- •Информационная безопасность распределенных вычислений
- •Содержание
- •Введение
- •1 Эволюция распределенных вычислений
- •1.1 Клиент-сервер
- •1.2 Peer-to-peer
- •1.3 Метакомпьютинг
- •2 Грид-технологии
- •2.1 Виртуальные организации
- •2.2 Архитектура грид
- •2.4 Элементы грид
- •2.5 Сервисно-ориентированная архитектура soa
- •3 Облачные вычисления
- •3.1 Типы облачных вычислений
- •3.2 Архитектура облачных вычислений
- •3.3 Виртуализация
- •3.4 Преимущества и недостатки облачных вычислений
- •4 Сравнение грид и облачных технологий
- •5 Обеспечение безопасности в традиционных информационных системах
- •5.1 Угрозы информационной безопасности
- •5.2 Характерные особенности сетевых атак
- •5.3 Средства обеспечения информационной безопасности
- •5.4 Методы аутентификации
- •5.5 Схема Kerberos
- •5.6 Электронная цифровая подпись
- •V(m, s,kA(public))
- •5.7 Инфраструктура открытых ключей pki
- •5.8 Управление доступом по схеме однократного входа с авторизацией sso
- •5.9 Технологии защиты межсетевого обмена данными
- •5.10 Виртуальные частные сети
- •6 Обеспечение информационной безопасности в грид-системах
- •6.1 Инфраструктура защиты Globus gsi
- •6.2 Защита на уровне сообщений
- •6.3 Подходы к оцениванию доступности информации
- •7 Защита информации в облачных системах
- •7.1 Проблемы обеспечения безопасности облачных систем
- •7.2 Средства защиты облачных систем
- •7.3 Катастрофические события в облачной среде
- •Заключение
- •Список литературы
- •050013, Алматы, Байтурсынова, 126
6.1 Инфраструктура защиты Globus gsi
Ниже перечислены функции, которые должны быть реализованы в инфраструктуре безопасности для динамических грид-сервисов, при этом большинство требуемых функций может быть реализовано как расширение к существующей версии Globus Toolkit version 4 (GT4).
1. Гибкая конфигурация доверительных доменов и средства меж-доменного установления доверительных отношений. В настоящее время такая конфигурация осуществляется вручную при установке сервисов безопасности и требует предварительно установленных доверительных отношений между всеми взаимодействующими системами и компонентами.
2. Динамическое управление контекстом безопасности, необходимое для поддержки рабочих потоков и комплексного развертывания ресурсов в распределенной много-доменной среде, включая следующие компоненты:
- параметры среды и административных/структурных доменов сервисов или ресурса;
- параметры среды и пользовательские полномочия текущей сессии авторизации;
- политика доступа;
- пространство имен атрибутов (Attributes namespaces);
- формат пользовательских сертификатов и мандатов (credentials);
- доверительные домены и центры удостоверения (trust domains and authorities).
При этом следует отметить, что возможность управления контекстом безопасности динамически является основой для использования рабочих потоков для автоматизации процессов в грид-приложениях и для композиции сложных сервисов.
3. Возможность обработки и управления пространствами имен всеми компонентами инфраструктуры безопасности. В распределенной многодоменной среде пользовательские атрибуты, метаданные и политика безопасности могут использовать различные пространства имен, которые могут быть выражены непосредственно в семантике самих атрибутов или неявно посредством указания источника (или центра удостоверения атрибутов). Правильное определение и использование пространства имен является важным компонентом обеспечения совместимости сервисов в распределенной многодоменной среде. Для сервисов безопасности правильная
обработка семантики атрибутов является основой для доверительности сервисов.
4. Гибкое управление политикой доступа, включая возможность использования множества форматов описания политики, средства комбинирования множества политик, средства разрешения возможных конфликтов в иерархической и многодоменной среде контроля доступа на основе политики.
5. Поддержка сессии доступа (или авторизации). Несмотря на то что первоначальная цель установления сессии авторизации - это оптимизация быстродействия системы контроля доступа за счет исключения медленного процесса оценки запроса относительно политики доступа для повторяющихся запросов, те же механизмы и средства поддержки сессии могут также использоваться для идентификации комплексных ресурсов. Основным механизмом поддержки сессии являются квитанции, содержащие весь необходимый контекст безопасности для данной сессии и дополнительную управляющую информацию, как следует обрабатывать данные квитанции, например, возможно ли делегирование полномочий при предъявлении данной квитанции, а также существуют ли какие-либо обязательства в связи с использованием ресурсов на основании данной квитанции.