A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Laboratório de Sistemas Integráveis

PublicouLuana Cotta Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Laboratório de Sistemas Integráveis"— Transcrição da apresentação:

1 Laboratório de Sistemas Integráveis
LSI-USP Plataforma para efetivação de múltiplas políticas de controle de acesso em ambientes de grade computacional Leonardo Mattes, Leonardo C. Militelli, João Antonio Zuffo

2 Sumário Introdução Trabalhos relacionados Arquitetura GridMultiPolicy
Implementando Políticas Teste operacional Conclusões

3 Grade computacionais:
Introdução Grade computacionais: Compartilhamento de recursos e serviços de forma integrada e dinâmica entre múltiplos domínios lógicos e tecnológicos. Um típico cenário de grade computacional envolve VO (Organizações Virtuais).

4 Organizações Virtuais domínios sobre domínios
Introdução Organizações Virtuais domínios sobre domínios

5 Introdução Ao oferecer maior integração e flexibilidade entre domínios heterogêneos, grades computacionais aumentam também a possibilidade de riscos e vulnerabilidade. Desafio de segurança para grades computacionais é o oferecimento de um serviço integrado aos diferentes modelos de políticas e mecanismos existentes nos sítios de uma VO;

6 Desafios de grade computacional
Introdução Desafios de grade computacional Permitir a integração de políticas de domínios autônomos; Oferecer serviços de segurança de forma integrada com os mecanismos pré-existentes; Oferecer suporte ao princípio de privilégio mínimo; Manter compatibilidade com as aplicações legadas.

7 Trabalhos Relacionados
Os trabalhos produzidos seguem duas orientações distintas: infra-estruturas distribuídas e flexíveis de controle de acesso para controlar serviços de rede (CAS, PERMIS e Shibboleth ) ; Instanciação remota de tarefas: Gerenciamento e mapeamento de contas remotas; Máquinas virtuais

8 GridMultiPolicy Modelo de controle de acesso flexível, que oferece: Suporte e gerenciamento a múltiplos formatos de linguagens de políticas; Abrangência necessária para para exercer controle, tanto no oferecimento de serviços, como no ambiente de execução das aplicações; Estabelecimento dinâmico de múltiplos mecanismos de segurança; Políticas de segurança especificas para cada contexto de execução; Criação dinâmica de pontos de efetivação de políticas.

9 GridMultiPolicy- modelo de autorização
Modelo de Autorização da especificacão AAA PEP (Policy Enforcement Point -Ponto de Efetivação de Política) PDP (Policy Decision Point- Ponto de Decisão de Política)

10 GridMultiPolicy – Arquitetura
Uso integrado de duas entidades: JMPE (Java Multi Policy Environment) MPMS (Multi Policy Manager Service)

11 GridMultiPolicy - MPMS
Módulo principal (XACML) Módulos secundários (formato próprio)

12 GridMultiPolicy - MPMS
Escopo (XACML), define a atuação de uma política secundária em relação: Ações; Regras para definir o contexto de atuação de uma políticas (sítios, recursos, perfis); PDP correlacionado, mecanismo capaz de efetivar as políticas correlacionada; Informações sobre os PEPs necessários

13 GridMultiPolicy - MPMS
Interface de comunicação PDP principal e secundário Parâmetros para gerar políticas secundárias especificas a contexto de execução: Descrição da tarefa ou serviço por meio de um arquivo no formato RSL; Dados do usuário objeto “VOuser”

14 GridMultiPolicy - JMPE
Tem como objetivo a criação de um ambiente de execução customizado para fazer cumprir as múltiplas políticas estabelecidas; Estabelecimento dinâmico dos PDPs, PEPs e políticas necessários.

15 GridMultiPolicy – JMPE
Processo de estabelecimento dos PDPs

16 GridMultiPolicy - JMPE
Estabelecimento dos PEPs Granularidade básica fornecida pelo gerente de segurança Java. Granularidade estendida modificações em tempo de execução de bibliotecas para a inserção dos PEPs.

17 GridMultiPolicy - JMPE
Processo de criação dinâmica dos PEPs: Com base no escopos dos módulos secundários se estabelece a lista de instruções para inserção de PEP; Em tempo de execução as classes são carregadas e modificadas:

18 GridMultiPolicy - JMPE

19 GridMultiPolicy - JMPE
Efetivação de Políticas de segurança: Analisa a ação e os parâmetros de utilização para verificar quais os PDPs possuem escopos de atuação compatíveis; coleta as decisões dos PDPs para a dada ação; em caso de conflito das decisões, aplica o algoritmo de resolução de conflito; autoriza ou nega a ação; algoritmos de resolução de conflitos do XACML: “deny-overrides”, “allow-overrides”, “first-applicable” e “only-one-applicable”.

