Выступление 3 на конференции ВШЭ

ФГБОУ ВПО «Санкт-Петербургский
государственный политехнический
университет»
ВИРТУАЛИЗАЦИЯ КАК СРЕДСТВО
ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ.
ПРОБЛЕМЫ И ПЕРСПЕКТИВЫ
Доктор технических наук, профессор
П. Д. Зегжда
СОДЕРЖАНИЕ ДОКЛАДА
I. Виртуализация как средство
обеспечения безопасности.
II. Безопасность средств виртуализации
III. Применение виртуализации для
обеспечения безопасности.
2
КИБЕРВОЙНЫ




Пентагон подготовил доклад для Конгресса США,
в котором говорится о готовности США отвечать
боевыми действиями против кибератак.
США
и
Евросоюз
провели
совместные
киберучения Cyber Atlantic 2011, которые стали
первыми
киберучениями,
проведенными
с
участием США и Евросоюза.
Иранские хакеры применили кибероружие против
американского
беспилотного
летательного
аппарата RQ-170 Sentinel.
Председатель совета директоров компании Google
Эрик Шмидт отметил высокую квалификацию
Ирана в ведении кибервойн. Иранские хакеры
сумели проникнуть в сеть компании Diginotar,
которая выпускает сертификаты для шифрования
и цифровой подписи.
ТАКТИКА ХАКЕРСКИХ АТАК
Использование похищенных логинов и…
38%
Использование уязвимостей
29%
25%
SQL Injection
Подбор паролей
14%
Использование команд ОС
14%
Использование "заводских" логинов и…
11%
Сбор информации о компьютерной системе
11%
Межсайтовый скриптинг
9%
Использование недостаточной…
7%
Использование недостаточной авторизации
7%
Удаленное использование файлов
2%
Отказ в обслуживании на уровне приложений
2%
Атака "Человек посередине"
2%
Подбор ключа шифрования
2%
Неизвестно
5%
Систематизация кибернарушений
Результат
Объект воздействия
Используемые
средства
№
Тип нарушителя
Мотив
1.
Личность:
- хакер;
- мошенник;
неквалифицированный
пользователь;
- инсайдер .
Вандализм,
мошенничество,
кража данных
или денег.
Разрушение объекта,
кража информации или
денег, искажение
информации
(компрометация).
Личные сайты, сайты
фирм, банкоматы,
платежные системы,
базы данных.
Преодоление
защиты, хищение
паролей, вирусы,
root-net.
2.
Криминальные группы
Промышленный
шпионаж.
Кража
финансовых
активов.
Критическая информация.
Нанесение финансового
ущерба.
Банковские системы,
хранилища данных,
социальные сети,
телекоммуникации.
Разведка,
преодоление
защиты,
расширение прав
доступа,
модификация,
разрушение
объекта.
3.
Террористические
формирования
Диверсии на
объектах
энергетики и
производства,
политики,
финансовые
операции.
Вывод из строя объектов
энергетики, связи,
управления
производством,
политические мотивы.
Телекоммуникации,
связь, управление
транспортом, SCADA
Использование
внутреннего
нарушителя,
распределение,
распределенные
консолидированн
ые атаки
4.
Кибервойска
Геополитика,
агрессия,
информационна
я война.
Достижение политических
целей, разрушение
структур госуправления.
Электронное
правительство,
банковская система,
управление войсками.
Специальные
спланированные
операции,
использующие
средства
информационног
о нападения.
КИБЕРБЕЗОПАСНОСТЬ
И НОВЫЕ ЗАДАЧИ ЗАЩИТЫ ИНФОРМАЦИИ





Смена объекта защиты: информация (данные) 
инфраструктура  управляющие системы 
исполнительные механизмы
Изменение содержания понятий «конфиденциальность»,
«целостность», «доступность» для систем с открытым
периметром и не корпоративных систем
Разделение среды управления защиты от среды
обработки информации
Стабильное открытие систем как средство обновления
Новые классификации нарушителей и моделей политик
безопасности, переход от доказательной безопасности к
допустимому состоянию
ТЕХНОЛОГИИ ВИРТУАЛИЗАЦИИ – мощнейшее средство
защиты, которое позволяет перейти
от понятия «защищенная система»
к понятию «система с контролируемым поведением»
6
БЕЗОПАСНОСТЬ КАК СЕРВИС
Унификация ресурсов
Инвариантность
средств защиты по
отношению к типам
ресурсов
Защита не только
информации(данных)
но и вычислительных
ресурсов
Устранение источников
уязвимостей
•Универсальный интерфейс доступа к информационным
ресурсам независимо от их типа
•Возможность защищать внешние ресурсы, доступ к
которым осуществляется через универсальный интерфейс
• Универсальные средства защиты для всех типов ресурсов
• Вычислительная мощность и дисковое пространство
• Пропускная способность
• Логические ресурсы (сокеты, потоки, дескрипторы)
• Минимизация кода средств защиты
• Разделение функций защиты и обработки данных
• Минимизация привилегированных приложений
7
ПРОБЛЕМЫ БЕЗОПАСНОСТИ СОВРЕМЕННЫХ
КОНСОЛИДИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ
Высокая степень концентрации
функций и наличие закрытых
протоколов взаимодействий
Большой объем взаимодействий,
который невозможно контролировать
без ущерба для производительности
Огромный объем кода приводит к
появлению уязвимостей
Трудности адаптации доверенных
средств защиты к современным
средствам обработки информации
8
ИНТЕГРАЦИОННАЯ ПАРАДИГМА ПОСТРОЕНИЯ
ЗАЩИЩЕННЫХ СИСТЕМ
Средства защиты должны контролировать все
без исключения информационные
взаимодействия
Средства защиты должны быть инварианты по
отношению к прикладным программам и
опираться на абстрактное представление
информационных взаимодействий
Средства защиты должны контролировать
информационные взаимодействия на основе
четко определенных правил, составляющих
формальную модель
Должен быть предусмотрен механизм,
позволяющий оценить безопасность как
настоящего состояния системы так и
спрогнозировать безопасность будущих
состояний
9
НЕМНОГО ИСТОРИИ: ИДЕЯ ВИРТУАЛИЗАЦИИ И МОНИТОР
ВИРТУАЛЬНЫХ МАШИН ВОЗНИКЛИ В 60-ЫЕ ГОДЫ КАК
СРЕДСТВО АБСТРАКТНОГО РАЗДЕЛЕНИЯ РЕСУРСОВ НА
НЕСКОЛЬКО МАШИН
В последнее десятилетие дешевизна компьютеров и
многозадачной ОС уменьшает значение виртуализации.
Причины возрождения интереса к виртуализации:


недогруженность и дороговизна обслуживания мощных
компьютеров;
уязвимость и неустойчивость современных ОС.
«В перспективе виртуализация не только средство
организации многозадачности, но и механизм
обеспечения безопасности и надежности».
Тэл Гарфинкель
10
БАЗОВАЯ СХЕМА ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ
Приложения
базовой системы
Виртуальная
машина
Виртуальная
машина
(гостевая
система)
(гостевая
система)
...
Виртуальная
машина
(гостевая
система)
Гипервизор
Базовая операционная система
Аппаратное обеспечение
11
ПРЕИМУЩЕСТВА ВИРТУАЛИЗАЦИИ
ДЛЯ ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ

Изоляция



Централизация управления безопасностью


Управление и механизмы безопасности вынесены вне ВМ
Гипервизор проще, чем операционная
система



Доступность и разделение обязанностей (сбой одной ВМ не влияет на другие)
Устранение скрытых каналов утечки информации
Разрывает канал связи между недоверенным ПО и недоверенным аппаратным
обеспечением, может быть формально верифицирован
Контроль и мониторинг поведения пользователей и программ, объектов и модулей
ядра операционной системы
Репликация


Быстрое восстановление после сбоев
Возможность сохранить слепок атакованной системы для дальнейшего изучения
12
ИЗОЛЯЦИЯ С ПОМОЩЬЮ ТЕХНОЛОГИИ
ВИРТУАЛИЗАЦИИ
Виртуальная машина
Приложение
гостевой
системы
Приложение
гостевой
системы
Ядро гостевой операционной
системы
Приложение
базовой системы
Изоляция


Приложение
базовой системы

Защита от
недоверенных:


Модуль
базовой ОС
Модуль
базовой ОС
Модуль
базовой ОС
ОС
программ
данных

ОС
программ
оборудования
Ядро базовой операционной системы
Аппаратное обеспечение
13
КОНТРОЛЬ И МОНИТОРИНГ ДОСТУПА
С ПОМОЩЬЮ ТЕХНОЛОГИИ ВИРТУАЛИЗАЦИИ
Модуль
ядра
Модуль
ядра
Гипервизор
(контролирует
доступ ПО и
аппаратуры к
областям
физической
памяти за
счет
настройки
таблиц
трансляции
адресов)
Оперативная
память
Контроль доступа:


аппаратуры к
данным
модулей ядра
операционных
систем к
данным
Мониторинг:


действий
аппаратуры
поведения
модулей ядра
операционных
систем и
программ
14
Кибератаки – актуальная угроза
Беспечность есть причина всяких бедствий
Кибератаки – актуальная угроза
Джами Абдуррахман Анураддин ибн Ахмад
ПРОБЛЕМЫ БЕЗОПАСНОСТИ,
СВЯЗАННЫЕ С ПРИМЕНЕНИЕМ ТЕХНОЛОГИИ
ВИРТУАЛИЗАЦИИ
Проблема
безопасности
Комментарии
Отказ в обслуживании
гипервизора
Отказ в обслуживании комплекса ВМ
Безопасность
взаимодействия ВМ с
гипервизором
Подмена механизмов взаимодействия ВМ с
гипервизором. Изменение потоков данных в системе
Мобильность ВМ
Понятие физической безопасности компьютеров
становится эквивалентным понятию безопасности
сменных носителей, а также прав доступа к файлам.
При исследовании безопасности нельзя полагаться на
инвариантность среды, в которой запускается ВМ.
Проблема
разделяемых ресурсов
Разделяемые ресурсы могут быть использованы для
НСД к информации. Разделяемые ресурсы могут быть
использованы для выхода РПС за пределы
виртуальной машины с целью распространения
16
УЯЗВИМОСТИ ВМ ЗА 2012Г. (ПО ДАННЫМ NIST)
ВМ
CVE
Колво
VirtualBox
CVE-2013-0420 CVE-2012-0111 CVE-20120105
3
VmWare
CVE-2012-6325 CVE-2012-6324 CVE-20125055 CVE-2012-5004
4
Xen
CVE-2013-0154 CVE-2012-6314 CVE-20125161 CVE-2012-6333 CVE-2012-5515 CVE2012-5514
CVE-2012-5513 CVE-2012-5512 CVE-20125511 CVE-2012-5510
10
Red Hat Enterprise CVE-2012-5516 CVE-2012-2696 CVE-2012Virtualization
0861 CVE-2011-4316 CVE-2011-2625 CVEManager
2011-2624
6
Кибератаки
– актуальная
угроза
Примеры
уязвимостей

CVE-2011-4127 – уязвимость найденная в 2011 году. Эта уязвимость
позволяет пользователям ВМ читать и изменять данные на всем
жестком диске физического компьютера, в том числе можно
изменять код и данные гипервизора и других ВМ.

CVE-2011-1751 – уязвимость найденная в 2011 году. Эта уязвимость
позволяет пользователям ВМ выполнить произвольный код в
контексте хостовой ОС.

CVE-2011-1872 - уязвимость найденная в 2011 году. Эта уязвимость
позволяет пользователям ВМ вывести из строя весь узел, на котором
работает эта ВМ и гипервизор.

Во время осуществления миграции ВМ с одного узла на другой,
данные оперативной памяти ВМ передаются по внутренней сети
провайдера в открытом виде.
18
ТИПЫ УЯЗВИМОСТЕЙ ВИРТУАЛЬНЫХ МАШИН
Уязвимости отказа в обслуживании
гипервизора.
 Уязвимости, предоставляющие доступ к
ресурсам ВМ
 Уязвимости, использующие разделяемые
ресурсы для атаки ВМ
 Уязвимости системы управления
виртуальными машинами

Классификация
уязвимостей
средств
Кибератаки – актуальная угроза
виртуализации
Описание
Процент от
общего числа
уязвимостей
Воздействие на
гипервизор
Нарушение работы гипервизора, внедрение
кода в гипервизор
38%
Выход за
пределы ВМ
Нарушение изоляции ВМ, внедрение кода в
другие ВМ или гипервизор
35%
Воздействие на
гостевую ОС
Нарушение работы гостевой ОС, внедрение
кода в гостевую ОС
15%
Нарушение работы средств управления средств
виртуализации, нарушение работы
вспомогательных программ
12%
Класс
Прочие
По данным IBM XForce
20
KVM: CVE-2011-1751
Кибератаки – актуальная угроза
Выход за пределы ВМ
Хост
ВМ
ВМ
ВМ
ВМ
ВМ делает
Unplug на
устройств
о таймера
Процесс
QEMU
Заставляет
QEMU
выполнить
код заданный
ВМ
Запуск команды в
хосте от root
21
АТАКИ НА СИСТЕМЫ
РАСПРЕДЕЛЕННЫХ ВЫЧИСЛЕНИЙ
Атаки на сервисы
предоставления
ресурсов
Пользователи системы
Злоумышленник
Злоумышленник
Атаки на системы
баз данных: SQLинъекции, DoS
Атаки на сервер
авторизации:
подбор паролей,
перехват
сертификатов, DoS
Злоумышленник
Атаки на Webсерверы: XSS,
перехват сессий,
DoS
Пользователи системы
Злоумышленник
23
КОМПЛЕКСНАЯ АТАКА НА
СИСТЕМУ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ
1.
Атака на ВМ из внешней сети

2.
Выполнение кода в ядре ОС в ВМ

3.



6.
Атака на другие ВМ на том же узле сети
Выполнение кода на узле внутренней сети облака
Прослушивание траффика внутренней сети облака

5.
Взаимодействие с виртуальным оборудованием напрямую
Выполнение кода в гипервизоре

4.
Запуск кода внутри ВМ
Прослушивание данных пользователей
Получение доступа к другим ВМ в облаке
Модификация данных ВМ
Выполнение DoS атак на другие узлы и ВМ

Запуск механизмов самовосстановления облака

Инициация механизмов миграции ВМ
Атаки на системы управления облаком

Получение контроля за всем облаком
Возможность изоляции и скрытого
управления делает
виртуализацию привлекательной
для технологии нападения
25
Анализ защищенности внутреннего трафика
Кибератаки – актуальная угроза
платформ облачных вычислений
Критерий
Управление узлами
виртуализации
Передача оперативной
памяти при миграции
Взаимодействие с
хранилищем данных
Ubuntu
Enterprise
Cloud
VMware
vSphere
Microsoft
System Center
Xen Cloud
Platform
подпись
шифрование
подпись
шифрование
нет миграции не защищено не защищено не защищено
не защищено шифрование шифрование не защищено
26
КЛАССИФИКАЦИЯ СПОСОБОВ ОБНАРУЖЕНИЯ
ЭКСПЛУАТАЦИИ ТЕХНОЛОГИИ ВИРТУАЛИЗАЦИИ В
КОМПЬЮТЕРНЫХ СИСТЕМАХ
Способы обнаружения гипервизоров
Проактивные
Временные
Поведенческие
На основе буфера
ассоциативной
трансляции
На основе буфера
ассоциативной
трансляции
На основе буфера
стековых возвратов
На основе ошибок в
гипервизоре
На основе списка
демаскирующих
событий
На основе ошибок в
процессорах
Сигнатурные
На основе
доверенного МВМ
На основе
аппаратных средств
На основе
программных
средств
На основе
обращения к памяти
27
ПРИМЕРЫ ПРИЗНАКОВ ЭКСПЛУАТАЦИИ ТЕХНОЛОГИИ
ВИРТУАЛИЗАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

Аномальное поведение
таймеров и системного
времени: CMOS RTC, HPET,
PIT, TSC, APIC

Изменение реального
размера кэша:
страничного,TLB, Stack Return

Наличие аномалий в карте
физической памяти E820

Относительное снижение
скорости работы некоторых
инструкций (CPUID, mov CR3)
28
МЕРЫ БЕЗОПАСНОСТИ ПРИ ИСПОЛЬЗОВАНИИ
ВИРТУАЛИЗАЦИИ
Формальная верификация гипервизора
 Вынесение механизмов безопасности за
пределы ВМ
 Ограничение мобильности ВМ
 Устранение разделяемых между ВМ
ресурсов

МЕХАНИЗМЫ ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ

Контроль физического и виртуального оборудования

Контроль целостности ПО виртуализации и образов
виртуальных машин

Минимизация привилегий доступа к гипервизорам по
управлению

Мониторинг скрытой эксплуатации технологии
виртуализации
30
31
РАЗВИТИЕ СРЕДСТВ ЗАЩИТЫ
Традиционные
средства защиты
Аутентификация и
идентификация
Контроль доступа
СКЗИ
Контроль
целостности
Средства усиления
защиты в сети
VPN
Апостериорная
защита
Интеллектуальные
системы обнаружения
и предотвращения
вторжений
МЭ
Пакеты
повышения
безопасности
Настройка
сертифицированных
версий
Системы проактивной
антивирусной защиты
Средства анализа
защищенности и
выявления
уязвимостей
Развитие средств защиты информации
Кибератаки – актуальная угроза
Все просто,
если
смотреть в правильном
направлении
Время
- величайший
из новаторов
Агата Кристи
Роджер
Бэкон
Кибератаки – актуальная угроза
МОДЕЛЬ БЕЗОПАСНОСТИ СИСТЕМ ОБЛАЧНЫХ
ВЫЧИСЛЕНИЙ
Состояние системы облачных вычислений:
  ( C , P ,U ,S , H ,I , R , Rp,Soft, Id, Im,Role)
C

V

N

M
O

R

P

U

S
Role
H
I
F






Rp
Soft

Id
Im



граф всех сетевых связей между всеми узлами внутренней сети облака и
виртуальными машинами (ВМ)
множество ВМ
множество хостов внутренней сети
множество машин M  V  N
множество файлов образов ВМ
множество ролей хостов в облаке { VmHost,Storage ,Controller }  R
множество всех программ и ВМ в облаке
множество всех пользователей облака
множество всех субъектов в облаке
распределение ролей хостов в облаке Role : N  P( R )
распределения ВМ по хостам H  V  N
распределение образов ВМ по хостам I  V  P ( N )
распределение ВМ по файлам образов F  V  P( O )
отношение репликации работы ВМ Rp  V  P( N )
распределение программ по машинам Soft  M  P( P )
отношение идентификации Id  P  P ( S )
отношение имперсонализации Im  P  S
33
СВОЙСТВА ГИПЕРВИЗОРОВ И ВИРТУАЛЬНЫХ МАШИН
В СИСТЕМАХ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ (1)

Использование виртуальных машин в качестве узлов сети в облаке
V M
H

Миграция виртуальных машин
~
 H \ ( v i , n j )  ( v i , nk ),v i V  , n j  N , nk  N

Репликация работы виртуальных машин
Rp  V  P( N )
34
УСЛОВИЯ БЕЗОПАСНОСТИ ГИПЕРВИЗОРОВ
ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ (1)

Виртуальная машина – программа, работающая под управлением
гипервизора. В каждой виртуальной машине также выполняются
программы:
V  P
v V : P  P ,( v , P )  Soft
vj
j vj
 j

Для любой программы в виртуальной машине существует по крайней
мере два субъекта в облаке:
v i  V , n j  N , Pv i  P , pv i  Pv i ,( v i , n j )  H ,( v i , Pv i )  Soft :
sv , sv , { sv , sv }  Su ,( v i , s n )  Id  ( pv i , sv )  Id

субъект, который соответствует программе, запущенной в виртуальной машине

субъект, который соответствует программе, запущенной на хосте
sv
sn
35
СВОЙСТВА ГИПЕРВИЗОРОВ И ВИРТУАЛЬНЫХ МАШИН
В СИСТЕМАХ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ (2)

Разделение среды хранения и выполнения виртуальных машин
v i Nv i  N :
( v i , Nv i )  I  n j  Nv i ,VmHost  Role( n j )

Возможность объединять виртуальные машины в изолированные
виртуальные сети
Cv  C
- несвязный граф виртуальных машин
36
УСЛОВИЯ БЕЗОПАСНОСТИ ГИПЕРВИЗОРОВ
ВИРТУАЛИЗИРОВАННЫХ СИСТЕМ (2)

