Plataforma para efetivação de múltiplas políticas de controle de acesso em ambientes de grade...

Plataforma para efetivação de múltiplas políticas de controle de acesso em ambientes de grade computacional

Leonardo Mattes, Leonardo C. Militelli, João Antonio Zuffo

Laboratório de Sistemas IntegráveisLSI-USP

Introdução Trabalhos relacionados Arquitetura GridMultiPolicy Implementando Políticas Teste operacional Conclusões

Sumário

Grade computacionais:

Compartilhamento de recursos e serviços de forma integrada e dinâmica entre múltiplos domínios lógicos e tecnológicos.

Um típico cenário de grade computacional envolve VO (Organizações Virtuais).

Introdução

Organizações Virtuais domínios sobre domínios

Introdução

Ao oferecer maior integração e flexibilidade entre domínios heterogêneos, grades computacionais aumentam também a possibilidade de riscos e vulnerabilidade.

Desafio de segurança para grades computacionais é o oferecimento de um serviço integrado aos diferentes modelos de políticas e mecanismos existentes nos sítios de uma VO;

Introdução

Introdução

Desafios de grade computacional Permitir a integração de políticas de domínios

autônomos; Oferecer serviços de segurança de forma integrada

com os mecanismos pré-existentes; Oferecer suporte ao princípio de privilégio mínimo; Manter compatibilidade com as aplicações legadas.

Trabalhos Relacionados

infra-estruturas distribuídas e flexíveis de controle de acesso para controlar serviços de rede (CAS, PERMIS e Shibboleth ) ;

Instanciação remota de tarefas: Gerenciamento e mapeamento de contas remotas; Máquinas virtuais

Os trabalhos produzidos seguem duas orientações distintas:

GridMultiPolicy

Modelo de controle de acesso flexível, que oferece:

Suporte e gerenciamento a múltiplos formatos de linguagens de políticas;

Abrangência necessária para para exercer controle, tanto no oferecimento de serviços, como no ambiente de execução das aplicações;

Estabelecimento dinâmico de múltiplos mecanismos de segurança;

Políticas de segurança especificas para cada contexto de execução;

Criação dinâmica de pontos de efetivação de políticas.

GridMultiPolicy- modelo de autorização

Recurso alvo

PDP

Aplicação

PEP

Poíticas

• Modelo de Autorização da especificacão AAA• PEP (Policy Enforcement Point -Ponto de Efetivação de

Política)• PDP (Policy Decision Point- Ponto de Decisão de Política)

GridMultiPolicy – Arquitetura

JMPE (Java Multi Policy Environment) MPMS (Multi Policy Manager Service)

MPMS

Sítio da VO

Recursos do sistema

Aplicação

JMPE PDPsPEPs Políticas

Uso integrado de duas entidades:

GridMultiPolicy - MPMS

Módulo principal (XACML) Módulos secundários (formato próprio)

Política Principal

Módulo 1

...Escopo

Políticas

Módulo 2

Escopo

Políticas

Módulo n

Escopo

Políticas

Módulo Principal

GridMultiPolicy - MPMS

Escopo (XACML), define a atuação de uma política secundária em relação:

Ações; Regras para definir o contexto de atuação de

uma políticas (sítios, recursos, perfis); PDP correlacionado, mecanismo capaz de

efetivar as políticas correlacionada; Informações sobre os PEPs necessários

GridMultiPolicy - MPMS

Interface de comunicação PDP principal e secundário

Parâmetros para gerar políticas secundárias especificas a contexto de execução: Descrição da tarefa ou serviço por meio de um arquivo

no formato RSL; Dados do usuário objeto “VOuser”

public interface PolicyInterface public byte[] createPolicy(RSL Description, VOUser user);

GridMultiPolicy - JMPE

Tem como objetivo a criação de um ambiente de execução customizado para fazer cumprir as múltiplas políticas estabelecidas;

Estabelecimento dinâmico dos PDPs, PEPs e políticas necessários.

GridMultiPolicy – JMPE

JMPE

Descritor detarefas (RSL)

JMPE

Lista de PDPs

PDP 1 PDP 2 PDP n...

inicialização

Ambienteconfigurado

Processo de estabelecimento dos PDPs

GridMultiPolicy - JMPE

Estabelecimento dos PEPs

Granularidade básica fornecida pelo gerente de segurança Java.