20 GridMultiPolicy Integração com GT4

21 Implementando políticas
LeastPrivilege, controle de acesso a: Arquivos locais; conexões TCP/IP; Web Services. <Action> File_write /tmp/* write</Action> <Action>Socket/lsi.usp.br:7</Action> <Action>WS/lsi.usp.br/axis:</Action>

22 Implementando políticas
Instrução para PEP de web service

23 Implementando políticas
IDS_Control promove a integração com sistema IDS local O PDP “br.usp.lsi.IDSControl“ armazena dados sobre acessos; GER (Grid Event Receiver) recebe informações de ataque da central de gerenciamento de IDS e compara com os acessos realizados.

24 Implementando políticas

25 Teste operacional Uso do LeastPrivilege e IDS_Control;
Realiza duas séries de ações e simula um ataque a um servidor web; Cadastrado no IDS o acesso em como ataque.

26 Teste operacional Resultado primeira série de ações:
Obteve acesso aos recursos previstos pelas políticas LeastPrivilege. ******************** first round !*********** Write in /tmp/GridCliente fail to write /bin/malicioso Connected to :7 ! fail to Connect to :1024 . fail WS “admin” in WS “ test” in

27 Resultado segunda série de ações:
Teste operacional Resultado segunda série de ações: Depois de detectado o ataque, todas as ações são bloqueadas. *************** second round !********* fail to write /tmp/GridCliente2 fail to write /bin/malicioso2 fail to conect to :7 fail to conect to :1024 . fail WS “admin” in fail to WS “test” in End of the test!

28 Conclusões Modelo de autorização flexível para a próxima geração de plataformas de grade computacional, com as seguintes características: Permitir que administradores e usuários possam estabelecer suas próprias políticas; Oferece serviço de distribuição de políticas de segurança de múltiplos formatos; Utiliza um ambiente de execução flexível, que permite o estabelecimento de múltiplos mecanismos; Implementa de forma dinâmica e em tempo de execução os pontos de efetivação de políticas necessários;

29 Laboratório de Sistemas Integráveis
Perguntas? Laboratório de Sistemas Integráveis LSI-USP

Carregar ppt "Laboratório de Sistemas Integráveis"

Apresentações semelhantes

Sistemas Operacionais

Sistemas Operacionais
Sistemas Distribuídos

Sistemas Distribuídos
Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel

Stefan Neusatz Guilhen Prof. Dr. Francisco Carlos da Rocha Reverbel
O Serviço Experimental MonIPÊ CACTISonar

O Serviço Experimental MonIPÊ CACTISonar
UNIPAC – ARAGUARI CAMPUS – IX PROF. EVERTON HIPÓLITO DE FREITAS

UNIPAC – ARAGUARI CAMPUS – IX PROF. EVERTON HIPÓLITO DE FREITAS
Aula 21/09/2011 Courouris, Dollimore, cap 10

Aula 21/09/2011 Courouris, Dollimore, cap 10
Introdução à Informática

Introdução à Informática
Modelos Baseados em Agentes

Modelos Baseados em Agentes
Aluno: Ricardo Nogueira de Figueiredo

Aluno: Ricardo Nogueira de Figueiredo
Algoritmo de Escalonamento para Aplicações em uma Grade Computacional Extensível aos Receptores Digitais de Televisão Bruno Guazzelli Batista Orientadora:

Algoritmo de Escalonamento para Aplicações em uma Grade Computacional Extensível aos Receptores Digitais de Televisão Bruno Guazzelli Batista Orientadora:
Grid Anywhere Um Middleware Extensível para Grades Computacionais

Grid Anywhere Um Middleware Extensível para Grades Computacionais
CAPÍTULO Sistemas de supervisão 2. Sistema SCADA

CAPÍTULO Sistemas de supervisão 2. Sistema SCADA
QoS para Realidade Virtual

QoS para Realidade Virtual
Objetos Distribuídos Padrão CORBA

Objetos Distribuídos Padrão CORBA
Sistemas Distribuídos

Sistemas Distribuídos
Sistemas Operacionais de Rede

Sistemas Operacionais de Rede
Introdução a Programação Orientada a Objetos

Introdução a Programação Orientada a Objetos
Modelo de Segurança para Ambientes Cooperativos

Modelo de Segurança para Ambientes Cooperativos
Tecnologia de Informática

Tecnologia de Informática
Rodrigo de Souza Couto Redes de Computadores II

Rodrigo de Souza Couto Redes de Computadores II

Apresentações semelhantes

Anúncios Google