-►
Инфокоммуникационные технологии
УДК 004.056
В.С. Заборовский, А.А. Лукашин СИСТЕМА КОНТРОЛЯ ДОСТУПА В СРЕДЕ ОБЛАЧНЫХ ВЫЧИСЛЕНИЙ
Развитие современной информационной инфраструктуры идет по пути создания высокопроизводительных центров обработки данных (ЦОД), применения технологии виртуализации и организации на ее основе сервисов облачных вычислений (ОВ). Использование технологии ОВ обеспечивает повышение эффективности функционирования ЦОД, однако предъявляет повышенные требования к системе защиты информации и средствам контроля доступа (КД) [1]. Эти требования должны учитывать динамический характер использования информационно-вычислительных ресурсов, которые в среде ОВ разделяются между пользователями и сервисами в соответствии с требованиями политики информационной безопасности (ПИБ).
В статье развивается сетецентрический подход к решению задачи контроля доступа в среде ОВ, в рамках которого осуществимость операций доступа, например чтения или записи, контролируется с помощью управления величиной пропускной способности виртуальных соединений (ВС), участвующих в реализации этих операций [2, 3]. Таким образом, в предложенной модели условию запрета соответствует использование для операции доступа ВС с нулевой пропускной способностью. Для формализации описания данной модели доступа предлагается аппарат теории категорий, а в качестве средства реализации ПИБ и устройств управления пропускной способностью ВС - межсетевые экраны (МСЭ), функционирующие в режиме полной скрытной фильтрации и представляющие собой новый класс сервисов среды ОВ.
Особенности системы КД в среде ОВ
Системы КД, реализуемые в рамках подхода AAA (Authentication, Authorization, Accounting), оправдано применять тогда, когда условия доступа к информационным ресурсам описываются
с помощью предикатных отношений или булевых функций (полиномов) со свободными параметрами. Однако в условиях динамически изменяющейся конфигурации информационно-сетевых ресурсов реализация требований мандатных, дискреционных и ролевых ПИБ не позволяет контролировать такие аспекты безопасности, которые являются следствием информационной связанности субъектов и объектов сетевого взаимодействия. Эти аспекты проявляются тогда, когда необходимо учитывать:
• условия ситуационной осведомленности, связанные с необходимостью непрерывной актуализации состояния субъектов и объектов информационного взаимодействия;
• риски нарушения ПИБ, являющиеся следствием динамического изменения параметров и состояния ВС (технологических и информационных);
• нелокальный характер хранения информационных ресурсов пиринговых одноранговых (Р2Р) и гибридных файлообменных сетей.
Среда ОВ характеризуется динамически изменяющимся набором вычислительных ресурсов - виртуальных машин, контейнеров приложений и программных сервисов, находящихся под управлением большого числа (сравнимого с количеством ресурсов) пользователей. Важной особенностью среды ОВ является то, что ресурсы виртуализованы и разделяют между собой аппаратную платформу, управление ими доступно только в удаленном режиме, по сети, без возможности непосредственного физического доступа к ним. Система контроля доступа в среде ОВ должна учитывать особенности таких систем, уметь реконфигурироваться в процессе функционирования - постоянно актуализировать ПИБ, запрашивать дополнительные аппаратные средства при высокой нагрузке и обладать сетью связи для
координированных действии в распределенной среде ОВ.
Для решения перечисленных выше задач и проблем является обоснованным использование сетецентрической системы защиты [2]. Применительно к задаче контроля доступа под такой системой понимается связанная сеть межсетевых экранов, осуществляющих фильтрацию трафика в узлах облака на основе правил фильтрации. Каждый межсетевой экран системы принимает локальное решение о возможности доступа субъекта к объекту на основе имеющихся у него данных. Данные в виде правил фильтрации непрерывно актуализируются путем информационного обмена между МСЭ и сервисом защиты, располагающем данными о состоянии системы в целом и текущей ПИБ. Процесс преобразования ПИБ, выраженной, например, в модели ОгВАС, в правила фильтрации (ПФ), назовем трансляцией ПИБ. Сформулируем свойства системы защиты, которые служат носителями сетецентричности:
1) локальность действий компонент системы;
2) информационная связанность компонент;
3) целостность решаемой задачи.
