Безопасность грид-систем

Безопасность в грид-системах — это состояние защищённости информационной среды систем, использующихся для грид-вычислений, а также комплекс мероприятий, направленных на обеспечение этого состояния.

Термины

Виртуальные организации(VO) - это динамический набор пользователей, организаций, ресурсов.[1]

Области доверия (trusted domains) - это набор пользователей и ресурсов, управляемых единой политикой безопасности.[2]

Учетные данные (credentials) - это информация, используемая для доказательства личности субъекта (пользователя, ресурса или процессов, связанных с ними)[2]

Определение грид-системы

Грид — это система, которая, во-первых, распределяет ресурсы, не находящиеся под единым центром управления, во-вторых, использует общие протоколы и интерфейсы, в-третьих, обеспечивает нужный уровень обслуживания.[3]

Грид-вычислениеэто скоординированное разделение ресурсов и решение задач в динамически меняющихся разнообразных виртуальных пространствах.

I. Foster, C. Kesselmann, S. Tuecke, “The Anatomy of the Grid”, (2000)

Можно выделить в данном определении важные составляющие[4]:

  • "… разделение ресурсов …" - ресурсы, находящиеся в грид, принадлежат организациям и подчиняются их правилам. И одновременно ресурсы, могут принадлежать нескольким VO.
  • " ... скоординированное ..." - ресурсы, принадлежащие VO должны управляться VO для совместной эффективной работы. Все VO должны подчиняться прозрачной политике взаимодействий. Политика распространяется от VO к ресурсам.
  • "... динамически меняющихся ..." - пользователи и ресурсы могут менять свои свойства, могут быть добавлены или удалены.
  • "... разнообразных ..." - каждый ресурс и пользователь имеет собственные политики и технологии, которые не могут быть изменены средствами VO. Подразумеваются разные trusted domains.

Пример использования грид-систем

Пример грид-системы. Пользователь пытается получить доступ к данным на удаленных ресурсах в инфраструктуре

Пусть есть ученый, которого попросили проверить чьи-то новые полученные данные. Он начинает необходимые вычисления на удаленном сервере С. Начав исполняться, процесс на сервере С понимает, что ему необходима симуляция. Для этого он обращается к посреднику (на сервере D). Тот инициирует вычисления на серверах E и G, которые для получения необходимых параметров обращаются к серверу F[2].

Данный пример иллюстрирует следующие важные характеристики грид-систем[2].

Множество пользователей, как и набор ресурсов может быть большим и динамически меняться. Участники научного сообщества могут быть из разных организаций и меняться довольно часто, ресурсы могут изменять свои свойства. Вычисления могут охватывать разное число ресурсов в течение своего исполнения. Процессы исполнения могут общаться друг с другом, используя множество различных механизмов. Ресурсы могут потребовать разные механизмы аутентификации и авторизации и разных политик. Так в примере показаны следующие политики контроля доступа: Kerberos(сервер С), SSL(сервер D), обычные пароли. Также один и тот же пользователь может быть представлен на разных серверах разными именами, правами и учетными данными[2].

Требования к безопасности в грид

Таким образом можно выставить следующие требования к системе безопасности в грид-системах[5]:

  • Аутентификация - предоставление интерфейсов для вставки разных механизмов аутентификации и возможности обнаружения механизма аутентификации.
  • Авторизация - предоставление возможности контролировать доступ, основываясь на правилах авторизации.
  • Делегирование - предоставление возможности передачи прав от пользователя сервису
  • Приватность - предоставление и пользователю, и обладателю сервиса возможности контролировать правила использования ресурсов.
  • Целостность данных - гарантия того, что неавторизированные изменения данных будут обнаружены на стороне сервиса.
  • Управляемость - предоставление удобного инструмента управления политиками на разных ресурсах, разрешения конфликтов.
  • Встраивание в существующие системы и технологии - добавление инфраструктурного взаимодействия в существующие разноплановые технологии.

Правила взаимодействия компонент грид-системы с точки зрения безопасности

  1. Грид-система состоит из "областей доверия". Этим утверждается, что система безопасности не требует установления политики внутри области, а контролирует взаимодействие между областями и проецирует это взаимодействие на внутреннюю политику.
  2. Операции внутри одной "области доверия" подчиняются только внутренней политике безопасности. Никаких дополнительных операций от системы безопасности не требуется. Внутренняя политика может быть реализована множеством методов, таких как firewalls, Kerberos, SSH.
  3. Существуют и глобальные, и локальные субъекты (пользователи и ресурсы). Для каждой "области доверия" соответствие глобальных субъектов на ее локальные. Каждый пользователь имеет два имени: глобальное и возможно локальное. Существование глобальных субъектов позволяет локальной политике реализовывать одноразовую аутентификацию пользователей.
  4. Операции между субъектами, расположенными в разных "областях доверия" должны требовать взаимную аутентификацию.
  5. Все решения по предоставлению доступа выполняются локально на основе локального субъекта. Все решения по контролю доступа принимаются политикой, утвержденной местными системными администраторами.
  6. Программа или процесс, исполняемые от имени пользователя, могут получить подмножество прав пользователя. Это необходимо для поддержки длительно исполняющихся программ без взаимодействия с пользователем.
  7. Процессы, исполняющиеся от имени одного субъекта внутри одной "области доверия", могут иметь один набор "учетных данных".[2]

Существующие решения

Далее можно выделить основные свойства решений по безопасности в трех продуктах, использующихся для грид-вычислений.

Эти продукты: Globus, Legion, CRISIS для WebOS.

Globus Toolkit

Его решение подразумевает, что грид-система огромная и динамическая, включает в себя множество меняющихся во времени "областей доверия". Решение динамического выставления областей доверия и динамического создания сущностей основана на идее выдачи сертификатов.

То есть безопасность в Globus Toolkit включает в себя криптосистему на открытых ключах. Выдача прав связана с проверкой сертификатов. И для того, чтобы доверять предъявителю сертификата, нужно доверять лишь центру выдачи сертификатов(certificate authority CA). Но для динамического создания сущностей вводятся сертификаты особого типа proxy сертификаты, по сути расширение обычных сертификатов, предоставляющее делегировать часть своих прав другому субъекту. А для выставление простейших областей доверия используется принцип - две сущности доверяют друг другу, если имеют одинаковые сертификаты. При выставлении сложных областей доверия, где могут присутствовать требования нескольких политик, система отдает право на разрешение конфликтов объекту(то есть ресурсу).[6]

Legion

Legion - это распределенная вычислительная платформа для комбинирования множества независимых машин в одну систему. Все ресурсы, включая вычислительные мощности, базы данных, Legion объединяет, используя один объектно-ориентированный мета-компьютер. Модули обеспечения безопасности в данной платформе входят в Legion Runtime Library(библиотека времени исполнения), которая определяет необходимые базовые объекты, такие как объекты ядер, хостов и хранилищ. Хост объект это по сути менеджер субъектов. Например, хост контролирует выход пользователя из определенной зоны. Объект хранилища контролирует доступность данных, используя, например, ACL файловых систем. А эти два типа объектов находятся под управлением общего менеджера объектов, который управляет размещением, активацией и деактивацией этих объектов. Эти объекты необходимо настраивать администратору. По умолчанию Legion включает в себя лишь несколько системных классов. Первый это Legion Object Identifier(LOID), который может определить, доказать подлинность объекта внутри Legion среды. По умолчанию используется асимметричный алгоритм RSA и X.509 сертификаты. Любой субъект или объект должны включать в себя LOID для поддержки общения между собой. Второй класс это ACL класс, реализующий распределенный алгоритм, позволяющий достичь определенного уровня изоляции сразу для нескольких объектов.[7]

CRISIS

CRISIS это одна из компонент WebOS. WebOS - это приложение, основной целью которого является поддержка сетевых приложений на разных операционных системах. И CRISIS приходится решать вопросы безопасности такие как Аутентификация, Авторизация. CRISIS это event-based система, включающая два основных компонента для авторизации и аутентификации. Первый это менеджер процессов, который принимает запросы (логин или доступ к ресурсу) и security менеджер, который хранит личные данные субъектов и принимает решения по поступающим запросам.[8]

