Subido porJessica
PPT, PDF278 vistas

Grid

Este documento presenta una introducción a la seguridad en ambientes Grid. Explica que los Grids computacionales permiten compartir recursos de forma dinámica y distribuida entre organizaciones a través de organizaciones virtuales. También describe los requerimientos de seguridad como la autenticación, autorización, confidencialidad e integridad, así como la infraestructura de seguridad Grid Security Infrastructure que provee servicios de autenticación y protección de mensajes basados en PKI y certificados X.509. Finalmente, menciona algunas autoridades y está

Incrustar presentación

Descargar para leer sin conexión
Introducción al Grid Vanessa Hamar Grupo Grid Universidad de Los Andes
Contenido Ambientes Grid Requerimientos de Seguridad Manejo de usuarios Estado actual de la seguridad Infraestructura de seguridad en Grid Policy Management Authority Conclusiones
Ambientes Grid
Introducción Los Grids computacionales han emergido con la finalidad de mejorar el rendimiento del sistema en su disponibilidad, escalabilidad, confiabilidad y seguridad mediante la integración de recursos heterogéneos compartidos .
Idea La idea del Grid es muy parecida a una red eléctrica: Cualquier hardware que tenga conexión a la red debe poder ser integrada al Grid. La conexión es provista en cualquier lugar. Altamente confiable (Todos los días a toda hora). Se comparten recursos (hardware, software, data, dispositivos de almacenamiento). Siempre existirá suficiente capacidad de calculo. Es transparente al usuario. Simple. Disponible en cualquier momento.
¿ Qué es Grid? Un Grid Computacional es una forma de computación distribuida que comprende coordinar y compartir recursos, aplicaciones, datos, almacenamiento o recursos de red entre organizaciones dinámicas y geográficamente distribuidas.
¿ Por qué hoy? Disponibilidad y confiabilidad en el ancho de banda, además, existe una red global, Internet. El almacenamiento de data se dobla cada 12 meses. El crecimiento dramático de información en línea (1 petabyte = 1000 terabyte = 1,000,000 gigabyte) 2000 ~0.5 petabyte 2005 ~10 petabytes 2010 ~100 petabytes 2015 ~1000 petabytes?
Ventajas Aumentar la capacidad de procesamiento. Aprovechar los recursos de la organización de manera más eficiente Disminuye el tiempo de procesamiento. Almacenar gran cantidad de datos y compartirlos. Es una forma económica de incrementar los recursos en la organización. Procesadores Tiempo N1+N2 N3+N4 N7+N8 N(n-1)+Nn N5+N6 R1+N3 R2+N4 R(n-1)+Nn R1+R2+…+RN
Aplicaciones Cualquier ciencia cuyas necesidades comprendan: Lograr una alta resolución en las imágenes. Capturar y guarda información. Simular para entender mejor la data. Procesar data en tiempo real. Hacer que esta data este disponible en cualquier parte del mundo. Con el Grid las colaboraciones son globales y la data es compartida Simular, ya que es una herramienta altamente aceptada entre los científicos. e-Science
¿ Que debe proveer? Autentificación Políticas de Autorización Descubrimiento de recursos Ubicación de recursos Acceso a data remota Alta velocidad de transferencia de data Manejo de Recursos Manejo de Fallas Monitoreo Garantizar el rendimiento Detección de intrusos Manejo de cuentas y pagos. Adaptación, etc.
Conceptos relacionados Middleware en términos computacionales es utilizado para describir un agente que actúa como un intermediario, o como un miembro de un grupo de intermediarios, entre diferentes componentes en un proceso transaccional.
Conceptos relacionados Entidad Un usuario, un programa o una maquina. Credenciales Alguna data que provea una prueba de identidad. Autentificación Verifica la identidad de la entidad. Autorización Mapea una entidad con algún conjunto de privilegios. Confidencialidad Encripta el mensaje de tal manera que solo el receptor pueda entenderlo. Integridad Asegura que el mensaje no haya sido alterado en la transmisión. No-repudiación Imposibilidad de negar la autenticidad de una firma digital
Componentes Data Patrones de acceso “ Organizaciones Virtuales” Sitios Recursos Heterogéneos Patrones de acceso Políticas locales Membership Grid Poblaciones grandes y dinámicas Diferentes cuentas en diferentes sitios Data personal y confidencial Privilegios heterogéneos (roles) Single Sign-On Usuarios
Envío de trabajos Replica Catalogue UI JDL Logging & Book-keeping Resource Broker Job Submission Service Storage Element Compute Element Information Service Job Status DataSets info Author. &Authen. Job Submit Event Job Query Job Status Input “sandbox” Input “sandbox” + Broker Info Globus RSL Output “sandbox” Output “sandbox” Job Status Publish grid-proxy-init Expanded JDL SE & CE info
Seguridad en ambientes Grid
Los riesgos Recibir ataques de otros sitios Un gran conjunto de granjas de maquinas distribuidas Distribución de data de manera inapropiada y acceso a información sensitiva. Capacidades de almacenamiento masivas distribuidas geográficamente Explotación de huecos de seguridad. Ambientes dinámicos, heterogéneos y complejos. Daños causados por virus, gusanos, etc.
Requerimientos de seguridad Se requiere una arquitectura de seguridad que permita de manera dinámica, escalable la protección de los recursos, los datos almacenados y las salidas de los trabajos enviados por los usuarios.
Requerimientos de seguridad Integración con sistemas y tecnologías existentes. No se puede utilizar una única manera de seguridad dentro del Grid. Las infraestructuras de seguridad existentes no pueden ser reemplazadas.
Requerimientos de la seguridad en Grid Autentificación Pueden existir múltiples mecanismos de autentificación. Delegación Las políticas de delegación deben especificarse. Single sign-on Se le debe permitir a un usuario el acceso continuo y correcto por un periodo de tiempo razonable utilizando una única autentificación.
Requerimientos de la seguridad en Grid Renovación de credenciales Un trabajo iniciado por un usuario puede tomar más tiempo que el tiempo provisto por la credencial del usuario. En tal caso, el usuario necesita ser notificado con anterioridad de la expiración de las credenciales, o renovarla automáticamente. Autorización Los recursos deben ser utilizados bajo ciertas políticas de autorización. Un proveedor de servicios puede especificar sus propias políticas de autorización.
Requerimientos de la seguridad en Grid Confidencialidad La confidencialidad de los mecanismos de comunicación de los mensajes o documentos son soportados. Integridad de los mensajes Se debe asegurar que cambios no autorizados de los mensajes y los documentos deben ser detectados. Privacidad Tanto quien requiere el servicio como el que lo provee deben cumplir las políticas de privacidad. Otros requerimientos Login seguro, intercambio de políticas, …
Requerimientos de seguridad De esto se obtiene que se debe hacer un especial énfasis en: Seguridad en el manejo de Usuarios Seguridad en el manejo de datos
Manejo de usuarios en ambientes Grid
Organizaciones Virtuales (VOs) La manera en que se coordinan y comparten estos recursos es usando Organizaciones Virtuales de una manera dinámica, escalable y distribuida. La meta es crear organizaciones virtuales entre una o más organizaciones físicas (o dominios administrativos). Las organizaciones virtuales requieren soluciones comunes para el manejo de recursos, para manejar y acceder a la data, a las aplicaciones y a los servicios de información.
Estructura de una VO Una VO puede tener una estructura jerárquica compleja con grupos y subgrupos. Esta estructura es necesaria para dividir a los usuarios de acuerdo a sus tareas y a las instituciones a las cuales pertenecen. Estos grupos pueden ser vistos de manera independiente.
VOs Dinámicas Los usuarios pueden pertenecer a varias VOs, al igual que los proveedores de recursos pueden proveer una parte de sus recursos a varias VOs.
VOs Dinámicas
VOs Dinámicas Una VO puede ser creada para satisfacer algún requerimiento y eliminada después que este requerimiento es alcanzado. Los usuarios se pueden unir a las VOs o dejarlas. Los proveedores de recursos pueden unirse o dejar las VOs. Los proveedores de recursos pueden cambiar dinámicamente las políticas de acceso a sus recursos. Los administradores de las VOs pueden manejar a los usuarios de manera dinámica.
VOs Dinámicas Interoperabilidad con diferentes ambientes La seguridad de los servicios de diversos dominios pueden interactuar. A nivel de protocolo se intercambian mensajes. A nivel de políticas cada entidad puede especificar su política. A nivel de identidad, un usuario puede ser identificado de un dominio a otro.
Estado actual de la seguridad en ambientes Grid
Autentificación Una única autentificación (“pasaporte”) Firmado por una Autoridad de Certificación en la que todos confían. Reconocido por varios proveedores de recursos, usuarios y VOs. Satisface los requerimientos de persistencia. Por sí mismo no garantiza el acceso a los recursos, pero provee un único puente entre un identificador y el sujeto.
Autentificación Usuario Autoridad de Certificación Public key Private key certificado CA Recursos (sitio)
Autentificación y delegación El uso de Certificados X.509 La autentificación utilizando un único nombre provisto por un certificado bajo autoridades de certificación compartidas. Delegación y single sign-on a través del uso de certificados proxies.
Autentificación y delegación Delegación de certificados proxy Generación remota de proxies de usuarios Generación de una nueva clave privada y certificado utilizando la clave original. Los passwords o la clave privada no son enviados a través de la red.
Autentificación y delegación Autentificación del Username y Password soportado en GT4 El estándar WS-Security es opuesto al de las credenciales X.509. Solo provee autentificación y no características avanzadas como delegación, confidencialidad, integridad, etc.
Autorización Autorización por VO (“visa”) Concede acceso a una persona/servicio a través de una VO. Se basa en el nombre del “pasaporte” Reconocido por los propietarios de los recursos Los proveedores pueden obtener listas de usuarios autorizados por VO. Los usuarios necesitan delegar sus derechos a proxies en otros sistemas. Los proveedores de recursos necesitan una autorización para que los proxies de los usuarios puedan ser enviados a sus sistemas. La delegación es el proceso de transferir derechos de los usuarios a tareas o proxies. Cuando se delegan muchos derechos, el abuso de los derechos puede hacerse posible. Cuando se restringen mucho los derechos que pueden ser delegados los proxies no pueden ser ejecutados completamente.