В рассматриваемом случае компонентом системы является межсетевой экран, который на основе имеющихся у него сведений принимает решение о разрешении или запрете информационного взаимодействия в форме контроля ВС. Решение принимается локально, в конкретной зоне влияния МСЭ. Информационная связанность -важнейший аспект сетецентрической системы, все компоненты должны быть объединены в общую сеть, и информация о состоянии защищаемой сетевой среды должна непрерывно актуализироваться. Информационная связанность компонент позволяет построить самоорганизующуюся систему, обладающую возможностью реконфигурации и перераспределения нагрузки между компонентами. Решение задачи контроля доступа должно осуществляться согласованно, и совокупность локальных решений должна быть целостной с точки зрения рассматриваемой ПИБ. Свойство целостности можно также рассматривать с точки зрения эмерджентности системы защиты, каждый МСЭ решает задачи, которые не обеспечивают полное выполнение ПИБ, а лишь ее часть, однако совокупность принятых решений
Среда ОВ с интегрированной системой КД
обеспечивает полное выполнение ПИБ и является эмерджентной характеристикой.
На рисунке представлена высокоуровневая архитектура рассматриваемой в статье системы контроля доступа в среде ОВ. Контроль информационного взаимодействия осуществляется виртуальными машинами с программным обеспечением межсетевого экрана (ВМ МЭ), которые запущены внутри гипервизоров среды ОВ. Виртуализованный МСЭ подключается к сетевой подсистеме гипервизора и осуществляет фильтрацию ВС между виртуальными ресурсами и внешними по отношению к гипервизору соединениями. Технические характеристики системы контроля доступа и исследование производительности виртуализованных МСЭ представлены в работе [4]. Исследования производительности показали, что МСЭ могут эффективно применяться в виртуальной среде, при этом применяемые алгоритмы фильтрации и сетевая подсистема Netgraph позволяют организовать параллельную обработку сетевого трафика. При использовании паравиртуализованных драйверов в операционной системе виртуализованного МСЭ спад производительности незначителен, около 10 %, по сравнению с программно-аппаратным решением. В то же время описываемая система контроля доступа использует вычислительные ресурсы ги-первизора, у каждого гипервизора среды ОВ будет дополнительно занято 1-2 Гб ОЗУ и от одного до восьми вычислительных ядер, что приводит к снижению максимально возможного количества запущенных облачных ресурсов.
Описание процессов взаимодействия в среде ОВ
Следуя [5], для формализации требований ПИБ будем использовать параметрические модели описания субъекта s, действия d и объекта о информационного взаимодействия. Параметры этих моделей являются несущими множествами состояний ВС, которые с точки зрения требований ПИБ относятся к категории разрешенных или запрещенных состояний. Параметрического описания достаточно, чтобы представить различные ПИБ, в которых операциям доступа к информационным ресурсам сопоставляются предикатные условия, составленные относительно множества свободных переменных, входящих в описание упомянутых выше моделей. Однако отмеченный выше динамический характер процессов инфор-
мационного взаимодействия требует рассмотрения их свойств с точки зрения не только параметрического соответствия требованиям ПИБ, но и процессов перехода ВС из одних возможных состояний в другие. Для этого перейдем к использованию моделей, основанных на формализме теории категорий. Введем категорию ВС catIC, для каждой пары объектов (A, B) которой определим множество морфизмов Hom(A,B) или отношений, свойства которых не зависят от внутренней структуры самих этих объектов. Объекты категории ВС назовем информационными виртуальными соединениями (ИВС), для которых морфизмы задаются совокупностью транспортных виртуальных соединений (ТВС), реализуемых с помощью транспортных протоколов, таких, как TCP и UDP. Объекты категории ВС, или множество ИВС, задают соответствующий класс информационных сервисов, для которых заданы требования ПИБ. Примером ИВС может служить сессия пользователя веб ресурса gmail, или загрузка файла по протоколу ftp.
С точки зрения ПИБ объекты категории ВС могут принадлежать классу, в который входят три макросостояния:
1) разрешенные ВС, РВС;
2) запрещенные ВС, ЗВС;
3) неопределенные ВС, НВС.
Объекты категории ВС, или ИВС, принадлежащие к одному макросостоянию, обладают общим признаком, который является вычислимой функцией параметров, образующих ИВС различных ТВС. Заметим, что хотя объекты категории ВС имеют различные структуры, связанные с особенностями сервисов среды ОВ, но их свойства, влияющие на требования ПБ, определяются параметрами заголовков или тела пакетов ТВС. Эти параметры должны удовлетворять свойствам связанности, целостности и устойчивости по отношению к сигнатуре используемых протоколов, поэтому могут контролироваться межсетевыми экранами, функционирующими в режиме скрытной фильтрации.
Сетецентрическая модель разграничения доступа
Введенная выше категория ВС в дальнейшем будет применяться для формализации сетецен-трической модели КД. Основу модели составляет несущее множество макросостояний, объекты которого входят в класс понятий, используемых для
формализации описания ПИБ. Задача, решаемая в системе КД с помощью межсетевых экранов, состоит в том, чтобы вычислить конкретное макросостояние, в котором находятся объекты категории ВС данный момент времени, используя для этого информацию о ТВС и ПИБ, а также данные о структуре сети и характеристиках субъектов информационного взаимодействия. Переход ИВС в одно из возможных макросостояний определяет динамику информационных процессов и может контролироваться с МСЭ с помощью применения правил фильтрации к образующим информационное соединение ТВС.
Таким образом, сетецентрическая модель КД представляется с помощью категории ВС, объединяющей класс объектов (ИВС) и класс морфиз-мов (ТВС). Переходы между макросостояниями контролируются МСЭ с помощью правил фильтрации, полученных в результате трансляции заданной ПИБ. Для того чтобы представить отношения между ИВС и ПФ введем категорию правил фильтрации CatF, объектами которой являются подмножества ПФ, каждое из которых определяет макросостояние ИВС. Введем функтор funcICF: catIC ^ catF , который осуществляет перевод объекта категории ВС в объект категории ПФ. Контроль макросостояния ИВС сводится к контролю объекта категории ПФ, т. е. к контролю набора правил фильтрации. На программном уровне указанный функтор представляет собой ассоциативный массив или хеш-таблицу связей между ПФ и ИВС.
Рассмотрим среду ОВ как совокупность взаимодействующих объектов. Разделим эту совокупность на три плоскости - плоскость данных (data plane), плоскость управления (control plane) и плоскость фильтрации (security plane), каждая из которых представлена выделенной сетью связи.
Плоскость данных. Все внутренние ресурсы среды ОВ представим множеством объектов:
О = (о,.}, i = 1..n,
где n - число сущностей, используемых для формирования ПИБ. Субъектами считаются те объекты, которые инициируют обмен данными или инициировали такой обмен ранее, но в рассматриваемый момент времени ti находятся в незавершенной стадии информационного обмена. Множество объектов среды ОВ можно разбить на три составляющих:
O(t,) = S (t,. )U P(t, )U N (t,.),
где S - множество активных объектов или субъектов (Subjects); P - множество объектов - источников данных (Providers); N - множество объектов, не участвующих в информационном обмене (Nonparticipating). Каждый объект среды ОВ принадлежит одному ресурсу г е R , где R - множество ресурсов или сервисов среды ОВ. Под ресурсом среды ОВ понимается виртуальная машина (ВМ), запущенная на одном из серверов облака и находящаяся под контролем гипервизора.
Соответствие объектов и ресурсов формально задается ассоциативным массивом arrR:
Vo е 0,3r е R : arrR(o) = r.
Для МСЭ в среде ОВ ресурс идентифицируется сетевыми адресами Ar = {ar, er}, где аг еА, А - множество адресов сетевых сегментов, входящих в среду ОВ, er е E, E - множество адресов, с помощью которых объект идентифицируется для сегментов, не входящих в среду ОВ. Другими словами, это внутренний и внешний IP адрес ресурса. ПИБ представляет множество ПФ Rules(U£>, O) = = {rulk}, к = 1..s. Пусть некоторое ИВС с индексом j состоит из множества ТВС: ИВС. = (ТВС}ивс. Подмножество ПФ, задающих макросостояние заданного ИВС, является объектом категории ПФ и доступно через функтор funcICF. Функция контроля ИВС выглядит следующим образом: F(Rules,{ТВС}ИВС, О) = (1, 0, *}. Значение «1» соответствует макросостоянию разрешенных соединений, «0» - макросостоянию запрещенных соединений, «*» - макросостоянию неопределенных, фоновых соединений. Если функция контроля j-го ИВС в предыдущие моменты времени t .. имела значение «1» или «*», но в результате изменения состояния облака, изменения множества правил фильтрации или открытия запрещенного ТВС принимает значение «0», то ИВС переходит в макросостояние запрещенных соединений, пропускная способность ТВС уменьшается до нуля, сетевое взаимодействие прекращается.
