Transcript سطح Grid
طبقه بندی موضوع های امنیت Grid
مسلم کاویانی
محمد رضا کمانکش
امیر رضا فیاض زاده
1
طبقه بندی امنیت
امنیت اطالعات
مجوز دستیابی
امنیت خدمات
موضوعات مربوط به امنیت شبکه
موضوع امنیت میزبان
مدیریت گواهی نامه ها
مدیریت صحیح
مانیتورینگ ( روش های کنترل )
منابع و ماخذ
2
موضوعات مربوط معماری:
امنیت اطالعات ،امنیت عمومی،شناسایی،وکالت () SSO
مجوز دستیابی ،سطح سیستم عامل مجازی ،سطح منابع
خدمات QOS ، DOS ،
موضوعات مربوط به زیر بنا:
میزبان،حفاظت از داده ها،گرسنگی کار
شبکه،کنترل دستیابی،مسیر یابی،حسگر های، Gridچندگانگی سرعت باال
موضوعات مربوط به مدیریت:
الف) مدیریت گواهی نامه ها(صالحیت ها ) ،مخازن،اشتراک گذاری
ب) مدیریت صحیح،ایجاد صحیح،انتقال صحیح،مدیریت صحیح
ج) سیستم ،سطح کالستر ،سطح Grid
3
امنیت اطالعات:
4
موضوعات امنیتی مرتبط ،شامل موضوعاتی می شود که در طی ارتباط بین دو ( )2موجود
اتفاق می افتد .این شامل موضوعات محرمانه و یکپارچگی می شود.
محرمانه بودن ،یعنی اینکه اطالعاتی که بوسیله استفاده کنندگان رد و بدل می شوند باید
فقط در دسترس گیرنده های مجاز باشند و یکپارچگی یعنی تمامی داده های دریافت شده
باید فقط توسط ارسال کنندگان ،ارسال و اصالح شود.
موضوعات حساس ی در تمام حوزه ای محاسبات و ارتباطات وجود دارند ،در Grid
Computingفوق العاده حساس شده و دلیل آن نا متجانس بودن و طبیعت توزیع
شدن موجودیت های درگیر در آنجاست.
در حوزه ی ، Grid Computingمحققان و پژوهشگران با همدیگر ( GGFهمایش
عمومی ) Gridرا که اکنون OGFمی خوانند ایجاد کرده اند .آنها همچنین یک استاندارد
باز بنام OGSAرا انتشار کرده اند .یک الیه از OGSAالیه ی GSIاست که بیشتر
اطالعات امنیتی Gridرا پوشش می دهد ، GT .نیز یک منبع اجرایی باز از OGSA
است.
5
مجوز دستیابی:
یکی دیگر از موضوعات امنیتی ،مجوز دستیابی است .سیستم Gridهمچنین
منابع مورد نیاز گواهی و سیستم شناسایی گواهی را مانند هر سیستم دیگر به
اشتراک گذاشته است .یعنی این برای سیستم هایی که منابع را بین دپارتمان های
مختلف یا سازمان ها به اشتراک میگذارندو نمونه های مصرف منابع به صورت
گسترده بسیار مهم است .هر قسمت می تواند بطور داخلی گواهی کاربری دستیابی به
منبع را داشته باشد .سیستم های شناسایی می تواند به دو( )2دسته تقسیم شوند:
سیستم های سطح VO
سیستم های سطح منبع
سازمان مجازی یا سیستم های سطح Voیک سیستم مرکزی شناسایی دارند که
صالحیت کاربران را برای دستیابی به منابع فراهم می کند.
سیستم های شناسایی سطح منبع ،از طرف دیگر به کاربران با استفاده از نمایش
صالحیت ،اجازه دستیابی به منبع را می دهد.
امنیت خدمات:
6
یکی از مهم ترین تهدید های امنیت موجود در زیر بنا ها ،خدمات اختالل مغرضانه
توسط دشمن هاست .بیشتر این مثال ها در فضای اینترنت و جایی که سرور ها و
شبکه در پایین تر و دارای یک مقدار زیاد از ترافیک شبکه و کاربران هستند ،بکار می
روند.
موضوع امنیت سطح خدمات Gridمی تواند به اجزا ء کوچکتر و دو ( )2نوع اصلی
تقسیم شود:
موضوع نقض QOS
موضوع مربوط به DOS
موضوع اول راجع به نقض عمدی Qosاست که توسط دشمنان با متراکم کردن و
به تاخیر انداختن منابع انجام می گیرد ولی دومی خطرناک تر است و در جایی که
دسترس ی به خدمات مطمئن مطرح است بکار برده می شود.
موضوعات مربوط به امنیت شبکه:
در بافت ، Grid Computingموضوعات مربوط به امنیت شبکه ،وظیفه
اصلی را برای افزایش سرعت اجرای برنامه های کاربردی بر عهده دارند .کنترل
دستیابی و انزوا ( ایزوله کردن ) از نیازمندی های اساس ی برای کنترل ترافیک موجود
در شبکه های تحت Gridمی باشند .در این حوزه ،مجموعه ای از تکنولوژی
های Gridبا Vpnو تکنولوژی های دیواره آتش ( ) Fwمهم بنظر می
رسد.حمالت در مسیر یابی شامل حمالت اتصال و حمالت مسیر یاب ممکن است
باعث ایجاد خرابی اساس ی شوند .چند پراکنی ( ایستگاه های شبکه ) یک لغت مهم
در مورد پخش اطالعات و احیانا برای شبکه های Gridدر آینده مهم بنظر برسد.
اثبات عضو ،مدیریت کلید و اثبات منبع از موضوعات امنیتی مهم در چندپراکنی به
شمار می روند .از دیگر موضوعات مورد عالقه در شبکه های ،Gridمجموعه ای
از سنسور ها ی شبکه ای با تکنولوژی Gridاست.
7
- موضوع امنیت میزبان
8
موضوعات امنیتی سطح میزبان ،موضوعاتی هستند که یک میزبان را ،راجع به ملحق کردن خودش به سیستم ، Grid
نگران می سازد .زیر موضوعات اصلی این بخش عبارتند از :محافظت داده ها و گرسنگی کار
محافظت ممکن است حفاظت از داده ها ی میزبان در برابر یک ویروس یا کرم کامپیوتری باشد.
راه حلهای مربوط به موضوعات امنیتی میزبان
حفاظت از داده ها
راه حلها در این فضا از ایزوله کردن ( انزوا) استفاده می کنند که داده ها را به Gridیا کاربرد خاص ی محدود کنن.
بعض ی از این راه حلها عبارتند از :گودال ( جعبه ) سطح کاربردی ،مجازی سازی و گودال ( جعبه )
راه حل اول ،را ه حلی است جهت اثبات کاربرد رمز ( ) PCCجایی که از مولد های رمز ،بنا به دالیل امنیتی درخواست
تولید رمز می شود که آنها را در رمز تدوین شده ،بکار برند.
راه حل دوم ،ساخت ماشین های مجازی ( ) VMروی ماشین های فیزیکی است ،که نتیجه دارای انزوای قوی است.
راه حل سوم ،که آن را به دام انداختن ( گودال ) گویند ،با استفاده از این گودال از دستیابی به داده ها و حافظه مبنی بر
خط مش ی مطمئن جلوگیری می کنند.
گرسنگی کار
راه حل هایی که در گرسنگی کار مورد بررس ی قرار می دهند ،بصورت ذخیره سازی پیشرفته و فنون کاهش تقدم طبقه بندی
می شوند .زیر سیستم ذخیره ی پیشرفته ،یک Userیک مجموعه از منابع را در یک زمان خاص برای اجرای یکسری کارها
در خواست می کند .منابع بر اساس نوع دسترس ی ،امنیت Qos ،و ..ذخیره می شوند.
تکنیک کاهش تقدم ،حق تقدم کارهای اجرایی را کاهش می دهد که امکان گرسنگی کاهش یابد.
مدیریت گواهی نامه ها :
مدیریت صالحیت ها در بافت Gridبسیار مهم اند ،بطوریکه سیستم های مختلف چند
گانه وجود دارند که نیاز به گواهی های مختلف برای دستیابی به آنهاست.سیستم های
مدیریت صالحیت ،کار ذخیره سازی و مدیریت گواهی ها را برای یکسری از سیستم های
متنوع دارند و کاربران می توانند به آنها طبق احتیاجشان دستیابی داشته باشند .در سیستم
های مدیریت Gridبصورت معمولی باید مکانیزمی طراحی شود که شامل گواهی های
داخلی نیز باشد که به این " نیاز آغاز فراخوانی " گویند .بطور مشابه ،امنیت و منبع ذخیره
سازی گواهی ها به یک اندازه مهم اند .عالوه بر این ،سیستم های مدیریت گواهی ها باید
توانایی دستیابی و باز سازی گواهی ها ،مبنی بر نیاز کاربران را داشته باشند.مقداری از سایر
احتیاجات مهم برای سیستم Gridعبارتند از :
ترجمه ،وکالت دادن ،کنترل گواهی ها
بر اساس الزامات فوق ،سیستم های مدیریت گواهی ها اساسا دو ( )2نوع اند:
سیستم های ذخیره گواهی ها ،که کار ذخیره سازی گواهی ها را انجام می دهند.
سیستم های به اشتراک گذاری گواهی ها ،که گواهی ها را در سیستم های چند گانه یا حوزه ها به
اشتراک می گذارند.
9
10
مدیریت صحیح :
یکی دیگر از موضوعات مهم مدیریت که برای آدرس دهی نیازمند است ،اصول مدیریت
صحیح می باشد .مدیریت صحیح ،انحصار به دیجیتال یا سیستم های محاسباتی نیست ،
بلکه هر روزه و در هر گره زندگی استفاده می شود.
اعتماد یک عامل چند جهته است که به اینکه یک میزبان از مولفه هایی شبیه اعتبار یک
موجودیت ،خط مش ی ها و عقاید راجع به یک موجودیت استفاده کننده ،بستگی دارد.
پس ،بایدمکانیزمی برای درک و مدیریت سطوح مورد اعتمادسیستم ها و اتصاالت جدید
Nodeهای Gridموجود باشد.
راه های مدیریت صحیح :
مبنی بر اعتبار :این نوع سیستم ها بر متریک های مطمئن ( فواصل زمانی ) منتج شده از
اعتبار محلی و اعتبار جهانی یک سیستم یا یک کوجودیت وابسته هستند.
مبنی بر خط مش ی :در سیستم های مبنی بر خط مش ی ،موجودیت های مختلف یا
مولفه های تشکیل دهنده ی سیستم ،معاوضه و مدیریت گواهی ها برای تشکیل
ارتباط مطمئن ،مبنی بر خط مش ی مطمئن ،انجام می دهند ؛ نخستین هدف چنین
سیستم هایی ،فعال سازی کنترل دستیابی بوسیله ی تایید صالحیت ها و محدودکردن
دستیابی به خط مش ی ها ،مبنی بر روابط و خط مش ی های مطمئن است.
11
مانیتورینگ ( روش های کنترل ):
یکی از موضوعات قاطع مدیریت است.
کنترل منابع در سناریو های اصلی Gridبه دو ( )2دلیل ضروری است :
اوال :سازمان های مختلف یا واحد ها می توانند مبنی بر استفاده ای که دارند ،بار
شوند.
دوما :منابع مربوط به اطالعات می توانند برای نظارت یا اهداف مطلوب وارد شوند.
مراحل مختلف روش های کنترل عبارتند از :
جمع آوری داده ها
پردازش داده ها
انتقال داده ها
ذخیره سازی و نمایش داده ها
12
جمع آوری داده ها شامل ،جمع آوری داده ها در میان سنسور ها ی مختلف
قرار داده شده ،در نقاط مختلف است .جمع آوری داده ها می تواند ایستا
باشد ،مانند :توپولوژی شبکه ،پیکر بندی ماشینی و یا پویا باشد مانند Cpu :
پردازش داده ها شامل ،پردازش و فیلتر کردن داده ها مبنی بر خط مش ی های
مختلف است.
انتقال داده ها شامل ،انتقال داده های محسوس و پردازش شده به موجودیت
های مختلف است که داده ها باید دارای فرصتی باشند که در سایر بخش ها نیز
قابل فهم باشند.
ذخیره سازی داده ها ،ممکن است داده های پردازش شده یا جمع آوری شده ،
ذخیره شوند تا در آینده مورد پردازش قرار گیرند.
نمایش داده هاست که باید به شکلی قابل فهم برای تمام بخش های تحت
پوشش Gridباشد.
سیستم های مختلف کنترل ( مانیتورینگ )
مبنی بر سیستم (بر اساس سیستم )
مبنی بر کالستر (بر اساس کالستر)
مبنی بر ( Gridبر اساس ) Grid
سطح سیستم :شامل جمع آوری و انتقال اطالعات به سیستم های مستقل یا شبکه ها می باشد .جهت
13
کنترل شبکه ،پروتکل SNMPیک مثال برای مدیریت و کنترل ابزار های شبکه است.
سطح کالستر :سیستم های کنترلی سطح کالستر معموال بطور همگن در طبیعت وجود دارند و نیاز به
استقرار در عرض کالستر یا یک مجموعه از کالستر ها برای کنترل دارند.
سطح : Gridسیستم کنترلی سطح Gridنسبت به سایر سیستم های کنترلی سطح Gridانعطاف
پذیر تر و متفاوت است.
تعداد زیادی از سیستم های کنترلی سطح ،Gridاستاندارد ها و رابط هایی برای ایجاد واسط ،باز یابی
،جستجو و نمایش اطالعات در فرصت های استاندارد فراهم می کنند.
مثال هایی از سیستم های کنترلی سطح Gridعبارتند از :
)MDS (Monitoring and Discovery System
)MAGI(Managemend of Aadaptive Grid Infrastracture
: منابع و مآخذ
1. Foster I., Kesselman C., The Grid 2 : Blueprint for a new computing
infrastructure, ELSEVIER, 2004
2. Jacobi B., Brown M., Fukui K., Trivedi N., Introduction to Grid
Computing, an IBM Redbook, 2005
3. IBM Redbooks : www.redbooks.ibm.com
4. Foster I., What is the Grid? A Three Point Checklist, Argonne National
Laboratory & University of Chicago, 2003
5. Foster I., Globus Toolkit version 4: Software for service-oriented
systems, Argonne National Laboratory & University of Chicago, 2006
6. Open Grid Forum : www.ogf.org
7. Foster, I. and Kesselman, C. Globus: A Toolkit-Based Grid Architecture. Foster, I. and Kesselman, C. eds. The Grid:
Blueprint for a New Computing Infrastructure, Morgan Kaufmann, 1999, 259-278.
8. Globus Website : www.globus.org
9. Schopf J. M., Grids: The Top Ten Questions, Mathematics and
Computer Science Division, Argonne National Lab, Department of
Computer Science, Northwestern University
10. Grama A., Gupta A., Karypis G., Kumar V., Introduction to parallel
computing, Addison Wesley, 2003
11. Wikipedia website : www.wikipedia.com
12. Foster, I. and Kesselman, C. Computational Grids. Foster, I. and Kesselman, C. eds. The Grid: Blueprint for a New
Computing Infrastructure, Morgan Kaufmann, 1999, 2- 48.
13. IBM Official Website : www.ibm.com
14. Foster, I., Kesselman, C., Nick, J. and Tuecke, S. The Physiology of the Grid: An Open Grid Services Architecture
for Distributed Systems Integration, Globus Project, 2002. http://www.globus.org/research/papers/ogsa. pdf.
15. Foster, I., Kesselman, C., Tsudik, G. and Tuecke, S. A Security Architecture for Computational Grids. ACM
Conference on Computers and Security, 1998, 83-91.
16. Foster, I., Kesselman, C. and Tuecke, S. The Anatomy of the Grid: Enabling Scalable Virtual Organizations.
International Journal of High Performance Computing Applications, 15 (3). 200-222. 2001.
14