Autorización Entonces, es necesario un servicio de autorización en el cual los usuarios deleguen derechos restringidos a los proxies y los proveedores de recursos puedan chequear los usos validos de los derechos delegados.
Autorización Pull Model Concede los derechos del usuario solo en condiciones especificas. Delegación de los derechos que especifica el usuario. Maneja los derechos entre los usuarios y los proveedores de recursos Ejemplo: Akenti
Autorización Push Model Concede los derechos de los usuarios de acuerdo a sus roles. Administra los derechos de manera centralizada. Ejemplo: CAS, PERMIS, VOMS
Autorización Community Authorization Service (CAS) Permite políticas de autorización de grano fino. Los proveedores de recursos pueden generar políticas para dominios externos. CAS permite crear políticas para los usuarios locales. Los usuarios que realizan alguna petición obtienen las capacidades de sus CAS locales.
Autorización Virtual Organization Membership Service ( VOMS) Provee información sobre el usuario y sus relaciones con las diferentes VOs Grupos, roles (administrador, estudiante, etc), capacidades, etc. Caracteristicas Unico login: voms-proxy-init solo al comienzo de la sesión Tiempo de expiración: la información de la autorización es valida solo por un periodo de tiempo definido. Compatibilidad: La información relacionada a la VO y al certificado del proxy del usuario. Múltiples VOs: El usuario puede identificarse a si mismo en múltiples VOs. Seguridad: Todas las comunicaciones cliente servidor son seguras y autentificadas.
Autorización Local Centre Authorization Service (LCAS) Chequea si el usuario esta autorizado. Si esta en el grid-mapfile Chequea si el usuario tiene tiempo suficiente en el proxy para aceptar los trabajos. Local Credential Mapping Service (LCMAPS) Mapea las credenciales del grid a credenciales locales. (ejemplo: UNIX uid/gid, AFS tokens, etc.) Utiliza el gridmapfile basado solo en el subject del certificado. Mapea los grupos y roles de la VOMS
Autorización Problemas Akenti Las condiciones y los derechos se escriben de manera manual. Los manejos de los derechos son hechos por los proveedores de recursos y los usuarios. CAS Delega todos los derechos de los roles de los usuarios. No delega derechos restringidos
Infraestructura de Seguridad en Grid
Grid Security Infraestructure (GSI) Los servicios fundamentales de seguridad son los provistos por el Globus Toolkit Basado en las tecnología estándar PKI Protocolo SSL para la autentificación y la protección de los mensajes. Una-vía, relaciones de confianza entre autoridades de certificación Certificados X.509 para comprobar la identidad de usuarios, servicios, máquinas. Identidad dentro del Grid Un usuario es mapeado a identidades locales utilizando el distinguished name del certificado del usuario.
Grid Security Infraestructure (GSI) Certificados Proxy X.509 Permiten single sign-on Permite a los usuarios delegar sus identidades y derechos a los servicios.
Grid Security Infraestructure (GSI) user service grid - map file authentication info user cert (long life ) proxy cert (short life ) CA CA CA crl update low frequency high frequency host cert (long life ) grid-proxy-init
Shibboleth Shibboleth está basado en estándares, es un middleware que provee un Web Single Sign On dentro o entre diferentes organizaciones. Esto le permite a los sitios tomar decisiones para dar accesos individuales a recursos en línea de una preservando la privacidad.
Policy Management Authority
International Grid Trust Federation IGTF es el “glue” para los Grids. IGTF esta compuesto de 3 Policy Management Authority ( PMAs) por región, cada una soporta una zona separada en el mundo: EUGridPMA, TAGPMA y APGridPMA.
International Grid Trust Federation TAGPMA APGridPMA
International Grid Trust Federation Miembros The Americas Grid PMA (TAGPMA) Dartmouth College Texas High Energy Grid Fermi National Laboratory San Diego Supercomputing Center TeraGrid Open Science Grid DOEGrids CANARIE Texas High Energy Grid EELA Venezuela: ULA Chile: REUNA Mexico: UNAM Argentina: UNLP Brazil: UFF
Conclusiones
Conclusiones Una de las diferencias criticas entre la seguridad en el Grid y la seguridad en los sitios o las maquinas es la autonomía de los sitios. Existe la necesidad de poner de acuerdo a una gran cantidad de personas en sitios distribuidos para establecer las políticas.
Conclusiones Las maneras de autentificar y autorizar a las entidades dentro del grid siguen evolucionando.
Sitios en Internet http:// www.grid.org http://www.globus.org https://gilda.ct.infn.it http://www.eu-eela.org http:// www.tagpma.org/ http://shibboleth.internet2.edu/ http:// www.gridsystems.com http:// www.cactuscode.org / http:// www.accessgrid.org http://www- fp.mcs.anl.gov /~foster/ http:// www.neesgrid.org /
 

