INTERNET - Wrocław 2005. Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Podobne dokumenty
Bezpieczny dostęp do usług zarządzania danymi w systemie Laboratorium Wirtualnego

Nowe aplikacje i usługi w środowisku Grid

ZiMSK. Konsola, TELNET, SSH 1

Zdalne logowanie do serwerów

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Podstawy Secure Sockets Layer

Zastosowania PKI dla wirtualnych sieci prywatnych

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Virtual Grid Resource Management System with Virtualization Technology

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

SSL (Secure Socket Layer)

Serwery LDAP w środowisku produktów w Oracle

Authenticated Encryption

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Oracle Application Express -

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER

Nowe produkty w ofercie Red Hat

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Laboratorium Wirtualne

ZAŁOŻENIA TECHNICZNO-TECHNOLOGICZNE SYSTEMU BUDOWANEGO W RAMACH PROJEKTU

System Użytkowników Wirtualnych

Platforma epuap. Igor Bednarski kierownik projektu epuap2 CPI MSWiA. Kraków, r.

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Microsoft Exchange Server 2013

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Problemy niezawodnego przetwarzania w systemach zorientowanych na usługi

Przewodnik technologii ActivCard

Sieci komputerowe. Wykład dr inż. Łukasz Graczykowski

Bezpieczeństwo Digital Certificate Manager

Architektury usług internetowych. Tomasz Boiński Mariusz Matuszek

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

Polityka Certyfikacji dla Certyfikatów PEMI

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Laboratorium nr 4 Sieci VPN

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Laboratorium Wirtualne w środowisku gridowym

DESlock+ szybki start

Wykorzystanie protokołu T=CL w systemach kontroli dostępu

Budowa uniwersalnej architektury dla Laboratorium Wirtualnego

Zarządzanie certyfikatami w systemie OpenVPN

Tivoli Endpoint Manager jak sprawnie zarządzać systemami

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

11. Autoryzacja użytkowników

Perceptus IT Security Academy

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

WdroŜenie infrastruktury klucza publicznego w firmie Polkomtel S.A. Mateusz Kantecki. Polkomtel S.A.

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Dokumentacja techniczna. Młodzieżowe Pośrednictwo Pracy

IBM i Wersja 7.3. Bezpieczeństwo Program Digital Certificate Manager IBM

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Wybrane działy Informatyki Stosowanej

Bezpieczeństwo bez kompromisów

Skalowalna Platforma dla eksperymentów dużej skali typu Data Farming z wykorzystaniem środowisk organizacyjnie rozproszonych

Bezpieczeństwo systemów komputerowych.

Dane bezpieczne w chmurze

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

CEPiK 2 dostęp VPN v.1.7

HP Service Anywhere Uproszczenie zarządzania usługami IT

Szczegółowy opis przedmiotu zamówienia:

Bazy danych i usługi sieciowe

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

Problemy z bezpieczeństwem w sieci lokalnej

Bezpieczeństwo poczty elektronicznej

Zabezpieczanie systemu Windows Server 2016

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Ochrona Digital Certificate Manager

Automatyzacja procesu tworzenia i zarządzania Wirtualnymi Organizacjami w oparciu o wiedzę w zastosowaniu do architektur zorientowanych na usługi

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Projektowanie i implementacja infrastruktury serwerów

Bezpieczeństwo systemów informatycznych

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Ćwiczenie 8 Implementacja podpisu cyfrowego opartego na standardzie X.509

Oracle WebServer - architektura i administrowanie

Platforma epuap. 1-3 marca 2011

Plugin Single Sign On Wersja 1.2. Przewodnik koncepcyjny

Bezpieczeństwo bez kompromisów

System Kerberos. Użytkownicy i usługi. Usługa. Użytkownik. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10

Sieci VPN SSL czy IPSec?

Projekt Fstorage. Łukasz Podkalicki Bartosz Kropiewnicki

Polityka Certyfikacji

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Laboratorium nr 5 Sieci VPN

WLAN bezpieczne sieci radiowe 01

Programowanie współbieżne i rozproszone

Czym jest jpalio? jpalio jpalio jpalio jpalio jpalio jpalio jpalio jpalio

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Ministerstwo Finansów

Bringing privacy back

Oracle COREid Federation Przegląd

Transkrypt:

Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid Bartłomiej Balcerek Wrocławskie Centrum Sieciowo-Superkomputerowe

Plan prezentacji Podstawowe pojęcia z dziedziny gridów Definicja gridu obliczeniowego Zagadnienia bezpieczeństwa w gridach Protokół bezpieczeństwa - GSI Projekt jako przykład elementu bezpieczeństwa gridu

Podstawowe pojęcia Wirtualne organizacje Grupy ludzi bądź zasobów, rozsianych geograficznie prowadzących wspólne prace bądź badania. Współdzielenie zasobów Ponad zasobami fizycznymi musi istnieć warstwa aplikacyjna umożliwiająca ich współdzielenie. Przezroczysty dostęp do zasobów Ukrycie infrastruktury sprzętowo-programowej przed użytkownikiem.

Podstawowe pojęcia c.d. Rozwiązywanie problemów dużej skali Dzięki udostępnianiu własnych zasobów w ramach Wirtualnej Organizacji, można mieć okresowo dostęp do wszystkich jej zasobów, co daje szansę na wykonanie bardziej skomplikowanych obliczeń w krótszym czasie. Technologie programowe Obecnie rozwijanych jest kilka gridowych technologii programowych, które oferują funkcjonalności niezbędne do wirtualizacji warstwy sprzętowej, np. Globus, Legion.

