CC BY
54
-►
Математическое моделирование: методы, алгоритмы, технологии
УДК 004.75
В.С. Заборовский, А.А. Лукашин
сетецентрическая модель и методы контроля доступа к информационным ресурсам в среде облачных
вычислений
Постоянно увеличивающиеся скорость процессов сетевого обмена и широкое использование сервис-ориентированной архитектуры предъявляют высокие требования к эффективности функционирования систем контроля доступа (КД) к информационным ресурсам. Так, наряду с управлением процессами авторизации и аутентификации в среде облачных вычислений (ОВ) системы КД должны снижать риски нарушения политики информационной безопасности (ПИБ), связанные с применением технологий виртуализации и динамическим характером предоставляемого набора информационных сервисов.
Однако системы информационной безопасности (ИБ), реализуемые в рамках подхода AAA (Authentication, Authorization, Accounting) на основе мандатных, дискреционных и ролевых моделей доступа, не в полной мере учитывают требования адаптации информационных сервисов к динамически изменяющейся конфигурации сетевых ресурсов. В [1] показано, что такие системы позволяют эффективно реализовывать требования ПИБ только тогда, когда отношения между субъектами и объектами информационного взаимодействия описываются с помощью простых предикатных отношений или бинарных характеристических функций доступа (ХФД). В результате за рамками возможностей систем ИБ остаются такие аспекты контроля доступа, которые являются следствием сетевой связанности субъектов и объектов информационного взаимодействия.
Учитывая это, в статье рассматривается новый класс моделей КД, основанный на так называемом сетецентрическом подходе [2, 3]. Предложенная модель позволяет реализовать методы
КД, ориентированные на использование группировок межсетевых экранов (МСЭ), работающих в режиме полной скрытной фильтрации [4] в среде ОВ.
Сетецентрический подход к задачам КД в среде ОВ
Сетецентричность - это принцип организации систем информационного взаимодействия, опирающийся на распределенную мультисервисную сеть связи, обеспечивая:
1) режим ситуационной осведомленности, основанный на непрерывной актуализации источников данных о состоянии информационных ресурсов;
2) поддержание целостного состояния сетевой среды или оценки рисков нарушения ее целостности;
3) использование для целей управления как локальных, так и пространственно-удаленных информационно-вычислительных ресурсов.
Таким образом, носителями свойства сетецен-тричности можно считать методы идентификации состояния и средства реализации механизмов информационного обмена в сетевой среде, а сама сетецентричность обеспечивает возможность управления процессами сетевого взаимодействия по интегральным критериям, используя для этого пространственные, временные, масштабные, тематические и контекстные характеристики. Применительно к задаче КД в среде ОВ сетецентрич-ность расширяет возможности поддержания в актуальном состоянии описания информационно-вычислительных ресурсов, необходимого для формирования динамических оценок рисков нарушения требований выбранной ПБ.
Среда ОВ является динамической системой [4], поэтому классические системы КД, основанные на описании процессов информационного взаимодействия с помощью ХФД, принимающих в пространстве возможных состояний информационных процессов значения из множества {0,1}, не могут эффективно использоваться для контроля доступа к сервисам и вычислительным ресурсам, для которых требования ИБ формируются в терминах оценки рисков нарушения ПБ. В рамках сетецентрического подхода ХФД в зависимости от состояния объектов и субъектов информационного взаимодействия может принимать значения из интервала [0,1], а ее конкретное числовое значение - изменяться во времени.
Рассматриваемые ниже методы учета факторов рисков и оценки их значимости применительно к событиям нарушения ПБ существенно учитывают особенности организации информационного обмена, представленного совокупностью информационных (ИВС) и технологических (ТВС) виртуальных соединений в рамках модели «субъект-действие-объект» (рис. 1). Другими словами, действие, реализующее доступ субъекта к объекту в среде ОВ, трактуется не как однозначное решение о возможности обмена данными для реализации сервиса, организованного в форме ИВС, а оценивается с позиций риска нарушения ПИБ. При этом величина риска определяет долю пропускной способности, выделенную системой КД для ТВС. В этом случае запрет доступа означает нулевую пропускную способность ТВС, а разрешение на доступ с нулевым риском - выделение пропускной способности в соответствии с принципом best effort. Например, операцию информационного обмена можно связать с действием, которое приводит к отправке запроса и получения ответа по протоколу HTTP или обмену данными между клиентом и сервером в рамках сессии, принадлежащей тому или иному прикладному протоколу.
Формализация модели реализации действий, представленная в [5], позволяет связать характеристики ТВС с параметрами протоколов транспортного уровня, например TCP или UDP. Таким образом, действие характеризует процесс информационного обмена и описывается с помощью модели ИВС. Однако в соответствии с сетецентрическим подходом, действие как процесс передачи данных может быть совершено в рамках как одного, так и нескольких ТВС. В свою
-Дзйствие (ИВС) 1-
-Действие (HBQ 2-J
-Дйствиё (HBQ п- .
Рис. 1. Взаимодействие объекта и субъекта
очередь, в рамках одного ТВС может быть совершено несколько действий, представленных различными моделями ИВС. Например, в спецификации протокола HTTP (RFC 2616) указывается, что обмен сообщениями может осуществляться в рамках одной TCP сессии (механизм persistent connections), но действия могут быть различными, в т. ч. объекты информационного взаимодействия могут быть разными. При этом одно ИВС может использовать несколько ТВС, например, передача файла по протоколу ftp осуществляется с помощью двух TCP соединений: одно управляющее, другое для передачи данных.
В результате описание системы КД может быть задана в виде следующей совокупности атрибутов {O, S, R, N, t}, где O - множество объектов; S - множество субъектов; R - множество отношений, включающее подмножества отношений вида субъект-субъект, субъект-объект, объект-объект; tk - текущий момент времени. Множества O, S и R меняются с течением времени. Множество N -это множество операций управления доступом, в которое входят операции управления пропускной способностью соединения и полный запрет соединения. Подмножество средств, реализующих операции из N - это группировка МСЭ, которая осуществляет согласованное управление доступом в среде ОВ.
В рамках развиваемой модели предоставление права доступа к ресурсам, включающим в себя различные технические средства, предназначенные для хранения и обработки данных, в т. ч. программное обеспечение (сервисы), доступное в режиме онлайн или по требованию, не должно определяться исключительно на основе простого сравнения между (атрибутами) объектов O и правами субъекта S.
На разрешение или запрет доступа могут влиять статически заданные связи и установленные ТВС рассматриваемых субъекта и объекта с другими субъектами и объектами системы. Для описания информационного взаимодействия компонент среды ОВ предлагается многоуровневая сетевая модель, содержащая отношения субъект-субъект, объект-объект и субъект-объект, в
Рис. 2. Связи между субъектами и объектами
которой заданы как внутрисетевые, так и межсетевые отношения (рис. 2). Отношения объект-объект заданы как сеть объектов с топологией графа, Оа = (О, Ьо е Я), состоящего из узлов О и связей Ь . Аналогично, сеть субъектов задана в виде графа 0!, = (О, Ь$ е Я), описывающего взаимосвязи между субъектами. Связи между субъектами и объектами заданы в виде е Я .
Каждая внутрисетевая или межсетевая связь имеет два атрибута доступа:
1. Потенциальная возможность доступа (осуществления действия) К!(si ^ о) = {0,1}. Атрибут принимает значение нуль (доступ запрещен) или единица (доступ потенциально разрешен) и задается при описании ПИБ, например: менеджеру из отдела продаж разрешен доступ к сервису размещения заявок. Данный атрибут также может быть определен исходя из используемой модели контроля доступа, например КВАС или, мандатной модели Белла-Ла-Падула.
2. Величина функции риска принимает значения из интервала и может трактоваться как вероятность нарушения ПБ субъектом среды ОВ: ФР (sj ^ о) = [0..1], т. е. значение атрибута находится в диапазоне от нуля до единицы и характеризует долю пропускной способности виртуального соединения, используемого для доступа субъекта к информационному ресурсу с помощью ВС. Данная оценка изменяется в зависимости от ситуации в среде ОВ и основывается на анализе характеристик ИВС и ТВС с учетом того, что в рамках одного ТВС может выполняться несколько разных действий, принадлежащих разным ИВС.
Рассмотрим пример: пользователь s установил
TCP соединение с веб-приложением, которое содержит сервис получения информации о заявках заявок o1 и сервис выдачи заявке нового статуса o2. Пусть сервисы имеют RESTful интерфейс [6], позволяющий применить заданные методы HTTP к определенному URI. Пусть, согласно ПИБ, пользователь может применять метод GET к URI сервиса получения информации о заявке и не может применять никакие методы к сервису обновления статуса заявки. Тогда если пользователь в рамках установленного соединения обращается к первому сервису заданным способом (разрешенный запрос), то наличие потенциальной возможности осуществления в рамках того же технологического TCP соединения попытки инициировать связь s ^ o2 влияет на значение функции ФР (s ^ о1).
Связи R между объектами и субъектами могут быть заданы в виде множества ТВС и ИВС, связанных друг с другом. ФР оценивается путем анализа существующих ИВС и ТВС в среде ОВ.
Введем следующие параметры для оценки функции риска {IVC, TVC, T, F, tk}. IVC - множество информационных виртуальных соединений; TVC - множество технических виртуальных соединений; tk - текущий отсчет времени; F - ПБ в виде правил фильтрации ТВС и ИВС; T - таблица соответствия ТВС и ИВС. Таблица содержит пары < ivc., tvcj >, обозначающие принадлежность /-го ИВС j-му ТВС. С помощью таблицы задается связь многие-ко-многим между ИВС и ТВС. Введем обозначения get_ivc_by_tvcx x(tvc, F) - операция получения множества ИВС, которые могут быть выполнены в рамках заданного ТВС, get_tvc_by_ivc(ivc, T) - операция получения списка ТВС, задействованных в заданном ИВС и get_tvc_by_obj(ok) - получение множества ТВС, инициированных каким-либо субъектом через объект ok.
Для анализа ФР действия субъекта s, который через объект среды ОВ ok осуществляет действие по отношению к объекту ot c помощью ivc. необходимо найти множество ТВС, созданных путем действия через объект ok: TVC =get_tvc_by_obj(ok) и множество ИВС:
IVC =U get_ivc_by_tvcx
j
x(get_tvc_by_obj(Ok) j, F) x
x^J get_ivc_by_tvc x x(get_tvc_by_ivc(ivc.., T), F).
Таким образом, можно получить множество
возможных ИВС, которые могут быть совершены или совершаются в рамках множества существующих ТВС заданного объекта ок. Понятно, что не обязательно все данные ИВС выполнялись когда-либо в среде ОВ и что среди указанных ИВС могут находиться запрещенные соединения. В качестве одной из возможных реализаций функции риска предлагается значение отношения количества запрещенных ИВС, т. е. не соответствующих ПБ, не выполняющих правила F, к общему количеству возможных ИВС:
live I
фр _ | °к _запрещ |
~ live | '
I I
Сетецентрическое управление доступом осуществляется с помощью управления пропускной способностью ТВС, в рамках которых осуществляется ИВС на основе значения ХФД, вычисленной для заданных субъекта и объекта.
Методы управления доступом в среде ОВ
Рассмотрим подход к реализации ПБ с помощью группировки МСЭ, работающих в режиме полной скрытной фильтрации. В группировку входят как аппаратные, так и виртуальные МСЭ, позволяющие контролировать взаимодействие между виртуальными машинами по линиям связи, формируемыми виртуальными коммутаторами, осуществлять защиту управляющих компонент и средств виртуализации среды ОВ от внутренних угроз [6].
Интеграция МСЭ в облачную среду достигается путем запуска программного обеспечения экрана в виртуальной машине с тремя сетевыми интерфейсами - фильтрующий входной, филь-
трующий выходной и управляющий. ВМ МЭ подключается к виртуальному коммутатору, который интегрируется с гипервизором. Виртуальный сетевой трафик коммутируется на порт коммутатора, к которому подключен входной интерфейс МСЭ, осуществляющий контроль ТВС и ИВС. Если ТВС между ВМ разрешено, то МСЭ осуществляет передачу трафика на второй сетевой интерфейс, откуда осуществляется коммутация трафика на порт назначения (рис. 3).
Система СПБИОП подключена к МСЭ и сервисам, осуществляющим управление средой ОВ, благодаря чему обеспечивается актуализация состояния облака в системе управления доступом, т. к. все операции управления жизненным циклом ВМ в среде ОВ осуществляются через обращение к сервисам управления средой ОВ. Отслеживаются все изменения ПБ, генерируются правила фильтрации и отправляются ВМ МСЭ, которые являются распределенными компонентами системы КД в среде ОВ.
Для организации сетецентричной системы КД в среде ОВ необходимо применить следующие методы:
1. Распределение средств защиты - МСЭ по компонентам среды ОВ, в которых осуществляется запуск ВМ и сервисов, - гипервизорам. Каждый виртуальный коммутатор гипервизора должен содержать МСЭ.
2. Управление группировкой МСЭ с помощью ПБ и оперативной обстановки (СПБИОП), содержащего ПИБ и состояние среды ОВ.