Más contenido relacionado

PDF
Gobierno de los datos en la nube y el cumplimiento regulatorio
porFabián Descalzo
 
PPTX
Infraestructura de la clave publica
porAbraham Fernández
 
PPTX
Infrestructura pki
porCecyCueva
 
PDF
T04 01 pki
porManuel Fernandez Barcell
 
PDF
Pki
porG Hoyos A
 
PPTX
Seguridad en computo en la nube
porJazmin Glez.
 
PPTX
Actividad_ 5 - Infraestructura PKIx (svilatuña)
porsantigovc
 
PPT
Seguridad y computación en la nube
porCarlos Rubén Jacobs
 
Gobierno de los datos en la nube y el cumplimiento regulatorio
porFabián Descalzo
 
Infraestructura de la clave publica
porAbraham Fernández
 
Infrestructura pki
porCecyCueva
 
T04 01 pki
porManuel Fernandez Barcell
 
Pki
porG Hoyos A
 
Seguridad en computo en la nube
porJazmin Glez.
 
Actividad_ 5 - Infraestructura PKIx (svilatuña)
porsantigovc
 
Seguridad y computación en la nube
porCarlos Rubén Jacobs
 

Destacado

PPTX
Corot le pont de narni
porFranco Chom
 
PDF
M7 lesson 5 7 surface area
porlothomas
 
PDF
Etude De L'importance De La Mycorhization Dans La Synthèse Des Composés Phéno...
porinventy
 
ODP
L'Alsace et la Lorraine (Moises, Gioele et Luigi)
porclasse20genova
 
PPT
L'Afpa et la réalité virtuelle
porAfpa WebTv
 
PDF
Prezi 20 moutout
porCQTM
 
PPTX
Sant antoni
porNa Lia
 
PDF
Dossier de presse sgv
porSmartGridVendee
 
PPTX
Los 10 errores más comunes en la comunicación online de eatros
porMontserrat Peñarroya
 
PDF
Agenda paroisse St Emilien Juillet et Août 2013
porPère Dominique Fornerod
 
PPTX
AME-GALLERY Antoine Mercier Peinture Instants datés 0613 b avec oeuvres simi...
porAntoine Mercier-ame
 
PDF
Séminaire Taxe de Séjour 2013
portaxesejour.fr
 
PPT
Ide consultora como comunicar un evento
porMarina Sanchez
 
PDF
Oportunidades en Internet para la PYME
porFrancisco Páez
 
PDF
Pratiques numériques en éducation : L’exemple des usages de Twitter en milieu...
porGérard Marquié
 
PDF
Presentation street democracy
poridemocratic
 
PDF
Fortalecimiento de los sistemas de monitoreo y evaluación: Costa Rica
porPatricia Alfaro
 
PPT
Conferencia pedagogía lúdica y videojuegos en redes sociales.
porgraciela alicia es.
 
PPTX
G09 pr3 grupo9_ta
portallera
 
PPTX
Ptp2
porKévin Mencé
 
Corot le pont de narni
porFranco Chom
 
M7 lesson 5 7 surface area
porlothomas
 
Etude De L'importance De La Mycorhization Dans La Synthèse Des Composés Phéno...
porinventy
 
L'Alsace et la Lorraine (Moises, Gioele et Luigi)
porclasse20genova
 
L'Afpa et la réalité virtuelle
porAfpa WebTv
 
Prezi 20 moutout
porCQTM
 
Sant antoni
porNa Lia
 
Dossier de presse sgv
porSmartGridVendee
 
Los 10 errores más comunes en la comunicación online de eatros
porMontserrat Peñarroya
 
Agenda paroisse St Emilien Juillet et Août 2013
porPère Dominique Fornerod
 
AME-GALLERY Antoine Mercier Peinture Instants datés 0613 b avec oeuvres simi...
porAntoine Mercier-ame
 
Séminaire Taxe de Séjour 2013
portaxesejour.fr
 
Ide consultora como comunicar un evento
porMarina Sanchez
 
Oportunidades en Internet para la PYME
porFrancisco Páez
 
Pratiques numériques en éducation : L’exemple des usages de Twitter en milieu...
porGérard Marquié
 
Presentation street democracy
poridemocratic
 
Fortalecimiento de los sistemas de monitoreo y evaluación: Costa Rica
porPatricia Alfaro
 
Conferencia pedagogía lúdica y videojuegos en redes sociales.
porgraciela alicia es.
 
G09 pr3 grupo9_ta
portallera
 
Ptp2
porKévin Mencé
 

Similar a Grid

PDF
Arquitectura de Software Cloud y Grid orientados a SOA
porgeos_1989
 
PPT
Encriptacion Autenticacion y Autorizacion.ppt
porEfrain Meza Romero
 
PPTX
Extensibilidad y Seguridad
porJose Paricagua Siñani
 
PPTX
Grid computing
porcwylson24
 
PPTX
Sistemas-Distribuidos.pptx
porJosue Elias Ipanaque Avalo
 
PDF
Seguridad sistemas operativos
porYohany Acosta
 
PPTX
Computacion distribuida
porKarim2807
 
PPTX
Sistemas distribuidos
porAlbertVillegas1993
 
DOC
GRID COMPUTING
porpoool666
 
PPT
Computación Grid (PRP)
porvanesav
 
PPTX
Sistemas de base de datos Distribuidos.pptx
porRolitoChc1
 
PPTX
Grid computing
porMark_Morales
 
PPT
presentation GRID
porchabal
 
PPTX
Grid computing
porEmilio Táger
 
PDF
Grid Computing
porcesarcasado91
 
PPT
Grid computing
porOscarPedroza
 
DOCX
Computacion grid
porIsaac
 
PPSX
Seguridad en los sistemas operativos
porjetmu
 
DOCX
CU3CM60-ARREOLA R LESLY-COMPUTACION GRID
porlslyar
 
PDF
Seguridad informatica
porOmar Rebollar Coatzin
 
Arquitectura de Software Cloud y Grid orientados a SOA
porgeos_1989
 
Encriptacion Autenticacion y Autorizacion.ppt
porEfrain Meza Romero
 
Extensibilidad y Seguridad
porJose Paricagua Siñani
 
Grid computing
porcwylson24
 
Sistemas-Distribuidos.pptx
porJosue Elias Ipanaque Avalo
 
Seguridad sistemas operativos
porYohany Acosta
 
Computacion distribuida
porKarim2807
 
Sistemas distribuidos
porAlbertVillegas1993
 
GRID COMPUTING
porpoool666
 
Computación Grid (PRP)
porvanesav
 
Sistemas de base de datos Distribuidos.pptx
porRolitoChc1
 
Grid computing
porMark_Morales
 
presentation GRID
porchabal
 
Grid computing
porEmilio Táger
 
Grid Computing
porcesarcasado91
 
Grid computing
porOscarPedroza
 
Computacion grid
porIsaac
 
Seguridad en los sistemas operativos
porjetmu
 
CU3CM60-ARREOLA R LESLY-COMPUTACION GRID
porlslyar
 
Seguridad informatica
porOmar Rebollar Coatzin
 

Más de Jessica

PPT
Grid
porJessica
 
PPT
Grid
porJessica
 
PPT
Grid
porJessica
 
PPT
Grid1
porJessica
 
PPT
Grid1
porJessica
 
PPTX
Pres Web2.0
porJessica
 
PPTX
Pres Web2.0
porJessica
 
PPTX
Pres Web2.0
porJessica
 
Grid
porJessica
 
Grid
porJessica
 
Grid
porJessica
 
Grid1
porJessica
 
Grid1
porJessica
 
Pres Web2.0
porJessica
 
Pres Web2.0
porJessica
 
Pres Web2.0
porJessica
 

Grid

  • 1.
    Introducción al Grid Vanessa Hamar Grupo Grid Universidad de Los Andes
  • 2.
    Contenido Ambientes GridRequerimientos de Seguridad Manejo de usuarios Estado actual de la seguridad Infraestructura de seguridad en Grid Policy Management Authority Conclusiones
  • 3.
  • 4.
    Introducción Los Gridscomputacionales han emergido con la finalidad de mejorar el rendimiento del sistema en su disponibilidad, escalabilidad, confiabilidad y seguridad mediante la integración de recursos heterogéneos compartidos .
  • 5.
    Idea La ideadel Grid es muy parecida a una red eléctrica: Cualquier hardware que tenga conexión a la red debe poder ser integrada al Grid. La conexión es provista en cualquier lugar. Altamente confiable (Todos los días a toda hora). Se comparten recursos (hardware, software, data, dispositivos de almacenamiento). Siempre existirá suficiente capacidad de calculo. Es transparente al usuario. Simple. Disponible en cualquier momento.
  • 6.
    ¿ Quées Grid? Un Grid Computacional es una forma de computación distribuida que comprende coordinar y compartir recursos, aplicaciones, datos, almacenamiento o recursos de red entre organizaciones dinámicas y geográficamente distribuidas.
  • 7.
    ¿ Por quéhoy? Disponibilidad y confiabilidad en el ancho de banda, además, existe una red global, Internet. El almacenamiento de data se dobla cada 12 meses. El crecimiento dramático de información en línea (1 petabyte = 1000 terabyte = 1,000,000 gigabyte) 2000 ~0.5 petabyte 2005 ~10 petabytes 2010 ~100 petabytes 2015 ~1000 petabytes?
  • 8.
    Ventajas Aumentar lacapacidad de procesamiento. Aprovechar los recursos de la organización de manera más eficiente Disminuye el tiempo de procesamiento. Almacenar gran cantidad de datos y compartirlos. Es una forma económica de incrementar los recursos en la organización. Procesadores Tiempo N1+N2 N3+N4 N7+N8 N(n-1)+Nn N5+N6 R1+N3 R2+N4 R(n-1)+Nn R1+R2+…+RN
  • 9.
