A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Plataforma para efetivação de múltiplas políticas de controle de acesso em ambientes de grade computacional Leonardo Mattes, Leonardo C. Militelli, João.

Apresentações semelhantes


Apresentação em tema: "Plataforma para efetivação de múltiplas políticas de controle de acesso em ambientes de grade computacional Leonardo Mattes, Leonardo C. Militelli, João."— Transcrição da apresentação:

1 Plataforma para efetivação de múltiplas políticas de controle de acesso em ambientes de grade computacional Leonardo Mattes, Leonardo C. Militelli, João Antonio Zuffo Laboratório de Sistemas Integráveis LSI-USP

2 Introdução Trabalhos relacionados Arquitetura GridMultiPolicy Implementando Políticas Teste operacional Conclusões Sumário

3 Grade computacionais: Compartilhamento de recursos e serviços de forma integrada e dinâmica entre múltiplos domínios lógicos e tecnológicos. Um típico cenário de grade computacional envolve VO (Organizações Virtuais). Introdução

4 Organizações Virtuais domínios sobre domínios Introdução

5 Ao oferecer maior integração e flexibilidade entre domínios heterogêneos, grades computacionais aumentam também a possibilidade de riscos e vulnerabilidade. Desafio de segurança para grades computacionais é o oferecimento de um serviço integrado aos diferentes modelos de políticas e mecanismos existentes nos sítios de uma VO; Introdução

6 Desafios de grade computacional Permitir a integração de políticas de domínios autônomos; Oferecer serviços de segurança de forma integrada com os mecanismos pré-existentes; Oferecer suporte ao princípio de privilégio mínimo; Manter compatibilidade com as aplicações legadas.

7 Trabalhos Relacionados infra-estruturas distribuídas e flexíveis de controle de acesso para controlar serviços de rede (CAS, PERMIS e Shibboleth ) ; Instanciação remota de tarefas: Gerenciamento e mapeamento de contas remotas; Máquinas virtuais Os trabalhos produzidos seguem duas orientações distintas:

8 GridMultiPolicy Modelo de controle de acesso flexível, que oferece: Suporte e gerenciamento a múltiplos formatos de linguagens de políticas; Abrangência necessária para para exercer controle, tanto no oferecimento de serviços, como no ambiente de execução das aplicações; Estabelecimento dinâmico de múltiplos mecanismos de segurança; Políticas de segurança especificas para cada contexto de execução; Criação dinâmica de pontos de efetivação de políticas.

9 GridMultiPolicy- modelo de autorização Modelo de Autorização da especificacão AAA PEP (Policy Enforcement Point -Ponto de Efetivação de Política) PDP (Policy Decision Point- Ponto de Decisão de Política)

10 GridMultiPolicy – Arquitetura JMPE (Java Multi Policy Environment) MPMS (Multi Policy Manager Service) Uso integrado de duas entidades:

11 GridMultiPolicy - MPMS Módulo principal (XACML) Módulos secundários (formato próprio)

12 GridMultiPolicy - MPMS Escopo (XACML), define a atuação de uma política secundária em relação: Ações; Regras para definir o contexto de atuação de uma políticas (sítios, recursos, perfis); PDP correlacionado, mecanismo capaz de efetivar as políticas correlacionada; Informações sobre os PEPs necessários

13 GridMultiPolicy - MPMS Interface de comunicação PDP principal e secundário Parâmetros para gerar políticas secundárias especificas a contexto de execução: Descrição da tarefa ou serviço por meio de um arquivo no formato RSL; Dados do usuário objeto VOuser

14 GridMultiPolicy - JMPE Tem como objetivo a criação de um ambiente de execução customizado para fazer cumprir as múltiplas políticas estabelecidas; Estabelecimento dinâmico dos PDPs, PEPs e políticas necessários.

15 GridMultiPolicy – JMPE Processo de estabelecimento dos PDPs

16 GridMultiPolicy - JMPE Estabelecimento dos PEPs Granularidade básica fornecida pelo gerente de segurança Java. Granularidade estendida modificações em tempo de execução de bibliotecas para a inserção dos PEPs.

17 GridMultiPolicy - JMPE Processo de criação dinâmica dos PEPs: Com base no escopos dos módulos secundários se estabelece a lista de instruções para inserção de PEP; Em tempo de execução as classes são carregadas e modificadas:

18 GridMultiPolicy - JMPE

19 Efetivação de Políticas de segurança: Analisa a ação e os parâmetros de utilização para verificar quais os PDPs possuem escopos de atuação compatíveis; coleta as decisões dos PDPs para a dada ação; em caso de conflito das decisões, aplica o algoritmo de resolução de conflito; autoriza ou nega a ação; algoritmos de resolução de conflitos do XACML: deny-overrides, allow-overrides, first- applicable e only-one-applicable.

20 GridMultiPolicy Integração com GT4

21 Implementando políticas LeastPrivilege, controle de acesso a: Arquivos locais; conexões TCP/IP; Web Services. File_write /tmp/* write Socket/lsi.usp.br:7 WS/lsi.usp.br/axis:

22 Implementando políticas Instrução para PEP de web service

23 Implementando políticas IDS_Control promove a integração com sistema IDS local O PDP br.usp.lsi.IDSControl armazena dados sobre acessos; GER (Grid Event Receiver) recebe informações de ataque da central de gerenciamento de IDS e compara com os acessos realizados.

24 Implementando políticas

25 Teste operacional Uso do LeastPrivilege e IDS_Control; Realiza duas séries de ações e simula um ataque a um servidor web; Cadastrado no IDS o acesso em como ataque.http://lsi.usp.br/axis

26 Teste operacional Resultado primeira série de ações: Obteve acesso aos recursos previstos pelas políticas LeastPrivilege. ******************** first round !*********** Write in /tmp/GridCliente fail to write /bin/malicioso Connected to :7 ! fail to Connect to :1024. fail WS admin in WS test in

27 Teste operacional Resultado segunda série de ações: Depois de detectado o ataque, todas as ações são bloqueadas. *************** second round !********* fail to write /tmp/GridCliente2 fail to write /bin/malicioso2 fail to conect to :7 fail to conect to :1024. fail WS admin in fail to WS test in End of the test!

28 Conclusões Modelo de autorização flexível para a próxima geração de plataformas de grade computacional, com as seguintes características: Permitir que administradores e usuários possam estabelecer suas próprias políticas; Oferece serviço de distribuição de políticas de segurança de múltiplos formatos; Utiliza um ambiente de execução flexível, que permite o estabelecimento de múltiplos mecanismos; Implementa de forma dinâmica e em tempo de execução os pontos de efetivação de políticas necessários;

29 Perguntas? Laboratório de Sistemas Integráveis LSI-USP


Carregar ppt "Plataforma para efetivação de múltiplas políticas de controle de acesso em ambientes de grade computacional Leonardo Mattes, Leonardo C. Militelli, João."

Apresentações semelhantes


Anúncios Google