См. также

Источники

  1. Ian Foster, Carl Kesselman, Steven Tuecke. The Anatomy of the Grid: Enabling Scalable Virtual Organizations // International Journal of High Performance Computing Applications. — 2001. — Август.
  2. 1 2 3 4 5 6 Ian Foster, Carl Kesselman, Gene Tsudik, Steven Tuecke. A Security Architecture for Computational Grids // Fifth ACM Conference on Computers and Communications Security. — 1998. — Ноябрь.
  3. I. Foster. What is the Grid? A Three Point Checklist // GridToday. — 2002. — Июль.
  4. Conference GlobusWORLD 2005 Grid Security: Grid Perspective
  5. Jianmin Zhu, Dr. Bhavani Thuraisingham. Secure Grid Computing // IJCSNS International Journal of Computer Science and Network Security. — 2006. — Август (т. 6, вып. 8B).
  6. Security for Grid Services // Twelfth International Symposium on High Performance Distributed Computing (HPDC-12). — IEEE Press, 2003.
  7. Ferrari, F. Knabe, M. Humphrey, S. Chapin, and A. Grimshaw. A flexible security system for metacomputing environments // Proc. High Performance Computing and Networking. — Europe, Amsterdam, The Netherlands, 1999. — Апрель.
  8. E. Belani, A.Vahdat, T. Anderson, and M. Dahlin. CRISIS:Awide area security architecture // Seventh USENIX Security Symposium. — 1998.. — Январь.

Ссылки

Read other articles:

Archaeological site in Turkey SillyonCity gates at SillyonShown within TurkeyLocationAntalya Province, TurkeyRegionPamphyliaCoordinates36°59′33″N 30°59′23″E / 36.99250°N 30.98972°E / 36.99250; 30.98972TypeSettlementSite notesConditionIn ruins Sillyon (Greek: Σύλλιον), Stephanus of Byzantium called it Σύλειον, Σύλαιον, Σύλλον and Σίλονον[1] in Byzantine times Syllaeum or Syllaion (Συλλαῖον), was an important...

 

Jean DujardinDujardin pada saat Festival Film Cannes 2011LahirJean Edmond Dujardin19 Juni 1972 (umur 51)Rueil-Malmaison, Hauts-de-Seine, Île-de-France, FrancePekerjaanAktorTahun aktif1996–sekarangSuami/istriAlexandra Lamy (25 Juli 2009–sekarang)Anak2 Jean Dujardin (lahir 19 Juni 1972) merupakan seorang aktor berkebangsaan Prancis. Dia menjadi terkenal saat bermain di film utamanya seperti The Artist. Dia dilahirkan di Rueil-Malmaison. Berkarier di dunia film sejak tahun 1996. ...

 

العلاقات السورية الكوستاريكية سوريا كوستاريكا   سوريا   كوستاريكا تعديل مصدري - تعديل   العلاقات السورية الكوستاريكية هي العلاقات الثنائية التي تجمع بين سوريا وكوستاريكا.[1][2][3][4][5] مقارنة بين البلدين هذه مقارنة عامة ومرجعية للدولتين: وجه ...

Building in Mississippi, U.S.Jefferson DavisPresidential Library and MuseumWest façade of the Library and MuseumLocation in MississippiGeneral informationLocationBiloxi, Mississippi, U.S.Coordinates30°23′35.2″N 88°58′12.2″W / 30.393111°N 88.970056°W / 30.393111; -88.970056Named forJefferson DavisInauguratedDedicated on May 30, 1998Rededicated on June 3, 2013Cost$11.5 millionManagementMississippi Division, S.C.V.Technical detailsSize24,000 square feet (2,2...

 

بغداد الجديدة الاسم الرسمي بغداد الجديدة الإحداثيات 33°18′20.9″N 44°29′12″E / 33.305806°N 44.48667°E / 33.305806; 44.48667 تقسيم إداري  بلد  العراق  محافظة محافظة بغداد  منطقة بغداد الجديدة عدد السكان  المجموع 530,450 تعديل مصدري - تعديل   بغداد الجديدة هي واحدة من تسع أحي�...

 

Peta infrastruktur dan tata guna lahan di Komune Gruey-lès-Surance.  = Kawasan perkotaan  = Lahan subur  = Padang rumput  = Lahan pertanaman campuran  = Hutan  = Vegetasi perdu  = Lahan basah  = Anak sungaiGruey-lès-Surance merupakan sebuah komune di departemen Vosges yang terletak pada sebelah timur laut Prancis. Lihat pula Komune di departemen Vosges Referensi INSEE Diarsipkan 2007-11-24 di Wayback Machine. lbsKomune di departemen Vosges Les Ableuve...

Formal set of principal goals supported by a political party or candidate For other uses, see Manifesto. Part of the Politics seriesParty politics Political spectrum Left-wing Far-leftCentre-left Centre Centre-leftRadical centreCentre-right Right-wing Centre-rightFar-right Platforms/Ideologies Anarchist Christian Democratic Communist Conservative Democratic Environmentalist Fascist Fundamentalist Globalist Green Internationalist Liberal Libertarian Nationalist Pirate Party Populist Progressiv...

 

Italian TV series or program The Age of the MediciCosimo di Medici (Bronzino)GenreDocudramaWritten byRoberto RosselliniMarcello MarianiDirected byRoberto RosselliniCountry of originItalyOriginal languageItalian (dubbed)No. of seasons1No. of episodes3ProductionProducerRenzo RosselliniOriginal releaseNetworkProgramma NazionaleReleaseDecember 26, 1972 (1972-12-26) –January 9, 1973 (1973-01-09) The Age of the Medici, originally released in Italy as L'età di Cosimo de Medici (Th...

 

English poet and cultural critic (1822–1888) This article is about the poet. For other uses, see Matthew Arnold (disambiguation). Matthew ArnoldPortrait c. 1883.Born24 December 1822 (1822-12-24)Laleham, EnglandDied15 April 1888 (1888-04-16) (aged 65)Liverpool, EnglandOccupationHer Majesty's Inspector of SchoolsEducationBalliol College, Oxford (BA)PeriodVictorianGenrePoetry; literary, social and religious criticismNotable worksDover Beach, The Scholar-Gipsy, Thyrsis, Culture a...

Territorial dispute between Russia and Ukraine 2003 Tuzla Island conflictPart of the Post-Soviet conflictsKerch Strait in 2011, with the long, thin causeway stretching from the Russian coast towards the islandDateSeptember–October 2003LocationTuzla Island, Kerch StraitResult See the Aftermath sectionBelligerents Russia UkraineCommanders and leaders Vladimir Putin Mikhail Kasyanov Leonid Kuchma Viktor Yanukovych This article is part of a series about Leonid Kuchma Political positions &#...

 

Süper LigTrophy juara Süper Lig 2002-03.Musim2002–03JuaraBeşiktaşDegradasiAltayGöztepeKocaelisporChampions LeagueBeşiktaşGalatasarayUEFA CupTrabzonsporGençlerbirliğiGaziantepsporMalatyasporJumlah pertandingan306Pencetak golterbanyakOkan Yılmaz(24 goals)← 2001–02 2003–04 → Süper Lig 2002-03 merupakan edisi yang ke-45 dari kompetisi liga sepak bola profesional di Turki. Pada musim ini Beşiktaş J.K. berhasil merayakan perayaan seabadnya dengan menjadi juara. Lokasi Beşikt...

 

Railway station on the Chester & Ellesmere Port branches of the Wirral line in England BebingtonA Merseyrail Class 508 at Bebington.General informationLocationBebington, WirralEnglandCoordinates53°21′27″N 3°00′11″W / 53.3574°N 3.0031°W / 53.3574; -3.0031Grid referenceSJ333850Managed byMerseyrailTransit authorityMerseytravelPlatforms2Other informationStation codeBEBFare zoneB1ClassificationDfT category EPassengers2018/19 0.912 million2019/20 1.003 millio...

