S piškotki izboljšujemo vašo uporabniško izkušnjo. Z uporabo naših storitev se strinjate z uporabo piškotkov. V redu Piškotki, ki jih uporabljamo Kaj so piškotki?
Domov » Sklopi » Dokumenti » D1.5.1: Navodila za avtentikacijo, avtorizacijo in sledenje

D1.5.1: Navodila za avtentikacijo, avtorizacijo in sledenje

Projekt in mejnik izročka: P1, M6

Povzetek

Zagotavljanje varnosti je eden izmed najbolj perečih problemov v računalništvu v oblaku. Uporabniki namreč zaupajo ponudnikom infrastrukture njihove neprecenljive podatke in prenašajo skrb za njihovo varnost platformi in ponudniku (razen ob uporabi lastne infrastrukture – privatni oblak), zato mora biti platforma, ki ponuja izrabo infrastrukture preko več ponudnikov temu primerno robustna in odporna na napake.
V pričujočem delu predstavimo in predlagamo osnovne mehanizme za zagotavljanje varnosti uporabnikov in storitev v oblačnih platformah, bolj specifično na platformi CLASS. Opišemo funkcionalnosti, ki jih morajo zagotavljati varnostne storitve za registracijo, avtentikacijo, avtorizacijo in sledenje dogodkov.
Registracija in avtentikacija uporabnika vsebuje mehanizme za zagotavljati pravilnost podatkov o uporabniku in preprečiti potvarjanje identitete. V začetku dela predstavimo upravljanje z identitetami, osnovne funkcionalnosti sistema za uporavljanje z identitetami ter opozorimo na težave, na katere morajo biti pozorni ponudniki pri ravnanji z identitetami. Opišemo in primerjamo obstoječe rešitve za upravljanje z uporabniškimi identitami ter se osredotočimo tudi na obstoječe standarde. Opišemo orodje za izmenjavo informacij za overjanje SAML (angl. Security Assertion Mark-up Language) organizacije OASIS. Predstavimo tudi lastnosti imenikov uporabnikov in kako zaščititi hrambo uporabniških atributov, ki služijo kot uporabniški podatki za identifikacijo in preslikavo identitete uporabnika na več virtualnih identitet (uporabnik na nivoju federacije mora biti enolično preslikan na uporabnika znotraj ponudnika – en uporabnik federacije je lahko uporabnik pri večih ponudnikih).
V nadaljevanju predstavimo storitve za izdajo certifikatov in splošno arhitekturo PKI. Predlagamo storitev »upravljalca certificiranja uporabnikov« (UPC), ki skrbi za izdajo uporabniškega certifikata uporabniku sistema. Poleg tega moramo v sistemu poskrbeti za mehanizme avtorizacije in beleženje dostopa. Opišemo nekaj obstoječih rešitev in predlagamo arhitekturo omenjenih sistemov.
V poglavju o upravljanju pravic dostopa do infrastrukture poglobljeno analiziramo postopek avtorizacije uporabniških storitev ter predstavimo nekaj obstoječih avtentikacijskih tehnologij. Opišemo model RBAC ter kodiranje pravil dostopa v jeziku XACML. Navedemo tudi nekaj temeljnih implementacijskih korakov mehanizmov za avtorizacijo dostopov v platformi CLASS.
Pri interakciji uporabnika in storitev platforme CLASS se avtentikacija, avtorizacija in sledenje dostopov in izvajanj močno prepletajo. Zato mora biti platforma robustna, skalabilna in odporna na napake. V četrtem poglavju opišemo mehanizme za zanesljivost in razpoložljivost storitev ter pri posameznih komponentah te rešitve tudi realiziramo. Težave, ki nastopajo pri mrežnih/oblačnih storitvah pod velikimi bremeni in pogoji, ki jih skleneta ponudnik in odjemalec s pogodbo SLA, tudi sistematično opišemo in predlagamo rešitve.
V zaključku povzamemo napisane rešitve in predlagamo nadaljnje delo na mehanizmih varnostnih storitvah.