям зимуючих птахів своєї місцевості;надати учням знання з біології птахів аспектів їх підгодівлі. Обладнання: плакати з зображеннями птахів матеріали для конкурсів маски птахів листівки агітаційного змісту.
60153. Дружба – велика сила 193.5 KB
  Очікуванні результати: Після заняття учні зможуть: сформулювати поняття дружба; практикувати навички взаємодопомоги при вирішенні різних проблем; критично ставитися до себе і своїх особистих якостей вчинків; знати прислів’я та приказки про дружбу.