奧地利經濟 通貨 歐元 財政年度 公历年 貿易組織 EU、WTO、OECD 維也納的瑪利亞希爾夫購物區 奧地利的經濟特色之一是其施行于德國類似的社會市場經濟。在2022年,奧地利的人均名义GDP约52732美元,以購買力平價計算的話,人均GDP約56281歐元,为欧盟第五名,位列世界第14位[1]。在2002年1月,奧地利加入歐元區,歐元取代舊貨幣奧地利先令,成為奧地利的通用貨幣。 參�...

 

Théo van RysselbergheSelf-portrait, 1916Lahir(1862-11-23)23 November 1862Ghent, BelgiaMeninggal14 Desember 1926(1926-12-14) (umur 64)Saint-Clair, Var, PrancisDikenal atasLukisanGerakan politikNeo-impresionisme Théophile Théo van Rysselberghe (23 November 1862 – 14 Desember 1926) adalah seorang pelukis neo-impresionis asal Belgia, yang memainkan peran penting dalam kancah seni Eropa pada pergantian abad kedua puluh. Biografi Lahir di Ghent dari keluarga borjuis berbaha...

 

Shah of the Sasanian Empire from 590 to 628 Khosrow II𐭧𐭥𐭮𐭫𐭥𐭣𐭩King of Kings of Iran and non-Iran[a]Gold dinar of Khosrow II, minted in 611Shahanshah of the Sasanian Empire1st reign590PredecessorHormizd IVSuccessorBahram Chobin2nd reign591 – 25 February 628PredecessorBahram ChobinSuccessorKavad IIBornc. 570Died(628-02-28)28 February 628 (aged around 57–58)CtesiphonConsort Maria Gordiya Shirin IssueSee belowHouseHouse of SasanFatherHormizd IVMotherUnnamed I...

Ancient Kingdom in southwestern Korea (18 BCE – 660 CE) For the 10th-century kingdom also called Baekje, see Later Baekje. This article needs additional citations for verification. Please help improve this article by adding citations to reliable sources. Unsourced material may be challenged and removed.Find sources: Baekje – news · newspapers · books · scholar · JSTOR (September 2022) (Learn how and when to remove this message) Baekje百濟 (Hanja)�...

 

Division I 1968-1969 Competizione Pro League Sport Calcio Edizione 66ª Organizzatore URBSFA/KBVB Date dal settembre 1968al maggio 1969 Luogo  Belgio Partecipanti 16 Risultati Vincitore Standard Liegi(4º titolo) Retrocessioni KFC Malinois, R. Daring Club de Bruxelles Cronologia della competizione 1967-1968 1969-1970 Manuale La Division I 1968-1969 è stata la 66ª edizione della massima serie del campionato belga di calcio disputata tra il settembre 1968 e il maggio 1969 e conc...

 

Cet article est une ébauche concernant les Hautes-Alpes et la montagne. Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants. Combe de Malaval Vue de la Grave depuis l'est avec la combe de Malaval au second plan. Massif Arves / Écrins (Alpes) Pays France Région Auvergne-Rhône-Alpes Département Hautes-Alpes Commune La Grave Coordonnées géographiques 45° 02′ 17″ nord, 6° 15′ 11″...

ويندوز ميكسد ريليتيالشعارمعلومات عامةالمطورون مايكروسوفت موقع الويب microsoft.com… (الإنجليزية) معلومات تقنيةالإصدار الأول 2017 تعديل - تعديل مصدري - تعديل ويكي بيانات شعار ويندوز 10 ويندوز ميكسد ريليتي (بالإنجليزية: Windows Mixed Reality)‏، هي نظارة التي أنتجها شركة مايكروسوفت، حيث تعمل �...

 

الألعاب الأولمبية الصيفية الثامنة عشر الألعاب الأولمبية الصيفية 1960 1956 1964 المدينة المضيفة روما الدول المشاركة 83 الرياضيون المشاركون 5348• 610 سيدات• 4738 سادة المسابقات 170، في 17 رياضة انطلاق الألعاب 25 أغسطس 1960  المفتتح الرسمي جوفاني غرونكي الملعب الإستاد الأولمبي (روما) الا...