Все виртуальные машины в облаке идентифицируются в
гипервизорах только субъектами, которые принадлежат множеству
пользователей, работающих в этих виртуальных машинах:
v i  V , sv  S , n j  N ,
Pv  P ,( v i , n j )  H ,( v i , Pv )  Soft :
pk  Pv , s k  S ,( pk , s k )  Id
 { sv , s k }  Su  ( u ,Su )  Im
37
Кибератаки – актуальная угроза
Если наши соображения правдоподобны, то не следует стремиться
к большему
Марк Туллий Цицерон
Кибератаки – актуальная угроза
Гибридная система –
виртуализация на основе
доверенной ОС – механизм
сокращения угроз и создание
безопасной виртуализации
39
ГИБРИДНАЯ СИСТЕМА
Процесс ЗОС
Процесс ЗОС
Процессы встроенной ОС
Процессы встроенной ОС
Средства
взаимодействия
Встроенная ОС
Встроенная ОС
Виртуальная машина
Виртуальная машина
Средства изоляции
Средства
защиты
Базовая ЗОС
Аппаратная платформа
40
ГИБРИДНАЯ СИСТЕМА ДЛЯ РАБОТЫ В СРЕДЕ
ИНТЕРНЕТ И КОРПОРАТИВНОЙ СЕТИ
41
Безопасность гостевой системы
определяется безопасностью
базовой и виртуализацией
ресурсов
Гостевая ОС
в виртуальной
среде
Виртуальные
ресурсы 1
Виртуальные
ресурсы 2
Виртуальные
ресурсы 3
Виртуальная
машина
Средства
защиты
Ресурсы 4
Ресурсы 3
Ресурсы 2
Базовая ОС
Ресурсы 1
Гостевая система наследует
свойства безопасности базовой
системы при соблюдении
определенных условий
42
УСЛОВИЕ БЕЗОПАСНОЙ ВИРТУАЛИЗАЦИИ
РЕСУРСОВ
Гостевая система наследует свойства
безопасности базовой, при условии
соблюдения гомоморфизма между
отношениями типов ресурсов и
инжективности их отображения в
ходе виртуализации.
43
ПРИМЕНЕНИЕ ВИРТУАЛИЗАЦИИ ДЛЯ
СОЗДАНИЯ КОНТРОЛИРУЕМОЙ СРЕДЫ
44
45
СОЗДАНИЕ ЗАЩИЩЕННОЙ ВИРТУАЛЬНОЙ
СРЕДЫ
Средства
виртуализации
интегрированы в
микроядро ЗОС
Компоненты ВМ
изолированы внутри
приложения ЗОС
Все действия
пользователей ВМ
ограничены и
находятся под
контролем системы
безопасности ЗОС
МОНИТОР ПЕРЕСЫЛОК В ГИБРИДНЫХ
СИСТЕМАХ
46
МОНИТОР ПЕРЕСЫЛОК В РАСПРЕДЕЛЕННЫХ
МНОГОЗВЕННЫХ СИСТЕМАХ (ШЛЮЗ КОНТРОЛЯ
ДОСТУПА)
Клиенты
Ресурсы и сервисы
47
ВЫВОДЫ
1. Механизм
виртуализации
может
эффективно
использоваться для решения защиты, т. к. позволяет
разделить среду обработки информации и среду
функционирования средств защиты и обеспечивает
дополнительный уровень изоляции.
2. Для успешного применения данного подхода необходимо:
•
обеспечить высокую степень виртуализации(прозрачность
базовой системы для гостевых);
•
соблюдать сформулированные условия при виртуализации
ресурсов.
48
Что дальше?
•
•
•
Детальное изучение уязвимостей и
недостатков средств виртуализации
Сертификация и создание систем
защиты и мониторинга для средств
виртуализации
Создание защищенного
гипервизора, удовлетворяющего
требованиям безопасности
49
СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ В
СОВРЕМЕННЫХ СИСТЕМАХ РАСПРЕДЕЛЕННЫХ
ВЫЧИСЛЕНИЙ. ЕВРОПЕЙСКИЙ ПРОЕКТ EGEE
Запрос прав
доступа и
членства в ВО
БД
Клиент
Права
доступа и
членство в
ВО
Права
доступа и
членство в
ВО
Сервер CAS (Globus Toolkit)
Сервер VOMS (gLite)
Подпись
Подпись
Да, разрешить
доступ
Ресурс
Доверие
серверу CAS/
VOMS?
Провайдер ресурса
•
•
•
•
Нет, запретить
доступ
Сервер CAS/VOMS хранит в базе данных информацию о пользователях, такую как их
членство в виртуальных организациях и их права доступа.
Права доступа задаются на декартовом произведении множества виртуальных
организаций и ресурсов.
Клиент обращается к CAS/VOMS-серверу, получает список своих прав доступа и
членство в виртуальных организациях, подписанный CAS/VOMS-сервером, и после
этого отправляет этот список провайдеру ресурсов.
Провайдер проверяет, доверяет ли он этому CAS/VOMS-серверу, и, если проверка
прошла успешно, предоставляет пользователю необходимые права доступа.
50
МАТЕМАТИЧЕСКАЯ МОДЕЛЬ КОНТРОЛЯ И УПРАВЛЕНИЯ
ДОСТУПОМ ДЛЯ СИСТЕМ РАСПРЕДЕЛЕННЫХ
ВЫЧИСЛЕНИЙ
1.
Функция проверки доступа к объекту файловой системы:
HasFSOAccessRight(U, RP, FSO, AccessRights) → {0, 1},
2.
Функция проверки доступа к вычислительному ресурсу
HasCompAccessRight(U, RP) → {0, 1},
где
U – множество пользователей системы
RP – множество провайдеров ресурсов
FSO – множество объектов файловой системы
AccessRights – множество прав доступа
3.
Функция проверки доступа к Web-сервисам
HasWSAccessRight(U, RP, WS, WSOp, WSProp, WSPropRights) → {0, 1},
где
WS – множество Web-сервисов
WSOp – множество операций Web-сервисов
WSProp – множество свойств Web-сервисов
WSPropRights – множество прав доступа к свойствам Web-сервисов
51
МЕТОД ВЕРИФИКАЦИИ ТРЕБОВАНИЙ
ПОЛИТИК ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

Сбор состояния системы, получение характеристик:




пользователей (сертификат, список отозванных сертификатов,
список доверенных центров выдачи сертификатов и т.п.);
CAS/VOMS-сервера;
провайдера ресурсов.
Метод заключается в том, что к каждому состоянию
системы применяется формализованная функция
проверки доступа для определения факта выполнения
требований политики безопасности
52
ВЕРИФИКАЦИЯ ПОЛИТИК ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ. ПАРАМЕТРЫ КОНТРОЛЯ
ДОСТУПА
Состояние
VOMSсервер
Провайдер
ресурса
Сертификат
Пользователь
Доверенные
центры выдачи
сертификатов
Список
отозванных
сертификатов
Текущее
время
<VOs,
Caps,
Roles>
Сертификат
Сертификат
Проксисертификат
Список
отозванных
сертификатов
Список
VOMSсерверов
Доверенные
центры выдачи
сертификатов
Членство
пользователей в
группах
Текущее
время
Содержимое
(gridmap /
VOMS)-файла
Список
отозванных
сертификатов
Доверенные
центры выдачи
сертификатов
Текущее
время
Тип
авторизации
(gridmap /
VOMS)
Список
доверенных
VOMSсерверов
Список
пользователей
Свойства
запрашиваемого
объекта
Список
суперпользователей
53
РЕЗУЛЬТАТЫ

Модель контроля и управления доступом в
системах распределенных вычислений

Метод верификации политик информационной
безопасности

Система автоматизированного управления
безопасностью в системах распределенных
вычислений

Технология управления информационной
безопасностью для систем распределенных
вычислений
54
Кибертерроризм и новые задачи
компьютерной безопасности
1. Изменение
предмета
защиты.
Информация
(данные)  команды управления  технические
подсистемы или агрегаты.
2. Изменение
содержания
терминов
конфиденциальность, доступность, целостность.
3. Создание новых классификаций нарушителя,
моделей политики безопасности, переход от
доказательной безопасности к допустимому
состоянию.
4. Обеспечение безопасности в условиях разрыва
среды хранения, обработки и передачи данных в
распределенных и облачных системах.
5. Обеспечение безопасности суперкомпьютерных
систем. Устойчивость защиты к атакам со стороны
суперкомпьютеров и квантовых компьютеров.
Тысяча путей уводит от цели и лишь один ведет к ней.
56
Мишель Эйкем де Монтень
«ДОРОЖНАЯ КАРТА» ВНЕДРЕНИЯ ТЕХНОЛОГИИ
ВИРТУАЛИЗАЦИИ ПРИ РЕШЕНИИ
ЗАДАЧ ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ

Принятие



открытости (связи с сетью Интернет)
эластичности (динамического перераспределения ресурсов)
масштабируемости (разрыва сред хранения, обработки и передачи
данных)
как неотъемлемых свойств современных инфосистем

Формирование понятия изолированной критической среды
как эквивалента доверенной среды

Создание новых средств и систем кибербезопасности с
учетом свойств современных инфосистем и критических
сред
57
СЦЗИ, кафедра ИБКС
ФГБОУ ВПО «СПбГПУ»
Санкт-Петербург, ул.Политехническая, д.29, Главное
здание, К. 173
тел: +7(812) 552-64-89,
552-76-32
Web: HTTP://IBKS.FTK.SPBSTU.RU
E-mail: ZEG@ IBKS.FTK.SPBSTU.RU
58