Granularidade estendida modificações em tempo de execução de bibliotecas para a inserção dos PEPs.

GridMultiPolicy - JMPE

Processo de criação dinâmica dos PEPs: Com base no escopos dos módulos secundários se estabelece a

lista de instruções para inserção de PEP; Em tempo de execução as classes são carregadas e modificadas:

JVM

AplicaçãoJMPECLassLoader

Arquivosbinários

Java

Lista deinstruções

3

12

4

5

GridMultiPolicy - JMPE

GridMultiPolicy - JMPE

Efetivação de Políticas de segurança:

Analisa a ação e os parâmetros de utilização para verificar quais os PDPs possuem escopos de atuação compatíveis;

coleta as decisões dos PDPs para a dada ação; em caso de conflito das decisões, aplica o

algoritmo de resolução de conflito; autoriza ou nega a ação; algoritmos de resolução de conflitos do XACML:

“deny-overrides”, “allow-overrides”, “first-applicable” e “only-one-applicable”.

GridMultiPolicy

Integração com GT4

Usuário daVO

MPMS

1 -

re

ceb

e a

cre

de

nci

al

WS-GRAM

2- submissão de tarefaJMPE

5 tarefa acabada

Sítio

Implementando políticas

LeastPrivilege, controle de acesso a: Arquivos locais; conexões TCP/IP; Web Services.

<Action> File_write /tmp/* write</Action><Action>Socket/lsi.usp.br:7</Action><Action>WS/lsi.usp.br/axis:</Action>

Implementando políticas

Instrução para PEP de web service

<PEP action="webServiceInvoke" grain="webService" classtarget="org.apache.axis.client.Call" > Method="org.apache.axis.client.Call" <Method name="invoke">

<property name="host" value="transport.url"/><property name="service" value="operationName.getNamespaceURI()"/><property name="port" value="perationName.getLocalPart()"/>

</Method></PEP>

Implementando políticas

IDS_Control promove a integração com sistema IDS local

O PDP “br.usp.lsi.IDSControl“ armazena dados sobre acessos;

GER (Grid Event Receiver) recebe informações de ataque da central de gerenciamento de IDS e compara com os acessos realizados.

Implementando políticas

InternalNetwork

IDS Sensor #1

IDS Sensor #2

IDS ManagementCentral

Internet

Grid Host

GER

JMPE

IDS_Control PDE

PDE #2

...

PDE #2

Teste operacional

Uso do LeastPrivilege e IDS_Control; Realiza duas séries de ações e simula um ataque a

um servidor web; Cadastrado no IDS o acesso em

http://lsi.usp.br/axis como ataque.

Teste operacional

Resultado primeira série de ações: Obteve acesso aos recursos previstos pelas

políticas LeastPrivilege.

******************** first round !***********Write in /tmp/GridClientefail to write /bin/malicioso Connected to 192.168.0.77:7 !fail to Connect to 192.168.0.22:1024 .fail WS “admin” in http://lsi.usp.br/testWS “ test” in http://lsi.usp.br/axis

Teste operacional

Resultado segunda série de ações: Depois de detectado o ataque, todas as ações

são bloqueadas.

*************** second round !*********fail to write /tmp/GridCliente2fail to write /bin/malicioso2fail to conect to 192.168.0.77:7fail to conect to 192.168.0.22:1024 .fail WS “admin” in http://lsi.usp.br/axisfail to WS “test” in http://lsi.usp.br/axisEnd of the test!

Conclusões

Modelo de autorização flexível para a próxima geração de plataformas de grade computacional, com as seguintes características: Permitir que administradores e usuários possam

estabelecer suas próprias políticas; Oferece serviço de distribuição de políticas de

segurança de múltiplos formatos; Utiliza um ambiente de execução flexível, que

permite o estabelecimento de múltiplos mecanismos;

Implementa de forma dinâmica e em tempo de execução os pontos de efetivação de políticas necessários;

Perguntas?

Laboratório de Sistemas IntegráveisLSI-USP