Carregar apresentação
A apresentação está carregando. Por favor, espere
1
Laboratório de Sistemas Integráveis
LSI-USP Plataforma para efetivação de múltiplas políticas de controle de acesso em ambientes de grade computacional Leonardo Mattes, Leonardo C. Militelli, João Antonio Zuffo
2
Sumário Introdução Trabalhos relacionados Arquitetura GridMultiPolicy
Implementando Políticas Teste operacional Conclusões
3
Grade computacionais:
Introdução Grade computacionais: Compartilhamento de recursos e serviços de forma integrada e dinâmica entre múltiplos domínios lógicos e tecnológicos. Um típico cenário de grade computacional envolve VO (Organizações Virtuais).
4
Organizações Virtuais domínios sobre domínios
Introdução Organizações Virtuais domínios sobre domínios
5
Introdução Ao oferecer maior integração e flexibilidade entre domínios heterogêneos, grades computacionais aumentam também a possibilidade de riscos e vulnerabilidade. Desafio de segurança para grades computacionais é o oferecimento de um serviço integrado aos diferentes modelos de políticas e mecanismos existentes nos sítios de uma VO;
6
Desafios de grade computacional
Introdução Desafios de grade computacional Permitir a integração de políticas de domínios autônomos; Oferecer serviços de segurança de forma integrada com os mecanismos pré-existentes; Oferecer suporte ao princípio de privilégio mínimo; Manter compatibilidade com as aplicações legadas.
7
Trabalhos Relacionados
Os trabalhos produzidos seguem duas orientações distintas: infra-estruturas distribuídas e flexíveis de controle de acesso para controlar serviços de rede (CAS, PERMIS e Shibboleth ) ; Instanciação remota de tarefas: Gerenciamento e mapeamento de contas remotas; Máquinas virtuais
8
GridMultiPolicy Modelo de controle de acesso flexível, que oferece: Suporte e gerenciamento a múltiplos formatos de linguagens de políticas; Abrangência necessária para para exercer controle, tanto no oferecimento de serviços, como no ambiente de execução das aplicações; Estabelecimento dinâmico de múltiplos mecanismos de segurança; Políticas de segurança especificas para cada contexto de execução; Criação dinâmica de pontos de efetivação de políticas.
9
GridMultiPolicy- modelo de autorização
Modelo de Autorização da especificacão AAA PEP (Policy Enforcement Point -Ponto de Efetivação de Política) PDP (Policy Decision Point- Ponto de Decisão de Política)
10
GridMultiPolicy – Arquitetura
Uso integrado de duas entidades: JMPE (Java Multi Policy Environment) MPMS (Multi Policy Manager Service)
11
GridMultiPolicy - MPMS
Módulo principal (XACML) Módulos secundários (formato próprio)
12
GridMultiPolicy - MPMS
Escopo (XACML), define a atuação de uma política secundária em relação: Ações; Regras para definir o contexto de atuação de uma políticas (sítios, recursos, perfis); PDP correlacionado, mecanismo capaz de efetivar as políticas correlacionada; Informações sobre os PEPs necessários
13
GridMultiPolicy - MPMS
Interface de comunicação PDP principal e secundário Parâmetros para gerar políticas secundárias especificas a contexto de execução: Descrição da tarefa ou serviço por meio de um arquivo no formato RSL; Dados do usuário objeto “VOuser”
14
GridMultiPolicy - JMPE
Tem como objetivo a criação de um ambiente de execução customizado para fazer cumprir as múltiplas políticas estabelecidas; Estabelecimento dinâmico dos PDPs, PEPs e políticas necessários.
15
GridMultiPolicy – JMPE
Processo de estabelecimento dos PDPs
16
GridMultiPolicy - JMPE
Estabelecimento dos PEPs Granularidade básica fornecida pelo gerente de segurança Java. Granularidade estendida modificações em tempo de execução de bibliotecas para a inserção dos PEPs.
17
GridMultiPolicy - JMPE
Processo de criação dinâmica dos PEPs: Com base no escopos dos módulos secundários se estabelece a lista de instruções para inserção de PEP; Em tempo de execução as classes são carregadas e modificadas:
18
GridMultiPolicy - JMPE
19
GridMultiPolicy - JMPE
Efetivação de Políticas de segurança: Analisa a ação e os parâmetros de utilização para verificar quais os PDPs possuem escopos de atuação compatíveis; coleta as decisões dos PDPs para a dada ação; em caso de conflito das decisões, aplica o algoritmo de resolução de conflito; autoriza ou nega a ação; algoritmos de resolução de conflitos do XACML: “deny-overrides”, “allow-overrides”, “first-applicable” e “only-one-applicable”.
20
GridMultiPolicy Integração com GT4
21
Implementando políticas
LeastPrivilege, controle de acesso a: Arquivos locais; conexões TCP/IP; Web Services. <Action> File_write /tmp/* write</Action> <Action>Socket/lsi.usp.br:7</Action> <Action>WS/lsi.usp.br/axis:</Action>
22
Implementando políticas
Instrução para PEP de web service
23
Implementando políticas
IDS_Control promove a integração com sistema IDS local O PDP “br.usp.lsi.IDSControl“ armazena dados sobre acessos; GER (Grid Event Receiver) recebe informações de ataque da central de gerenciamento de IDS e compara com os acessos realizados.
24
Implementando políticas
25
Teste operacional Uso do LeastPrivilege e IDS_Control;
Realiza duas séries de ações e simula um ataque a um servidor web; Cadastrado no IDS o acesso em como ataque.
26
Teste operacional Resultado primeira série de ações:
Obteve acesso aos recursos previstos pelas políticas LeastPrivilege. ******************** first round !*********** Write in /tmp/GridCliente fail to write /bin/malicioso Connected to :7 ! fail to Connect to :1024 . fail WS “admin” in WS “ test” in
27
Resultado segunda série de ações:
Teste operacional Resultado segunda série de ações: Depois de detectado o ataque, todas as ações são bloqueadas. *************** second round !********* fail to write /tmp/GridCliente2 fail to write /bin/malicioso2 fail to conect to :7 fail to conect to :1024 . fail WS “admin” in fail to WS “test” in End of the test!
28
Conclusões Modelo de autorização flexível para a próxima geração de plataformas de grade computacional, com as seguintes características: Permitir que administradores e usuários possam estabelecer suas próprias políticas; Oferece serviço de distribuição de políticas de segurança de múltiplos formatos; Utiliza um ambiente de execução flexível, que permite o estabelecimento de múltiplos mecanismos; Implementa de forma dinâmica e em tempo de execução os pontos de efetivação de políticas necessários;
29
Laboratório de Sistemas Integráveis
Perguntas? Laboratório de Sistemas Integráveis LSI-USP
Apresentações semelhantes
© 2024 SlidePlayer.com.br Inc.
All rights reserved.