3. Виртуализация МСЭ. Запуск ПО МСЭ в виртуальной машине, подключенной к внутренним виртуальным коммутаторам гипервизора,
Рис. 3. Архитектура системы управления доступом в среде ОВ
для контроля взаимодействия ВМ среды ОВ.
4. Прозрачная интеграция средств защиты. Наличие системы КД не изменяет топологию сетевой подсистемы среды ОВ.
5. Скрытный режим управления ВС. Контроль осуществляется МСЭ, которые сами не являются субъектами и объектами информационного обмена. МСЭ должны осуществлять контроль ТВС и управление их пропускной способностью на основе ФР.
Сетецентричность предлагаемой системы КД заключается в следующем:
• ситуационная осведомленность достигается передачей информации системе СПБИОП об изменении состоянии среды ОВ от облачных управляющих сервисов;
• целостное состояние сетевой среды обеспечивается путем использования единых средств контроля всех сетевых соединений. Контроль осуществляется ВМ МСЭ, функционирующими в каждом гипервизоре среды ОВ;
• в качестве целей управления используются локальные средства защиты - ВМ МСЭ и удаленные - СПБИОП и сервисы среды ОВ.
В статье предложена сетецетрическая модель и методы КД в среде ОВ. Подробнее архитектура и реализация вычислительной облачной системы с интегрированной сетецентрической системой защиты описана в работах [3, 6]. По результатам ис-
следования сформулированы следующие выводы.
Предлагаемая модель сетецентричного управления доступом с помощью группы ВМ МСЭ позволяет организовать управление доступом в среде ОВ. Так как система защиты носит распределенный характер, предлагаемое решение обладает свойством масштабируемости, что является необходимым в облачных системах.
Модель не заменяет классические модели КД, а дополняет их путем ввода дополнительного анализа вычислительной среды и накладывает дополнительные условия на принятие решения о разрешении доступа путем управления пропускной способностью ТВС.
Важная особенность рассматриваемой системы защиты - возможность контроля ТВС и ИВС между ВМ, что неосуществимо с помощью классических средств разграничения доступа.
Предлагаемое решение может применяться не только в среде ОВ, но и в корпоративных сетях, особенно учитывая тенденцию переноса корпоративных сервисов в виртуальную инфраструктуру.
В рамках дальнейшей работы предлагаемую сетецентрическую модель управления доступом необходимо расширить и разработать методики расчета динамической оценки возможности доступа на основании связей между объектами и субъектами вычислительной среды в реальном времени с помощью контроля ВС в МСЭ.
список литературы
1. Ting Wang. Network-centric Access Control: Models and Techniques, 2010 [Электронный ресурс] I Wang Ting, Mudhakar Srivatsa, Dakshi Agrawal. - Режим доступа: http:IIciteseerx.ist.psu.eduIviewdocIdownload? doi=10.1.1.173.3712&rep=rep1&type=pdf
2. Amine Chigani. The Implications of Network-Centric Software Systems on Software Architecture: A Critical Evaluation [Text] I Chigani Amine, James D. Arthur. -Department of Computer Science. Virginia Polytechnic Institute and State University, Blacksburg, 2007.
3. Zaborovsky, V. Dynamic Access Control in Cloud Services [Text] I V. Zaborovsky, A. Lukashin, S. Kupreenko [et al.] II International Transactions on Systems Science and Applications. -Dec. 2011. -Vol. 7. -№ 3I4. -P. 2б4-277.
4. Zaborovsky, V. Access Control in a Form of Active Queuing Management in Congested Network Environment [Электронный ресурс] I V. Zaborovsky, V. Mulukha II
Proc. of The 10 International Conf. on Networks. -2011. - St. Maarten, The Netherlands Antilles, Jan. 23-28, 2011. -Published by XPS, 2011. -P.12-17. - Режим доступа: http://www.thinkmind.org/download.php?articleid=icn_20 11_1_30_10189
5. RFC 2616. Hypertext Transfer Protocol - HTTP/1.1 [Электронный ресурс] / Internet Engineering Task Force, Network Working Group. -Режим доступа: http://www. ietf.org/rfc/rfc2616.txt
6. Заборовский, В.С. Архитектура системы разграничения доступа к ресурсам гетерогенной вычислительной среды на основе контроля виртуальных соединений [Текст] / В.С. Заборовский, А.А. Лукашин, С.В. Купреенко [и др.] // Вестник УГАТУ Управление, вычислительная техника и информатика. -Уфа: Изд-во Уфимского авиационного технического ун-та, 2011. -Т. 15. -№ 5 (45).
