Bezpieczny dostęp do usług zarządzania danymi w systemie Laboratorium Wirtualnego



Podobne dokumenty
INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

XI Konferencja Sieci i Systemy Informatyczne Łódź, październik 2004 MODEL BEZPIECZEŃSTWA DOSTĘPU DO ZASOBÓW W SYSTEMACH GRIDOWYCH

Nowe aplikacje i usługi w środowisku Grid

Zastosowania PKI dla wirtualnych sieci prywatnych

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Technologia biometryczna w procesach obsługi pacjentów i obiegu dokumentacji medycznej Konferencja ekspercka dotycząca e- Zdrowia Warszawa, 27

Stos TCP/IP. Warstwa aplikacji cz.2

INFORMATYKA Pytania ogólne na egzamin dyplomowy

System Użytkowników Wirtualnych

Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER

Architektura i mechanizmy systemu

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Serwery LDAP w środowisku produktów w Oracle

Laboratorium Wirtualne w środowisku gridowym

Zarządzanie cyklem życia bezpieczeństwa danych

Referat pracy dyplomowej

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

ZiMSK. Konsola, TELNET, SSH 1

Księgarnia PWN: Jan De Clercq, Guido Grillenmeier - Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

Sieci VPN SSL czy IPSec?

Perceptus IT Security Academy

Bazy danych 2. Wykład 1

Liczba godzin 1,2 Organizacja zajęć Omówienie programu nauczania 2. Tematyka zajęć

Laboratorium Wirtualne

Zdalne logowanie do serwerów

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

1. Wprowadzenie Środowisko multimedialnych sieci IP Schemat H

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Systemy GIS Systemy baz danych

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Bezpiecznie i rozsądnie z Project Server 2013, czyli SharePoint Permission Mode vs Project Server Mode Bartłomiej Graczyk

Budowa aplikacji ASP.NET z wykorzystaniem wzorca MVC

Jak bezpieczne są Twoje dane w Internecie?

Opis wdrożenia Platformy Technologicznej epodreczniki.pl na zasobach Poznańskiego Centrum Superkomputerowo-Sieciowego

Centralne uwierzytelnianie i autoryzacja użytkowników za pomocą Oracle Application Server Identity Management

Clusterix Data Management System (CDMS)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Usługi terminalowe

Infrastruktura klucza publicznego w sieci PIONIER

Program szkolenia: Bezpieczny kod - podstawy

Projektowanie i implementacja infrastruktury serwerów

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Budowa uniwersalnej architektury dla Laboratorium Wirtualnego

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Wirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej

Bezpieczna poczta i PGP

Bezpieczeństwo w Internecie

Zagadnienia na egzamin dyplomowy

Wybrane działy Informatyki Stosowanej

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Wirtualizacja zasobów IPv6 w projekcie IIP

CEPiK 2 dostęp VPN v.1.7

Skalowalna Platforma dla eksperymentów dużej skali typu Data Farming z wykorzystaniem środowisk organizacyjnie rozproszonych

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

Exchange 2007 Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange 2007 wersja 1.1 UNIZETO TECHNOLOGIES S.A.

Praktyczne aspekty stosowania kryptografii w systemach komputerowych

Systemy obiegu informacji i Protokół SWAP "CC"

Zakład Ubezpieczeń Społecznych Departament Zamówień Publicznych ul. Szamocka 3, 5, Warszawa tel: , fax:

bezpieczeństwo na wszystkich poziomach

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Model logiczny SZBD. Model fizyczny. Systemy klientserwer. Systemy rozproszone BD. No SQL

Uwierzytelnianie jako element procesu projektowania bezpieczeństwa

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

DESlock+ szybki start

Wprowadzenie. Dariusz Wawrzyniak 1

WLAN bezpieczne sieci radiowe 01

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Internet Information Service (IIS) 7.0

USŁUGA WSPÓŁDZIELENIA i SYNCHRONIZACJI PLIKÓW dla UŻYTKOWNIKÓW SIECI PIONIER. box.pionier.net.pl. Dział Technologii Zarządzania Danymi, PCSS

ZABEZPIECZENIE KOMUNIKACJI Z SYSTEMEM E-PŁATNOŚCI

Polityka Certyfikacji dla Certyfikatów PEMI

Zabezpieczanie systemu Windows Server 2016

System anonimowej i poufnej poczty elektronicznej. Jakub Piotrowski

Szczegółowy opis przedmiotu zamówienia:

Ryzyko operacyjne w obszarze infrastruktury informatycznej - perspektywa firmy Oracle

System Kerberos. Użytkownicy i usługi. Usługa. Użytkownik. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Palo Alto firewall nowej generacji

Dokumentacja wstępna TIN. Rozproszone repozytorium oparte o WebDAV

Zielona Góra, 22-X-2015

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

Uniwersalna architektura dla Laboratorium Wirtualnego. Grant badawczy KBN

Informatyka Studia II stopnia

ORGANIZACJA ZAJĘĆ BAZY DANYCH PLAN WYKŁADU SCHEMAT SYSTEMU INFORMATYCZNEGO

Proponowana architektura ZPT

ZAŁOŻENIA PROJEKTOWE I SPECYFIKACJA USŁUG

git krótki przewodnik

Składowanie i dostęp do danych w rozproszonym systemie ochrony własności intelektualnej ANDRZEJ SOBECKI, POLITECHNIKA GDAŃSKA INFOBAZY 2014

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Załącznik nr 5i do SIWZ. Wdrożenie systemu oraz asysta techniczna

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Charakterystyka sieci klient-serwer i sieci równorzędnej

I. KARTA PRZEDMIOTU CEL PRZEDMIOTU

Bezpieczeństwo informacji w systemach komputerowych

Transkrypt:

Bezpieczny dostęp do usług zarządzania danymi w systemie Laboratorium Wirtualnego Poznańskie Centrum Superkomputerowo Supersieciowe: M.Lawenda, M.Wolski, N.Majer, C.Mazurek, M.Stroiński Politechnika Łódzka Centrum Komputerowe: P.Szychowski, M.Kopeć

Agenda Ogólna architektura Systemu Zarządzania Danymi Warstwa bezpieczeństwa w projekcie SGIgrid Rozwiązanie uwierzytelniania i autoryzacji w SZD Wirtualnego Laboratorium

Wirtualne Laboratorium i SZD Uwierzytelnianie Użytkownicy WWW Sieć klastrów obliczeniowych (Globus) Serwer aplikacyjny Portal WWW PIONIER SZD Autoryzacja Procesory sterujące Sieć klastrów bazo-danowych (Globus) Urządzenia laboratoryjne

Architektura SZD AUTH RAD S Z D WS WS Eksploracja HTTPS Clients Portal Portal GMS GMS WS Data Broker WS MetaData Management SQL MetaData DB Transfer GASS, GSIFTP WS Problem bezpieczeństwa!!! Jak zapewnić spójność pomiędzy Eksploracją i Transferem, nie mnożąc komunikatów? Data Storage File System Data Storage DB Data Storage HSM

Bezpieczeństwo w gridach Wirtualna Organizacja. Cechy funkcjonalne: Uwierzytelnianie i autoryzacja: wiadomo kto i co robi Poufność i integralność danych dane są niewidoczne dla postronnych i odporne na nieuprawnioną modyfikację Spójność operacji operacje na rozproszonych zasobach mogą być wykonywane w ustalonym porządku i czasie Cechy technologiczne: Wielopoziomowość zabezpieczeń (AA autentykacja/autoryzacja) Scentralizowana autentykacja AUTH i autoryzacja RAD (CAS Comunity Authorization Service) Silna kryptografia (security, non-repudition) Zasada SSO (Single Sign-Only)

GSI Globus Security Infrastructure uznany standard bezpieczeństwa GSI jest technologią udostępnioną w Globus Toolkit: Kryptografia PKCS Delegacja uprawnienia (Certyfikat Proxy, który służy do okazania w zastępstwie własnego certyfikatu X.509) Transfer plików GASS i GSIFTP oparty na SSLv3 GSI GT2 różni się istotnie od GSI GT3

GSI GT2 i GT3 - porównanie GSI GT2 Główne cechy: Autentykacja opiera się o zawarość pliku grid-mapfile Autoryzacja opiera się o system lokalnego serwera Wady: system jest trudno skalowalny system autoryzacji VO jest zależny od administratora lokalnego systemu GSI GT3 Główne cechy: Autentykacja i autoryzacja opiera się o zewnętrzny system CAS (najlepiej centralny dla VO) Jest wykorzystane pole PCI (Proxy Certificate Information rozszerzenie X.509) Zalety: System CAS jest Gridserwisem ( Webserwisem ), dzięki czemu jest uniwersalny, rozwiązanie dobrze skalowalne

Certyfikat proxy (credential) Standard IETF PKIX (na razie draft) Używanie proxy wzmacnia bezpieczeństwo, ponieważ stosując krótkoterminowe klucze do zwykłych operacji w gridzie, ograniczmy częstotliwość wykorzystania rzeczywistego klucza prywatnego (to oznacza mniejszą szansę kompromitacji klucza rzeczywistego) Certyfikat proxy pozwala zrealizować postulat SSO ponieważ jego użycie nie wymaga podawania hasła do klucza. Trzy rodzaje certyfikatów proxy: Full delegation (GT2 i GT3) umożliwia wyłącznie identyfikację, Restricted delegation (GT3) pozwala załączyć kontekstową politykę (PCI), która podlega weryfikacji przez CAS No delegation (GT3) komunikat żądania dodatkowych praw od CAS (na razie nie ma implementacji)

System bezpieczeństwa SGIgrid Centralny system uwierzytelniania (AUTH) będący jednocześnie wystawcą i repozytorium certyfikatów proxy Centralny system autoryzacji RAD (Resource Access Decision) TAK/NIE = f (userid, action, resource) GSI GT2 algorytm biletowy (ticket) + dynamiczny grid-mapfile

Algorytm biletowy dostępu do zasobu Algorytm biletowy (ticket) jest powszechnie znany z życia codziennego: Kino - kupujemy bilet w kasie, który upoważnia do wejścia na salę filmową, Stok narciarski kupujemy impulsy do karty chipowej, które umożliwiają przejście przez bramkę do wyciągu.

Ogólny algorytm biletowy oparty na certyfikacie 1 2 Toll Booth User 3 Resource site

Schemat bezpieczeństwa SZD AUTH 6. Żądanie proxy 7. 3. Autoryzacja? RAD 4. Zezwolenie S Z D 1. Eksploracja Clients Portal Portal 2. Żądanie Data Broker GMS GMS 5. URL 8. URL + MetaData Management MetaData DB 9. GSIFTP 5a. Modyfikacja grid-mapfile Data Storage File System Data Storage DB Data Storage HSM

Podsumowanie Algorytm biletowy jest bardzo dobry ekonomiczny, skalowalny, bezpieczny. Aby zrealizować bilety w oparciu o GSI GT2, z uwagi na brak obsługi rozszerzenia PCI, trzeba: albo modyfikować serwery (GridFTP, GASS, GRAM itd..), albo zaimplementować dynamiczne zarządzanie grid-mapfile. albo pogodzić się z brakiem ponownej autoryzacji na poziomie zasobu. Bilety łatwo i w naturalny sposób można wdrożyć w GSI GT3: obsługa polityki PCI w certfyfikatach proxy.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres