, Grid Fórum, Budapest

Átírás

1 Grid rendszerek biztonsági kérdései Kővári Kálmán, á MTA KFKI RMKI , Grid Fórum, Budapest egee EGEE-II INFSO-RI

2 Abstract Ahogy az ipari és kereskedelmi szektorban egyre nő az EGEE felhasználók tábora, a különböző grid-rendszerek egyre tágabb területeket fednek le, és az akadémiai szféra is elkezdett valódi, tudományos értékű adatokkal tesztelni és dolgozni a griden, a biztonsággal kapcsolatos igények hirtelen megugrottak az utóbbi években. Ezen bemutató során egy általános grid rendszer biztonsági problémáit fogjuk tanulmányozni, nem csak a leggyakrabban emlegetett Data Security témakört felölelve, l hanem időt szakítva a Felhasználó Azonosítás, Alkalmazás Megbízhatóság és Middleware Security témakörökre is. Megpróbálom az elmélet mellett az EGEE-ben használt megvalósítást is vázolni. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

3 A Grid, és a történelem Mindenki minden grides előadást azzal kezd, hogy definiálja a grid fogalmát... én se akarok lemaradni! :-) Régen az emberek felfedezték az áramot. Építettek is gyorsan erőműveket, és összekábelezték őket. A modernebb régiókban így egyre több ember jutott elektromos áramhoz. De aztán akadtak hatékonysági problémák, és jöttek újabb megoldások, amik az erőműveket ő ű e et és a hálózatokat egymással is összekötötték, sokkal globálisabb rendszert létrehozva és lehetővé téve a terheléselosztást, és a nagyobb léptékű, megbízhatóbb szolgáltatást. A rendszer többé nem volt érzékeny a helyi zavarokra. Innentől fogva hívták ezt az angolok Electricity Grid -nek, innen ered a Grid név. Nekünk voltak számító klasztereink. Összedrótoztuk őket, globális ütemező és teherelosztó eljárásokat fejlesztettünk ttü rájuk. Majd feltünt t a hasonlóság, és elkeztük az egészet Computing Grid -nek hívni. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

4 A Grid, és a történelem Grid rendszerek voltak már akkor is, amikor még nem volt ilyen szép nevük. P2P hálózatok Internet (?) Vannak bizonyos gyakran emlegetett tulajdonságai: Decentralizáltság Nyílt szabványok Skálázhatóság Ütemező ő mechanizmusok Ellenőrzött környezet Stb... És még órákat (sőt!) lehetne vitatkozni, csak egy biztos: a Grid Security-hez ennek semmi köze. :-) EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

5 Approaches to Security: 1 Kevésbé biztonságos ház EGEE-II INFSO-RI

6 Approaches to Security: 2 Paranoid hozzáállású ház EGEE-II INFSO-RI

7 Approaches to Security: 3 Realisztikus biztonsági i törekvés EGEE-II INFSO-RI

8 Pár szó a 'Grid Security'-ről Az emberek mindig rengeteket beszélnek a security-ről. De... néha mégsem ugyanazt értik alatta. Mindig valamilyen értelmű bizalomhoz, megbízhatósághoz kötődik. Autentikáció/Autorizáció/Delegáció Az alkalmazást futtató felhasználóknak nem szabad, hogy módjuk legyen abuzívan használni a rendelkezésükre álló erőforrásokat. Application&Middleware Security A használt grid-alkalmazásban l bíznia kell a felhasználónak. A Middleware bugok potenciális veszélyforrások lehetnek. Data Security A megfelelő hozzáférési jogosultágoknak szabályozottnak kell lenniük. A transzfer-vonalak kódoltak kell, hogy legyenek. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

9 Miért olyan fontos? Mindenki sejti, hogy milyen jellegű veszélyek jelenhetnek meg, de mégis, röviden: Ami rendelkezésünkre áll: Több, mint CPU >=10 GigaBit hálózati kapcsolat 12 PetaByte tárterület Biztosítanunk KELL, hogy ezt nem használják rossz célra. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

10 Autentikáció, Autorizáció, Delegáció Autentikáció: a felhasználó az, akinek állítja magát X.509 certificate-ekkel valósítják meg Analóg a személyi igazolványokkal okkal Autorizáció: a felhasználó jogosan hozzáférhet az erőforráshoz Igen komplex infrastruktúra, mivel sok követelménynek kell megfelelnie Nálam van a személyim, fent vagyok a könyvtári taglistán, tehát kölcsönözhetek. Delegáció: a felhasználó meghatalmaz egy folyamatot, hogy a nevében fusson CGSI kiterjetszés az X hez Megkérem a szomszédomat (akinek nincs személyije sem!), hogy kölcsönözzön ki egy könyvet a nevemben. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

11 Autentikáció, Autorizáció, Delegáció Autentikáció: a felhasználó az, akinek állítja magát X.509 certificate-ekkel Asszimmetrikus kódolás Analóg a személyi igazolvánnyal Name Issuer Public Key Signature John Doe 755 E. Woodlawn State of Urbana IL Illinois BD Male lbs GRN Eyes Seal EGEE-II INFSO-RI Security Overview 11

12 Autentikációt, Autorizáció, Delegáció Enabling Grids for E-sciencE Kérdések, kockázatok: Melyik Certificate Authority -ket fogadom el? Hogy bizonyosodhatok meg, hogy aki mutatja tj a certificate-et az tényleg a gazdája. Mi történik az elveszett, vagy kompromittált certificateekkel? Hogy érhetem el, hogy ez ne történjen meg? EGEE-II INFSO-RI Security Overview 12

13 Autentikáció, Autorizáció, Delegáció Enabling Grids for E-sciencE Autorizáció: milyen jogköre van az autentikált felhasználónak? Erőforrás-specifikus, specifikus nagyon heterogén Minden site akar finom-irányítást Szükséges a VO (Virtuális Szervezet) szintű konfiguráció EGEE-II INFSO-RI

14 Autentikáció, Autorizáció, Delegáció Enabling Grids for E-sciencE high frequency low frequency CA CA CA host cert (long life) user user cert (long life) registration VO-VOMS VOMS crl update service voms-proxy-init proxy cert (short life) authz cert (short life) VO-VOMS VO-VOMS VO-VOMS VOMS EGEE-II INFSO-RI Autentikáció és Autorizáció információk edg-java-security LCAS LCMAPS

15 Autentikáció, Autorizáció, Delegáció Enabling Grids for E-sciencE Delegáció = egy távoli, másodszintű proxy tanusítvány létrehozása Új kulcspár jön létre a szerveren A Proxy certificate-et a rendszer visszaküldi a nyilvános kulccsal A felhasználó aláírja a proxy-certet A szerver tárolja a proxyt. Lehetővé teszi, hogy a folyamat a felhasználó nevében dolgozzon. Figyelem: egy távoli folyamat megszemélyesíti a felhasználót EGEE-II INFSO-RI

16 Autentikáció, Autorizáció, Delegáció Enabling Grids for E-sciencE Autorizációs és Delegációs kérdések Over and underspecification, scalablity Good-old grid-mapfile LCAS, LCMAPS Short term Proxies A short-validity, non-password-protected protected certificate signed by the user's long term certificate Tipically 12-24h Long jobs Some jobs last more than 24h... MyProxie Service, Proxy Renewal EGEE-II INFSO-RI

17 Autentikáció, Autorizáció, Delegáció Enabling Grids for E-sciencE Visszaélési statisztikák: Az EUGrid PMA működése során még nem kellett bizonyított kompromittáció miatt visszavonni certificateet Nem jelentettek tanusítvány eltulajdonítást Egyetlen eset van, ahol helytelen használat miatt felhasználói tévedésből autorizációs hiba lépett fel. EGEE-II INFSO-RI

18 Application&Middleware Security Enabling Grids for E-sciencE A Grid Applikációk azon programok, amiket a VOk, a felhasználók vagy a portálok futtatnak a Griden. A software-struktúra tetejét jelentik Általában komplex, feladat-centrikus szervezésűek A Grid Middleware az Applikációs réteg alatt fekvő software. fontos, hogy a felhasználó számára átlátszó réteg legyen a végfelhasználó vagy az alkalmazás-fejlesztő nem kell, hogy értse az alulfekvő protokollokat szolgáltatás- vagy adat-centrikus szervezés egésszében nagy és komplex, de egy-egy része egy-egy részfeladatot lát el, a többitől függetlenül A rendszer összetettsége miatt nagy a sebezhetősége. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

19 Application&Middleware Security Enabling Grids for E-sciencE Miért fontos, hogy értsük az App&MW Security lényegét? Az alkalmazás-fejlesztőknek bízniuk kell az alattuk nyugvó óinfrastruktúrában ktúáb A site steadminoknak a bízniuk kell as szolgáltató ogátató programokban amiket a site gépein futtatnak A felhasználóknak bízniuk kell a Grid Szolgáltatásokban, mert át kell, hogy adják nekik az értékes adatokat és a digitális tanusítványukat EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

20 Application&Middleware Security Enabling Grids for E-sciencE O.S. Sebezhetőségek: Az induló projekt a DataGrid eredetileg OSfüggetlenre volt tervezve. Kompatibilitási okok miatt le kellett tenni egy rendszer mellett a voksot: ez az SLC3 lett. Későbbiekben felmerült más Linux ízekre is az igény, ezt részben már teljesíti az EGEE MW. Az SLC3 elévült, az SLC4-re átállás folyamatban A MS-Windows támogatás még mindig alacsony (a szolgáltató és munkagépek tekintetében) Az SLC-disztribúciókat ibú iók t a CERN támogatja tj és fejleszti, az RHEL-lel szoros kooperációban. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

21 Application&Middleware Security Enabling Grids for E-sciencE Grid Middleware Sebezhetőségek Két csoport felelős a különböző tipusú esetekért OSCT Operational Security Co-ordination Team Üzemeltetési esetek Közvetlen kapcsolat a site-adminisztrátorokkal GSVG Grid Security Vulnerability Group Middleware sebezhetőségek Érvényesség-ellenőrzés Felmérés Kapcsolatteremtés az érintett fejlesztőkkel (EMT Engineering and Management Team) Külső software-ekhez kapcsolódó döntések Globális irányítás, az incidensek javításainak levezénylése EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

22 Application&Middleware Security Enabling Grids for E-sciencE Egy esettanulmány: Az esetet en vagy CERN Savannah bugként jelentik GSVG eldönti, hogy Grid-issue iss -e vagy sem (és értesíti a bejelentőt, hogy fogadták-e a bejelentést) A GSVG Risk Assessment Team felméri az esetet, figyelembe véve a: Közvetlen és közvetett hatásokat Impact faktort Súlyosságot Nyilvánosságot legalább 3 szakértő 2 munkanapon belül véleményezi az esetet, ez alapján készül el a végleges felmérés az eset tipusától függően a megfelelő bizottságokat, és ha mód van rá, az érintett fejlesztőket értesítik A bejelentő értesítést kap az eset további sorsáról Ha a Target Date-ig nincs megoldás, bizonyos feltételek mellett a GSVG nyilvánosságra hozza az esetet EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

23 Application&Middleware Security Enabling Grids for E-sciencE GSVG Target Date: az a dátum, amíg az eset visszatartása tá kevesebb kockázattal ká jár, mint a nyilvánosságra hozása. Minden kockázat-enyhítő lépést a TD előtt kell megtenni. GSVG Kockázati Kategóriák Low, TD = 6 hónap Moderate, TD = 3 hónap High, TD = 3 hét Extremely Critical, TD = 2 nap (!!!), azonnali értesítés az EMT és az OSCT felé EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

24 Application&Middleware Security Enabling Grids for E-sciencE Statisztikák Az EGEE 1 indulása óta kb. 200 esetet vettünk fel. A legtöbb operatív eset vagy feature request, de jónéhány valódi esettel is találkoztunk Júniusa óta (az új GSVG működési rend létrejötte) 20 új esetet dolgoztunk fel, köztük néhány High, és egy Extremely Critical esettel. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

25 Data Security Első feladat: A file-jaimat A-ból B-be szeretném juttatni (nyilvános csatornán) anélkül, hogy lefülelnének. Megoldás: kódolt szállító csatornák Már vannak kész megoldások SSLv3 teljesíti az igényeinket Aküldő és fogadó fél azonosítását át is lehetővé éteszi a kódolt csatorna biztosítása mellett. Indulásnak elég volt. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

26 Data Security Második feladat: tárolni is akarom a file-jaimat B-ben, de úgy, hogy csak én tudjam olvasni őket. Megoldás: Szimmetrikus/Asszimmetrikus kódolás feltöltéskor Minden transzfer előtt kódolni kell Meg kell őrizni a dekódoló kulcsot Nem skálázik a rendszer, sok kulcs esetén könnyű elveszni, ha sérül a kulcs, hozzáférhetetlen lesz az adat Ugyan el tudom küldeni a kulcsot másoknak, de ha elküldtem, már nem lehet visszavonni, vagy elérni, hogy felejtsék el. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

27 Data Security Harmadik feladat: szeretném kézben is tartani, hogy ki fér hozzá az adataimhoz Megoldás: Kulcs-központ Központi szerver tárolja a kulcsokat a dekódoláshoz ACL alapú rendszer a jogosultságkezelésre Könnyen kezelhető HW hiba? Kompromittáció? EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

28 Data Security Negyedik feladat: azt szeretném, ha az adataim extra biztonságban lennének, még hardware-hiba vagy hacker-támadás ellen is. Megoldás: Hydra elosztott kulcs-központ A kulcsok szét vannak bontva, és szétszórva Nincs single point of failure Lehetőség az adat kiszolgáltatására anélkül, hogy a kulcs a felhasználóhoz kerülne (de egyelőre túl nagy számítókapacitást igényel) EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

29 Konklúziók Data Security A végleges megoldás még várat magára Minden felhasználó maga felelős az adatért amivel dolgozik A Middleware próbálja követni a titkos kulcsokat, és takarítani, ha kell Megfelelően óvatos eljárással az adatot meg lehet őrizni bizalmasnak. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

30 Grid Security Az EGEE Grid jelen pillanatban elég biztonságos, de folyamatos fejlesztést igényel ( Security is a process, not a product ) Az utóbbi időben jelentősen nőtt a ráfordítás a securityközeli feladatokra A BioMed igényeit folyamatosan figyelik és követik Eddig még nem volt komoly incidens. EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb

31 Köszönetnyilvánítás A prezentációban felhasználtam részeket mások munkáiból, köszönet nekik: Guy Warner Carl Kesselman Richard Sinott John Watt Ákos Frohner EGEE-II INFSO-RI EGEE Grid Fórum, Budapest, Hungary, 04. May

32 Itt a vége... Kérdések? EGEE-II INFSO-RI EGEE Industry Day, Budapest, Hungary, 23 Feb