Definicja gridu obliczeniowego Grid definiowany jest jako infrastruktura sprzętowoprogramowa, dynamicznie zmieniająca się, która dostarcza niezawodnego, spójnego, powszechnego i taniego dostępu do zasobów obliczeniowych, składowania, aparatury i danych, rozproszonych geograficznie i należących do różnych organizacji.

Architektura gridu na przykładzie projektu Clusterix

Zagadnienia bezpieczeństwa w gridach Używane zasoby mogą być cenne, a rozwiązywane problemy wrażliwe na zakłócenia Zasoby często rozproszone są po różnych domenach administracyjnych. Każdy zasób może mieć własną politykę dostępu, procedury, mechanizmy bezpieczeństwa Implementacja powinna być dostępna i łatwo aplikowalna. Konieczne używanie standardowych, dobrze przetestowanych, dobrze rozumianych protokołów, integrowanych z szerokim zakresem rozmaitych narzędzi

Zagadnienia bezpieczeństwa w gridach c.d. Zbiór zasobów używanych przez jedno zadanie obliczeniowe może być duży, dynamiczny i nieprzewidywalnie zmieniać się w czasie. Występują nie tylko interakcje typu użytkownik-usługa, ale usługausługa, w imieniu użytkownika. Wymaga to możliwości delegowania praw użytkownika do usługi.

Wymogi bezpieczeństwa gridów Użytkownika Właściciela zasobów 1) Łatwość używania 2) Single Sign-On 3) Model zaufania oparty na użytkowniku 4) Delegowanie uprawnień 1) Lokalna kontrola dostępu 2) Audytowanie, rozliczanie 3) Integracja z lokalnymi systemami np. Kerberos 4) Ochrona przed skompromitowanymi zasobami

Certyfikaty PKI Analogia do dowodu osobistego Nazwisko Wydawca Klucz publiczny Podpis

Grid Security Infrastructure (GSI) GSI to standard zaprojektowany w ramach projektu Globus, tak by spełnić wszystkie wymienione wymogi bezpieczeństwa Protokół GSI rozszerza dobrze poznany standard PKI. GSI bazuje na: Certyfikatach X.509 Protokole SSL/TLS GSI wspiera standardowe API bezpieczeństwa np. GSSAPI, dzięki czemu może współpracować np. z SSH.

Grid Security Infrastructure (GSI) c.d. Delegacja uprawnień zapewnia pojedynczy punkt GSI to: dostępu Delegacja uprawnień PKI przechowuje dane identyfikacyjne PKI SSL/TLS SSL zapewnia autentykację i ochronę wiadomości

Grid Security Infrastructure (GSI) c.d. GSI wprowadza certyfikaty X.509 typu proxy, jako rozszerzenie umożliwiające delegowanie uprawnień i zapewniające pojedynczy punkt dostępu. Certyfikat Centrum Certyfikacji Podpis Certyfikat użytkownika Podpis Certyfikat proxy

Grid security infrastructure (GSI) c.d. Delegowanie tożsamości Delegowanie = tworzenie (kolejnego poziomu) certyfikatu proxy, zazwyczaj zdalne: Klient zgłasza żądanie dostępu do serwera Serwer generuje nową parę kluczy Certyfikat proxy przesyłany jest do klienta Klient podpisuje certyfikat proxy i odsyła go do serwera Serwer zapisuje proxy w lokalnym systemie plików Delegowanie pozwala zdalnemu procesowi autentykować się w imieniu użytkownika Zdalny proces niejako impersonuje użytkownika

Grid security infrastructure (GSI) c.d. GSI a Secure Socket Layer (SSL) SSLv3= TLS (Transport Layer Security) GSI nadbudowuje nad SSL Używa SSL do autentykacji i ochrony przesyłanej informacji GSI dodaje certyfikaty proxy dla zapewnienia SSO (Single Sign- On) SSL daje możliwość autentykacji, ale nie zapewnia mechanizmu przekazywania uprawnień użytkownika usłudze

Architektura bezpieczeństwa w projekcie SGI Grid AUTHSERVER Grid access point Authentication methods Virtual Laboratory (VLAB) Resource Access Decison (RAD) Data management Authorization decisions

Request/Response getuserid() getuserinfo() getuserproxy() isproxyvalid() AUTHPROXYD Web service interface initializations functions unix server functions web service functions proxy generation functions proxy verification funcions ldap access functions LDAP interface Architektura modułu autentykacji LDAP query CA credentials User credentials

INTERNET Wrocław 2005 Funkcjonalność modułu autentykacji Pobieranie informacji o użytkowniku na podstawie jego identyfikatora dane pobierane są ze zweryfikowanego certyfikatu dostępnego w bazie LDAP zwracane są następujące pola z certyfikatu: Subject, Issuer, Serial Number, email, Validity Not Before, Validity Not After Generowanie certyfikatu proxy dla użytkownika generowanie certyfikatu proxy na określony czas z użyciem klucza prywatnego znajdującego się w bazie LDAP Weryfikacja ważności certyfikatu proxy sprawdzenie ścieżki certyfikacji, listy CRL, dat ważności certyfikatów, oraz maksymalnego czasu życia certyfikatu proxy

INTERNET Wrocław 2005 Dziękuję za uwagę

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres