, Grid Fórum, Budapest

Enabling Grids for E E-sciencE sciencE

Grid rendszerek biztonsági biztons ági kérdései Kő á i Kálmán, Kővári Kál á MTA KFKI RMKI 04.05.2007, Grid Fórum, Budapest

www eu egee org www.eu-egee.org EGEE-II INFSO-RI-031688

Abstract Enabling Grids for E-sciencE

• Ahogy az ipari és kereskedelmi szektorban egyre nő az EGEE felhasználók tábora, a különböző grid-rendszerek egyre tágabb területeket fednek le le, és az akadémiai szféra is elkezdett valódi, tudományos értékű adatokkal tesztelni és dolgozni a griden, a biztonsággal kapcsolatos igények hirtelen megugrottak az utóbbi években. • Ezen bemutató során egy általános grid rendszer biztonsági problémáit fogjuk tanulmányozni, nem csak a leggyakrabban emlegetett “Data Security” témakört f löl l felölelve, hanem h időt szakítva kít a “F “Felhasználó lh áló Azonosítás”, “Alkalmazás Megbízhatóság” és “Middleware Security” y témakörökre is. • Megpróbálom az elmélet mellett az EGEE-ben használt megvalósítást is vázolni. EGEE-II INFSO-RI-031688

EGEE Industry Day, Budapest, Hungary, 23 Feb 2007

2

A Grid, és a történelem Enabling Grids for E-sciencE

• Mindenki minden grides előadást azzal kezd, hogy definiálja a grid fogalmát... én se akarok lemaradni! :-) • Régen az emberek felfedezték az áramot áramot. Építettek is gyorsan erőműveket, és összekábelezték őket. A modernebb régiókban így egyre több ember jutott elektromos l kt á áramhoz. h • De aztán akadtak hatékonysági problémák, és jöttek újabb megoldások, ego dáso , amik a az a erőműveket e ő ű e et és a hálózatokat á ó ato at egymással is összekötötték, sokkal “globálisabb” rendszert létrehozva és lehetővé téve a terheléselosztást, és a nagyobb léptékű, megbízhatóbb szolgáltatást. A rendszer többé nem volt érzékeny a helyi zavarokra. Innentől fogva hívták ezt az angolok “Electricity Electricity Grid Grid”-nek -nek, innen ered a Grid név név. • Nekünk voltak számító klasztereink. Összedrótoztuk őket, globális ütemező és teherelosztó eljárásokat f jl fejlesztettünk t ttü k rájuk. áj k Majd M jd feltünt f ltü t a hasonlóság, h ló á és é elkeztük az egészet “Computing Grid”-nek hívni. EGEE-II INFSO-RI-031688


3

A Grid, és a történelem Enabling Grids for E-sciencE

• Grid rendszerek voltak már akkor is is, amikor még nem volt ilyen szép nevük. – P2P hálózatok – Internet (?)

• Vannak bizonyos gyakran emlegetett tulajdonságai: – – – – – –

Decentralizáltság Nyílt szabványok Skálázhatóság Üt Ütemező ő mechanizmusok h i k Ellenőrzött környezet Stb...

• És még órákat (sőt!) lehetne vitatkozni, csak egy biztos: a Grid Security-hez ennek semmi köze. :-)

EGEE-II INFSO-RI-031688


4

Approaches to Security: 1 Enabling Grids for E-sciencE

Kevésbé biztonságos ház


5


Paranoid hozzáállású ház


6


Realisztikus R li tik bi biztonsági t á i törekvés


7

Pár szó a 'Grid Security'-ről Enabling Grids for E-sciencE

• Az emberek mindig rengeteket beszélnek a security-ről. De... néha mégsem ugyanazt értik alatta. • Mindig valamilyen értelmű bizalomhoz, megbízhatósághoz kötődik. • Autentikáció/Autorizáció/Delegáció – Az alkalmazást futtató felhasználóknak nem szabad, hogy módjuk legyen abuzívan használni a rendelkezésükre álló erőforrásokat.

• Application&Middleware Security – A használt h ált grid-alkalmazásban id lk l á b bíznia bí i kell k ll a ffelhasználónak. lh áló k – A Middleware bugok potenciális veszélyforrások lehetnek.

• Data Security – A megfelelő hozzáférési jogosultágoknak szabályozottnak kell lenniük. – A transzfer-vonalak kódoltak kell, hogy legyenek. EGEE-II INFSO-RI-031688


8

Miért olyan fontos? Enabling Grids for E-sciencE

• Mindenki sejti, hogy milyen jellegű veszélyek jelenhetnek meg, de mégis, röviden: • Ami rendelkezésünkre áll: – Több, mint 30.000 CPU – >=10 GigaBit hálózati kapcsolat – 12 PetaByte tárterület

• Biztosítanunk KELL, hogy ezt nem használják rossz célra.



9

Enabling Grids for E-sciencE

Autentikáció, Autorizáció, Delegáció

• Autentikáció: a felhasználó az, akinek állítja magát – X.509 certificate-ekkel valósítják meg – Analóg a sszemélyi emél i iga igazolványokkal ol án okkal

• Autorizáció: a felhasználó jogosan hozzáférhet az erőforráshoz őf á h – Igen komplex infrastruktúra, mivel sok követelménynek kell megfelelnie – “Nálam van a személyim, fent vagyok a könyvtári taglistán, tehát kölcsönözhetek.”

• Delegáció: a felhasználó meghatalmaz egy folyamatot, hogy a nevében fusson – CGSI kiterjetszés az X.509 X 509-hez hez – “Megkérem a szomszédomat (akinek nincs személyije sem!), hogy kölcsönözzön ki egy könyvet a nevemben.”



10

Enabling Grids for E-sciencE

Autentikáció, Autorizáció, Autentikáció Delegáció

• Autentikáció: a felhasználó az, akinek állítja magát – X.509 certificate-ekkel – Asszimmetrikus kódolás – Analóg a személyi igazolvánnyal

Name Issuer Public Key Signature


John Doe 755 E. Woodlawn State of Urbana IL 61801 Illinois S l Seal

BD 08-06-65 Male 6’0” 200lbs GRN Eyes y

Security Overview

11

Autentikációt, Autorizáció, Autentikációt Delegáció • Kérdések, kockázatok: Enabling Grids for E-sciencE

• Melyik “Certificate Authority”-ket fogadom el? • H Hogy bi bizonyosodhatok dh t k meg, hogy h aki ki mutatja t tj a certificate-et az tényleg a gazdája. • Mi történik az elveszett, vagy kompromittált certificateekkel? • Hogy érhetem el, hogy ez ne történjen meg?


Security Overview

12

Autentikáció, Autorizáció, Autorizáció Delegáció Enabling Grids for E-sciencE

• Autorizáció: milyen jogköre van az autentikált felhasználónak? – Erőforrás-specifikus, Erőforrás specifikus nagyon heterogén – Minden site akar finom-irányítást – Szükséges a VO (Virtuális Szervezet) szintű konfiguráció


13


high frequency low frequency

CA

CA

user user cert (long life) registration

CA

crl update

host cert (long life)

service

VO-VOMS VO VOMS VO-VOMS

voms-proxy-init

VO-VOMS

proxy cert (short life) authz cert (short life)

VO-VOMS VO VOMS

Autentikáció és Autorizáció információk edg-java-security EGEE-II INFSO-RI-031688

LCAS LCMAPS

Autentikáció, Autorizáció, Delegáció Enabling Grids for E-sciencE

• Delegáció = egy távoli, másodszintű proxy tanusítvány létrehozása – – – –

Új kulcspár jön létre a szerveren A Proxy certificate-et a rendszer visszaküldi a nyilvános kulccsal A felhasználó aláírja a proxy-certet A szerver tárolja a proxyt.

• Lehetővé teszi, teszi hogy a folyamat a felhasználó nevében dolgozzon. – Figyelem: egy távoli folyamat “megszemélyesíti” a felhasználót



• Autorizációs és Delegációs kérdések • Over and underspecification, underspecification scalablity – Good-old grid-mapfile – LCAS, LCMAPS

• Short term “Proxies” – A short short-validity validity, non non-password-protected password protected certificate signed by the user's long term certificate – Tipically 12-24h

• Long jobs – Some jobs last more than 24h... – MyProxie Service, Proxy Renewal


Autentikáció, Autorizáció, Delegáció Enabling Grids for E-sciencE

• Visszaélési statisztikák: • Az EUGrid PMA működése során még nem kellett bizonyított kompromittáció miatt visszavonni certificateet • Nem jelentettek tanusítvány eltulajdonítást • Egyetlen eset van, ahol helytelen használat miatt felhasználói tévedésből autorizációs hiba lépett fel.


Application&Middleware Security Enabling Grids for E-sciencE

• A Grid Applikációk azon programok, programok amiket a VOk VOk, a felhasználók vagy a portálok futtatnak a Griden. – A software-struktúra tetejét jelentik – Általában Á komplex, feladat-centrikus szervezésűek

• A Grid Middleware az Applikációs pp réteg g alatt fekvő software. – fontos, hogy a felhasználó számára átlátszó réteg legyen – a végfelhasználó vagy az alkalmazás-fejlesztő nem kell kell, hogy értse az alulfekvő protokollokat – szolgáltatás- vagy adat-centrikus szervezés – egésszében nagy és komplex, komplex de egy egy-egy egy része egy-egy egy egy részfeladatot lát el, a többitől függetlenül

• A rendszer összetettsége miatt nagy a sebezhetősége. EGEE-II INFSO-RI-031688


18


• Miért fontos, hogy értsük az App&MW Security lényegét? • Az alkalmazás-fejlesztőknek bízniuk kell az alattuk nyugvó ó infrastruktúrában i f t ktú áb • As site te ad adminoknak o a b bízniuk u kell e as szolgáltató o gá tató programokban amiket a site gépein futtatnak • A felhasználóknak bízniuk kell a Grid Szolgáltatásokban Szolgáltatásokban, mert át kell, hogy adják nekik az értékes adatokat és a digitális tanusítványukat



19


• O.S. Sebezhetőségek: • Az induló projekt – a DataGrid – eredetileg OSfüggetlenre gg volt tervezve. • Kompatibilitási okok miatt le kellett tenni egy rendszer mellett a voksot: ez az SLC3 lett. • Későbbiekben Ké őbbi kb felmerült f l ült más á Linux Li ízekre í k is i az igény, i é eztt részben már teljesíti az EGEE MW. y • Az SLC3 elévült,, az SLC4-re átállás folyamatban • A MS-Windows támogatás még mindig alacsony (a szolgáltató és munkagépek tekintetében) • Az A SLC SLC-disztribúciókat di t ibú iók t a CERN tá támogatja tj é és ffejleszti, jl ti az RHEL-lel szoros kooperációban.



20


• Grid Middleware Sebezhetőségek • Két csoport felelős a különböző tipusú esetekért • OSCT – Operational Security Co-ordination Team – Üzemeltetési esetek – Közvetlen kapcsolat a site-adminisztrátorokkal

• GSVG – Grid Security Vulnerability Group – – – –

Middleware sebezhetőségek Érvényesség-ellenőrzés Felmérés Kapcsolatteremtés az érintett fejlesztőkkel

• (EMT – Engineering and Management Team) – Külső software-ekhez kapcsolódó döntések – Globális irányítás irányítás, az incidensek javításainak levezénylése EGEE-II INFSO-RI-031688


21


• Egy esettanulmány: – Az esetet e-mailen vagy CERN Savannah bugként jelentik – GSVG eldönti, eldönti hogy hog Grid Grid-issue iss e -e e vagy ag sem (és értesíti a bejelentőt, hogy fogadták-e a bejelentést) – A GSVG Risk Assessment Team felméri az esetet, figyelembe véve a:

Közvetlen és közvetett hatásokat Impact faktort Súl Súlyosságot á t Nyilvánosságot

– legalább 3 szakértő 2 munkanapon belül véleményezi az esetet, ez alapján l já ké készül ül ell a végleges é l ffelmérés l éé – az eset tipusától függően a megfelelő bizottságokat, és ha mód van rá, az érintett fejlesztőket értesítik – A bejelentő értesítést kap az eset további sorsáról – Ha a Target Date-ig nincs megoldás, bizonyos feltételek mellett a y g hozza az esetet GSVG nyilvánosságra EGEE-II INFSO-RI-031688


22


• GSVG Target Date: az a dátum, amíg az eset “ i “visszatartása” t tá ” k kevesebb bb kockázattal k ká tt l já jár, mint i ta nyilvánosságra hozása. Minden kockázat-enyhítő lépést a TD előtt kell megtenni. • GSVG Kockázati Kategóriák • • • •

Low, TD = 6 hónap Moderate, TD = 3 hónap High, TD = 3 hét Extremely Critical, TD = 2 nap (!!!), azonnali értesítés az EMT és az OSCT felé



23


• Statisztikák • Az EGEE 1 indulása óta kb kb. 200 esetet vettünk fel. fel • A legtöbb g operatív p eset vagy gy “feature request”, q , de jónéhány valódi esettel is találkoztunk. • 2006 Júniusa óta (az új GSVG működési rend létrejötte) 20 új esetet dolgoztunk fel, köztük néhány High, és egy Extremely Critical esettel.



24

Data Security Enabling Grids for E-sciencE

• Első feladat: A file-jaimat j A-ból B-be szeretném jjuttatni (nyilvános csatornán) anélkül, hogy “lefülelnének”. • Megoldás: kódolt szállító csatornák – Már vannak kész megoldások – SSLv3 teljesíti az igényeinket – A küldő é és ffogadó dó fél azonosítását ítá át is i llehetővé h tő é tteszii a kód kódoltlt csatorna biztosítása mellett. – Indulásnak elég volt.



25


• Második feladat: tárolni is akarom a file-jaimat B-ben, de úgy, hogy csak én tudjam olvasni őket. • Megoldás: Szimmetrikus/Asszimmetrikus kódolás feltöltéskor – Minden transzfer előtt kódolni kell – Meg kell őrizni a dekódoló kulcsot – Nem skálázik a rendszer, sok kulcs esetén könnyű elveszni, ha sérül a kulcs, hozzáférhetetlen lesz az adat – Ugyan gy el tudom küldeni a kulcsot másoknak, de ha elküldtem, már nem lehet visszavonni, vagy elérni, hogy “felejtsék el”.



26


• Harmadik feladat: szeretném kézben is tartani, hogy gy ki fér hozzá az adataimhoz • Megoldás: Kulcs Kulcs-központ központ – – – –

Központi szerver tárolja a kulcsokat a dekódoláshoz ACL alapú rendszer a jogosultságkezelésre Kö Könnyen kkezelhető lh tő HW hiba? Kompromittáció?



27


• Negyedik gy feladat: azt szeretném, ha az adataim extra biztonságban lennének, még hardware-hiba vagy hacker-támadás ellen is. • Megoldás: Hydra elosztott kulcs-központ – A kulcsok szét vannak bontva, és szétszórva – Nincs Ni ““single i l point i t off ffailure” il ” – Lehetőség az adat kiszolgáltatására anélkül, hogy a kulcs a felhasználóhoz kerülne (de egyelőre túl nagy számítókapacitást igényel)



28


• Konklúziók • A végleges megoldás még várat magára • Minden felhasználó maga felelős az adatért amivel dolgozik g • A Middleware próbálja követni a titkos kulcsokat, és takarítani, ha kell • Megfelelően óvatos eljárással az adatot meg lehet őrizni bizalmasnak.



29

Grid Security Enabling Grids for E-sciencE

• Az EGEE Grid jelen pillanatban elég biztonságos, de folyamatos fejlesztést igényel (“Security ( Security is a process, not a product”) • Az utóbbi időben jelentősen nőtt a ráfordítás a security securityközeli feladatokra • A BioMed igényeit folyamatosan figyelik és követik • Eddig még nem volt komoly incidens.



30

Köszönetnyilvánítás Enabling Grids for E-sciencE

• A prezentációban tá iób felhasználtam f lh ált részeket é k t mások á k munkáiból, köszönet nekik: • • • • •

Guy Warner Carl Kesselman Ri h d Si Richard Sinott tt John Watt Ákos Frohner


EGEE Grid Fórum, Budapest, Hungary, 04. May 2007

31

Itt a vége... Enabling Grids for E-sciencE

Kérdések?



32

, Grid Fórum, Budapest

Recommend Documents