    Aplicaciones Cualquier cienciacuyas necesidades comprendan: Lograr una alta resolución en las imágenes. Capturar y guarda información. Simular para entender mejor la data. Procesar data en tiempo real. Hacer que esta data este disponible en cualquier parte del mundo. Con el Grid las colaboraciones son globales y la data es compartida Simular, ya que es una herramienta altamente aceptada entre los científicos. e-Science
  • 10.
    ¿ Que debeproveer? Autentificación Políticas de Autorización Descubrimiento de recursos Ubicación de recursos Acceso a data remota Alta velocidad de transferencia de data Manejo de Recursos Manejo de Fallas Monitoreo Garantizar el rendimiento Detección de intrusos Manejo de cuentas y pagos. Adaptación, etc.
  • 11.
    Conceptos relacionados Middleware en términos computacionales es utilizado para describir un agente que actúa como un intermediario, o como un miembro de un grupo de intermediarios, entre diferentes componentes en un proceso transaccional.
  • 12.
    Conceptos relacionados EntidadUn usuario, un programa o una maquina. Credenciales Alguna data que provea una prueba de identidad. Autentificación Verifica la identidad de la entidad. Autorización Mapea una entidad con algún conjunto de privilegios. Confidencialidad Encripta el mensaje de tal manera que solo el receptor pueda entenderlo. Integridad Asegura que el mensaje no haya sido alterado en la transmisión. No-repudiación Imposibilidad de negar la autenticidad de una firma digital
  • 13.
    Componentes Data Patronesde acceso “ Organizaciones Virtuales” Sitios Recursos Heterogéneos Patrones de acceso Políticas locales Membership Grid Poblaciones grandes y dinámicas Diferentes cuentas en diferentes sitios Data personal y confidencial Privilegios heterogéneos (roles) Single Sign-On Usuarios
  • 14.
    Envío de trabajosReplica Catalogue UI JDL Logging & Book-keeping Resource Broker Job Submission Service Storage Element Compute Element Information Service Job Status DataSets info Author. &Authen. Job Submit Event Job Query Job Status Input “sandbox” Input “sandbox” + Broker Info Globus RSL Output “sandbox” Output “sandbox” Job Status Publish grid-proxy-init Expanded JDL SE & CE info
  • 15.
  • 16.
    Los riesgos Recibirataques de otros sitios Un gran conjunto de granjas de maquinas distribuidas Distribución de data de manera inapropiada y acceso a información sensitiva. Capacidades de almacenamiento masivas distribuidas geográficamente Explotación de huecos de seguridad. Ambientes dinámicos, heterogéneos y complejos. Daños causados por virus, gusanos, etc.
  • 17.
    Requerimientos de seguridadSe requiere una arquitectura de seguridad que permita de manera dinámica, escalable la protección de los recursos, los datos almacenados y las salidas de los trabajos enviados por los usuarios.
  • 18.
    Requerimientos de seguridadIntegración con sistemas y tecnologías existentes. No se puede utilizar una única manera de seguridad dentro del Grid. Las infraestructuras de seguridad existentes no pueden ser reemplazadas.
  • 19.
    Requerimientos de laseguridad en Grid Autentificación Pueden existir múltiples mecanismos de autentificación. Delegación Las políticas de delegación deben especificarse. Single sign-on Se le debe permitir a un usuario el acceso continuo y correcto por un periodo de tiempo razonable utilizando una única autentificación.
  • 20.
    Requerimientos de laseguridad en Grid Renovación de credenciales Un trabajo iniciado por un usuario puede tomar más tiempo que el tiempo provisto por la credencial del usuario. En tal caso, el usuario necesita ser notificado con anterioridad de la expiración de las credenciales, o renovarla automáticamente. Autorización Los recursos deben ser utilizados bajo ciertas políticas de autorización. Un proveedor de servicios puede especificar sus propias políticas de autorización.
  • 21.
    Requerimientos de laseguridad en Grid Confidencialidad La confidencialidad de los mecanismos de comunicación de los mensajes o documentos son soportados. Integridad de los mensajes Se debe asegurar que cambios no autorizados de los mensajes y los documentos deben ser detectados. Privacidad Tanto quien requiere el servicio como el que lo provee deben cumplir las políticas de privacidad. Otros requerimientos Login seguro, intercambio de políticas, …
  • 22.
    Requerimientos de seguridadDe esto se obtiene que se debe hacer un especial énfasis en: Seguridad en el manejo de Usuarios Seguridad en el manejo de datos
  • 23.
    Manejo de usuariosen ambientes Grid
  • 24.
    Organizaciones Virtuales (VOs)La manera en que se coordinan y comparten estos recursos es usando Organizaciones Virtuales de una manera dinámica, escalable y distribuida. La meta es crear organizaciones virtuales entre una o más organizaciones físicas (o dominios administrativos). Las organizaciones virtuales requieren soluciones comunes para el manejo de recursos, para manejar y acceder a la data, a las aplicaciones y a los servicios de información.
  • 25.
    Estructura de unaVO Una VO puede tener una estructura jerárquica compleja con grupos y subgrupos. Esta estructura es necesaria para dividir a los usuarios de acuerdo a sus tareas y a las instituciones a las cuales pertenecen. Estos grupos pueden ser vistos de manera independiente.
  • 26.
    VOs DinámicasLos usuarios pueden pertenecer a varias VOs, al igual que los proveedores de recursos pueden proveer una parte de sus recursos a varias VOs.
  • 27.
  • 28.
    VOs Dinámicas UnaVO puede ser creada para satisfacer algún requerimiento y eliminada después que este requerimiento es alcanzado. Los usuarios se pueden unir a las VOs o dejarlas. Los proveedores de recursos pueden unirse o dejar las VOs. Los proveedores de recursos pueden cambiar dinámicamente las políticas de acceso a sus recursos. Los administradores de las VOs pueden manejar a los usuarios de manera dinámica.
  • 29.
    VOs Dinámicas Interoperabilidadcon diferentes ambientes La seguridad de los servicios de diversos dominios pueden interactuar. A nivel de protocolo se intercambian mensajes. A nivel de políticas cada entidad puede especificar su política. A nivel de identidad, un usuario puede ser identificado de un dominio a otro.
  • 30.
    Estado actual dela seguridad en ambientes Grid
  • 31.
    Autentificación Una únicaautentificación (“pasaporte”) Firmado por una Autoridad de Certificación en la que todos confían. Reconocido por varios proveedores de recursos, usuarios y VOs. Satisface los requerimientos de persistencia. Por sí mismo no garantiza el acceso a los recursos, pero provee un único puente entre un identificador y el sujeto.
  • 32.
    Autentificación Usuario Autoridad de Certificación Public key Private key certificado CA Recursos (sitio)
  • 33.
    Autentificación y delegaciónEl uso de Certificados X.509 La autentificación utilizando un único nombre provisto por un certificado bajo autoridades de certificación compartidas. Delegación y single sign-on a través del uso de certificados proxies.
  • 34.
    Autentificación y delegaciónDelegación de certificados proxy Generación remota de proxies de usuarios Generación de una nueva clave privada y certificado utilizando la clave original. Los passwords o la clave privada no son enviados a través de la red.
  • 35.
    Autentificación y delegaciónAutentificación del Username y Password soportado en GT4 El estándar WS-Security es opuesto al de las credenciales X.509. Solo provee autentificación y no características avanzadas como delegación, confidencialidad, integridad, etc.
  • 36.
    Autorización Autorización porVO (“visa”) Concede acceso a una persona/servicio a través de una VO. Se basa en el nombre del “pasaporte” Reconocido por los propietarios de los recursos Los proveedores pueden obtener listas de usuarios autorizados por VO. Los usuarios necesitan delegar sus derechos a proxies en otros sistemas. Los proveedores de recursos necesitan una autorización para que los proxies de los usuarios puedan ser enviados a sus sistemas. La delegación es el proceso de transferir derechos de los usuarios a tareas o proxies. Cuando se delegan muchos derechos, el abuso de los derechos puede hacerse posible. Cuando se restringen mucho los derechos que pueden ser delegados los proxies no pueden ser ejecutados completamente.
  • 37.
    Autorización Entonces, esnecesario un servicio de autorización en el cual los usuarios deleguen derechos restringidos a los proxies y los proveedores de recursos puedan chequear los usos validos de los derechos delegados.
  • 38.
    Autorización Pull ModelConcede los derechos del usuario solo en condiciones especificas. Delegación de los derechos que especifica el usuario. Maneja los derechos entre los usuarios y los proveedores de recursos Ejemplo: Akenti
  • 39.
    Autorización Push ModelConcede los derechos de los usuarios de acuerdo a sus roles. Administra los derechos de manera centralizada. Ejemplo: CAS, PERMIS, VOMS
  • 40.
    Autorización Community AuthorizationService (CAS) Permite políticas de autorización de grano fino. Los proveedores de recursos pueden generar políticas para dominios externos. CAS permite crear políticas para los usuarios locales. Los usuarios que realizan alguna petición obtienen las capacidades de sus CAS locales.
  • 41.
    Autorización Virtual OrganizationMembership Service ( VOMS) Provee información sobre el usuario y sus relaciones con las diferentes VOs Grupos, roles (administrador, estudiante, etc), capacidades, etc. Caracteristicas Unico login: voms-proxy-init solo al comienzo de la sesión Tiempo de expiración: la información de la autorización es valida solo por un periodo de tiempo definido. Compatibilidad: La información relacionada a la VO y al certificado del proxy del usuario. Múltiples VOs: El usuario puede identificarse a si mismo en múltiples VOs. Seguridad: Todas las comunicaciones cliente servidor son seguras y autentificadas.
  • 42.
    Autorización Local CentreAuthorization Service (LCAS) Chequea si el usuario esta autorizado. Si esta en el grid-mapfile Chequea si el usuario tiene tiempo suficiente en el proxy para aceptar los trabajos. Local Credential Mapping Service (LCMAPS) Mapea las credenciales del grid a credenciales locales. (ejemplo: UNIX uid/gid, AFS tokens, etc.) Utiliza el gridmapfile basado solo en el subject del certificado. Mapea los grupos y roles de la VOMS
  • 43.
    Autorización Problemas AkentiLas condiciones y los derechos se escriben de manera manual. Los manejos de los derechos son hechos por los proveedores de recursos y los usuarios. CAS Delega todos los derechos de los roles de los usuarios. No delega derechos restringidos
  • 44.
  • 45.
    Grid Security Infraestructure(GSI) Los servicios fundamentales de seguridad son los provistos por el Globus Toolkit Basado en las tecnología estándar PKI Protocolo SSL para la autentificación y la protección de los mensajes. Una-vía, relaciones de confianza entre autoridades de certificación Certificados X.509 para comprobar la identidad de usuarios, servicios, máquinas. Identidad dentro del Grid Un usuario es mapeado a identidades locales utilizando el distinguished name del certificado del usuario.
  • 46.
    Grid Security Infraestructure(GSI) Certificados Proxy X.509 Permiten single sign-on Permite a los usuarios delegar sus identidades y derechos a los servicios.
  • 47.
    Grid Security Infraestructure(GSI) user service grid - map file authentication info user cert (long life ) proxy cert (short life ) CA CA CA crl update low frequency high frequency host cert (long life ) grid-proxy-init
  • 48.
    Shibboleth Shibboleth está basado en estándares, es un middleware que provee un Web Single Sign On dentro o entre diferentes organizaciones. Esto le permite a los sitios tomar decisiones para dar accesos individuales a recursos en línea de una preservando la privacidad.
  • 49.
  • 50.
    International Grid TrustFederation IGTF es el “glue” para los Grids. IGTF esta compuesto de 3 Policy Management Authority ( PMAs) por región, cada una soporta una zona separada en el mundo: EUGridPMA, TAGPMA y APGridPMA.
  • 51.
    International Grid TrustFederation TAGPMA APGridPMA
  • 52.
    International Grid TrustFederation Miembros The Americas Grid PMA (TAGPMA) Dartmouth College Texas High Energy Grid Fermi National Laboratory San Diego Supercomputing Center TeraGrid Open Science Grid DOEGrids CANARIE Texas High Energy Grid EELA Venezuela: ULA Chile: REUNA Mexico: UNAM Argentina: UNLP Brazil: UFF
  • 53.
  • 54.
    Conclusiones Una delas diferencias criticas entre la seguridad en el Grid y la seguridad en los sitios o las maquinas es la autonomía de los sitios. Existe la necesidad de poner de acuerdo a una gran cantidad de personas en sitios distribuidos para establecer las políticas.
  • 55.
    Conclusiones Las manerasde autentificar y autorizar a las entidades dentro del grid siguen evolucionando.
  • 56.
    Sitios en Internethttp:// www.grid.org http://www.globus.org https://gilda.ct.infn.it http://www.eu-eela.org http:// www.tagpma.org/ http://shibboleth.internet2.edu/ http:// www.gridsystems.com http:// www.cactuscode.org / http:// www.accessgrid.org http://www- fp.mcs.anl.gov /~foster/ http:// www.neesgrid.org /
  • 57.