Плоскость управления. В плоскость управления входят программно-аппаратные системы, управляющие ресурсами среды ОВ, к которым относятся гипервизоры, средства хранения образов, управляющий сервис облака, хранилище пользовательских объектов и вспомогательные сервера (базы данных, очередей заявок, авторизации и аутентификации). Все системы функционируют в управляющей сети, а взаимодействие осуществляется путем вызова веб-сервисов.
По управляющей сети передаются следующие основные команды:
1) управление жизненным циклом виртуальной машины
™стл = , яЮРт, рашет };
2) управление пользовательскими данными ааЧтл = {стесае^, т^, getoЬj, ира^е^ };
3) управление образами ВМ
¡таёестЛ = {иР1оаатт1,, , аеШе тт!, } .
Команды реализуются в рамках ИВС, принадлежащих категории «разрешенные». ИВС, принадлежащие плоскости управления, порождают ИВС в плоскости данных и по команде, например, запуска новой виртуальной машины, осуществляют генерацию правил фильтрации на основе метаданных запроса и информации о других запущенных в облаке ресурсов. Таким образом достигается согласованность и целостность системы защиты, локальное событие порождает изменение правил фильтрации во всех компонентах системы. Важным аспектом защищенности облачной среды является наличие выделенной сети, изолированной от плоскости данных. Но при этом передаваемые по данной сети управляющие сообщения должны находиться под контролем системы защиты.
Плоскость фильтрации. В плоскость фильтрации входит группировка МСЭ и сервис политики безопасности и оперативной обстановки (СПБИОП). Фильтрующую функцию осуществляют виртуальные межсетевые экраны, функционирующие в скрытном режиме, подключенные к виртуальным коммутаторам гипервизоров, и программно-аппаратные межсетевые экраны, установленные на границе сегментов облака. Виртуализованная сущность межсетевых экранов позволяет осуществить контроль трафика между виртуальными машинами. Управляющую функцию выполняет СПБИОП, который взаимодействует с компонентами облака и межсетевыми экранами, при изменении политики безопасности генерирует правила фильтрации и отправляет в МСЭ по управляющему каналу плоскости защиты [6]. Управляющий канал плоскости фильтрации представляет собой отдельную подсеть, недоступную для подсетей управления и ресурсов облака. Управление доступом осуществляется на
основе контроля виртуальных соединений (ВС) между субъектами и объектами. Интеграция МСЭ в облачную среду достигается путем запуска программного обеспечения экрана в виртуальной среде, подключенного к виртуальному коммутатору, который интегрируется с гипервизором. Виртуальный сетевой трафик коммутируется на порт коммутатора, к которому подключен входной интерфейс МСЭ, осуществляющий контроль сетевого трафика между ресурсами среды ОВ. Важной особенностью плоскости фильтрации является то, что МСЭ осуществляют контроль информационного взаимодействия в плоскости управления и в плоскости данных. Сеть плоскости фильтрации недоступна для других участников информационного взаимодействия. Получение информации об изменении состава облачных ресурсов можно реализовать двумя способами: координацией действий с использованием сервиса СПБИОП, который получает данные от управляющих серверов облака, а также осуществляет прослушивание управляющих сообщений в плоскости управления и информированием локально установленным МСЭ остальных компонент системы разграничения доступа.
В статье представлена формализация среды ОВ и системы контроля доступа. Модель системы контроля доступа с сетецентрическим подходом обобщена как категория, объединяющая класс объектов (класс состояний) и класс морфизмов (переходов между состояниями). КД осуществляется путем управления пропускной способностью ВС. Сетецентрический подход к организации системы разграничения доступом обеспечивает эффективность функционирования средств защиты за счет проверки в МСЭ только тех правил фильтрации, которые необходимы для РД между существующими в облаке ресурсами, а также согласованность функционирования всех компонент системы. Прозрачная интеграция средств контроля доступа обеспечивается благодаря возможности функционирования МСЭ в режиме «стелс», что освобождает от необходимости изменения топологии сетевой подсистемы облака. При этом средства контроля доступа остаются невидимыми для участников информационного обмена.
СПИСОК ЛИТЕРАТУРЫ
1. Cloud Security Alliance. Top Threats to Cloud доступа: https://cloudsecurityalliance.org/topthreats/ Computing. Март 2010 [Электронный ресурс] /Режим csathreats.vl.O.pdf (Дата обращения 09.07.2012)
2. Заборовский, В.С. Сетецентрическая модель и методы контроля доступа к информационным ресурсам в среде облачных вычислений [Текст] / В.С. Заборовский, А.А. Лукашин // Научно-технические ведомости СПбГПУ Сер. Информатика. Телекоммуникации. Управление. -2012. -№2 (145). -183 с.
3. Zaborovsky, V. Access Control in a Form of Active Queuing Management in Congested Network Environment [Text] / V. Zaborovsky, V. Mulukha // Proc. of the Tenth International Conf. on Networks, ICN 2011. -P. 12-17.
4. Lukashin, A. Dynamic Access Control Using Virtual Multicore Firewalls [Text] / A. Lukashin,
V. Zabo-rovsky // The Fourth International Conf. on Evolving Internet INTERNET 2012, Venice. -2012. -P. 37-43.
5. Гайдамакин, Н.А. Разграничение доступа к информации в компьютерных системах [Текст] / Н.А. Гайдамакин. -Екатеринбург: Изд-во Уральского ун-та, 2003. -328 с.
6. Zaborovsky, V. Dynamic Access Control in Cloud Services [Text] / V. Zaborovsky, A. Lukashin, S. Kupreenko, V. Mulukha // International Transactions on Systems Science and Applications. -2011. -Vol. 7. -№ 3/4. -P. 264-277.
УДК 004.94
Н.А. Осипов, Т.В. Зудилова, С.Э. Хоружников
ОБЛАЧНЫЕ ТЕХНОЛОГИИ ПРИ ОБРАБОТКЕ ДАННЫХ БОЛЬШОГО ОБЪЕМА
По мере роста производительности вычислительных систем исследователи получили дополнительные возможности при решении сложных задач, требующие в основном мощные аппаратные средства. Современный вычислительный эксперимент ориентирован в большей степени на данные и основан на неограниченных возможностях объема этих данных.
Для примера рассмотрим работу страховых компаний, в которых при выработке оптимальной стратегии страхования водителей собирается и оценивается разного рода статистика, в т. ч. пол, возраст, стаж водителя и множество других параметров, характеризующих человека за рулем, но все это косвенные оценки, не привязанные к конкретной личности [1]. С развитием современных средств связи появилась возможность устанавливать, например, в транспортном средстве блок с регистраторами и передатчиками, который ежесекундно, в режиме реального времени информирует о манере езды водителя, ускорениях при разгоне и торможении, скорости прохождения поворотов и др. параметрах. Обработка информации с регистраторов позволяет получать большие объемы данных, характеризующие поведение водителя за рулем. Анализ таких данных является более сложной задачей ввиду необходимости обработки больших объемов данных.
Применение аналогичных методов и средств в других предметных областях позволяет исследователям получать информацию в больших объемах, что неизбежно требует новых подходов к ее обработке и анализу. В литературе содержится описание подобных задач [1, 2], но не описаны методы их реализации на основе современных ИКТ.
Подобные исследовательские задачи решаются студентами факультета ИКТ НИУ ИТМО на практических занятиях по дисциплине «Моделирование инфокоммуникационных систем». Суммарный объем данных результатов моделирования сложных систем ввиду большого числа студентов и проведенных ими исследований превышает, как правило, несколько миллионов строк таблиц Excel. При применении стандартных подходов к обработке и анализу полученных данных требуются существенные вычислительные и временные ресурсы, которые нередко малоэффективны в решении актуальных задач моделирования из-за отсутствия надежности, разделения ресурсов, безопасности, использования старых вычислительных алгоритмов.
В статье рассматривается новый подход к решению задач обработки больших данных с использованием технологии облачных вычислений, при котором реализуется образовательная плат-