Žodis angliškai
Cloud computing security
Debesies duomenų saugumo užtikrinimas
Įvadas
Norint suprasti kas yra debesų kompiuterija svarbu įsigilinti į esminius dalykus tokius kaip debesies pasiekiamumas, struktūra, sistemos našumas ir saugumas. Šiame darbe aptarsime kas yra debesų kompiuterija bei pagrindinius saugumo reikalavimus. Vystantis debesų kompiuterijai vartotojai daugiausiai dėmesio skiria duomenų saugumui, kadangi dažnai yra saugoma konfidenciali asmeninė arba darbinė informacija, todėl vartotojai nenori, kad jų duomenys būtų pasiekiami tretiems asmenims. Taigi tiekėjui svarbu yra užtikrinti, kad saugomi duomenys būtų apsaugoti.
Panagrinėkime debesies saugumą atsižvelgdami į tris pagrindinius saugumo reikalavimus naudojamus tam tikslui, kad užtikrinti duomenų saugojimą, apsauga nuo peržiūros ir prisijungimo ryšio saugumą. Vartotojo duomenų saugumas užtikrinimas panaudojant HDFS technologiją, kuri užtikrina, kad saugomi duomenys bus pasiekiami vartotojui to prireikus. Duomenų apsauga draudžianti tretiems asmenims peržiūrėti saugomą informaciją panaudojant SAML technologiją, kuri užtikrina , kad neautentifikuotas vartotojas nepasieks jam neskirtų duomenų. Taip pat duomenų saugumui užtikrinti reikalingas patikimas ryšys, todėl daugelis privataus debesies vartotojų renkasi VPN technologiją siekiant apsaugoti savo duomenų perdavimą.
HDFS - saugomų duomenų saugumui užtikrinti
HDFS (The Hadoop Distributed File System) yra panaudojamas saugomiem duomenim debesyje saugoti ir tvarkyti. Šio protokolo privalumai yra tai kad jie nereikalauja didelio įrangos našumo yra patikimas bei su palengvintu administravimu. Šis protokolas sugeba susidoroti su dideliu kiekiu saugomos informacijos. Aptarkime HDFS protokolo architektūrą ir veikimo principą.
HDFS architektūra
Duomenų saugojimo protokolas yra pagrįstas vedantysis ir vedamasis principu. HDFS klusteris susideda iš vienos vardinio mazgo – vedančiojo serveris kuris tvarko duomenų saugojimo srautą, bei duomenų suskirstymą pagal vartotojus. Taip pat yra keli duomenų mazgai dažniausiai vienas arba du per klusterį. HDFS failų sistema suteikia galimybė saugomus duomenis paskirstyti tarp esamų duomenų mazgų. Vardinis mazgas savyje vartotojo duomenų nesaugo, jis atlieka tokius veiksmus kaip failų konvertavimas saugojimo formatu, duomenų pervadinimas, redagavimas (esant reikalui). Šis mazgas išskaido duomenis į blokus ir tik tada šie duomenys yra saugomi duomenų mazge. Duomenų mazgas atlieka tokius veiksmus kaip duomenų atidarymas tai yra pateikti ir leisti arba neleisti redaguoti vartotojui jo saugomus duomenis tada kai vartotojas pareikalauja. Taip pat šis mazgas atlieka suformuotų duomenų blokų saugojimą trinimą arba redagavimą priklausomai kaip yra nurodyta vardiniame mazge .
SAML – duomenų konfidencialumui
Standartų organizacijos OASIS sukurtas SAML (angl. Security Assertion Markup Language) [5] standartas skirtas turėti vieningą standartą skirtą perduoti saugos informaciją, kurį suprastų paslaugos, nepriklausomai nuo to kokia technologija jos realizuotos ir kokia yra įmonės saugos politika. SAML aprašo kaip turi būti pateikta autentifikavimo, autorizavimo ir atributų informacija, kuri gali būti panaudota paskirstytose architektūrose taip pat šis standartas yra pagrįstas XML schema ir aprašo kaip saugos informacija turi būti saugoma XML struktūrose.
SAML veikimo principas
SAML protokolas neatsako už saugomų duomenų saugumą. Šis protokolas yra atsakingas už SAML patvirtinimų perdavimą tarp vartotojo ir savininko, o taip pat nenurodo kaip turi veikti programos tačiau suteikia informacijos ką šios programos atlieka.
1. Vartotojo kreipimasis į autentifikavimo tarnybą: Vartotojas siunčia užklausą siekiant autentifikuotis autentifikavimo tarnyboje prašydamas jam kaip įrodymą išduoti autentifikavimo patvirtinimą (angl. SAML Assertion) 1linija. 2. Vartotojo užklausos apdorojimas: Po vartotojo kreipimosi į autentifikavimo stotį jo užklausa patenka į paslaugų tiekėjo organizaciją kartu perduodant autentifikavimo patvirtinimą. Tada tiekėjas patikrina ar patvirtinimas išduotas ir ar šis vartotojas yra įtrauktas į patikimų vartotojų sąrašą. Norint papildomai patikrinti vartotoją tiekėjas gali perduoti autentifikavimo patvirtinimą atributų tarnybai su prašymu suteikti papildomos informacijos . Tai atliekama iškilus abejonių dėl vartotojo autentifikacijos. : atributų tarnyba gražina kliento atributus atributų patvirtinime.
3. Paslaugos tiekėjas autorizuoja vartotoją: Iš autorizavimo tarnybos gaunamas vartotojo patvirtinimas. Kartu su patvirtinimu suteikiama informacija apie paslaugą kuria vartotojas nori pasinaudoti. Gavusi prašymą autorizavimo tarnyba sprendžia remadamasi turimais atributais leisti ar uždrausti prieiga vartotojui prie paslaugos. Savo sprendimą grąžina paslaugos tiekėjui kaip autorizavimo patvirtinimą (grant arba deny).
4. Paslaugos tiekėjas suteikia (arba ne) paslaugą: Apdorojus vartotojo užklausą ir tiekėjui gavus patvirtinimus iš autorizavimo stoties vartotojas gauna arba negauna prieigą prie norimos informacijos arba paslaugos.
VPN - sujungimo saugumas
Tam kad užtikrinti saugumą debesyje neužtenka tik apsaugoti duomenis saugomos viduje ir atlikti vartotojų autorizaciją. Nemažai svarbus faktorius yra prisijungimo tinklas prie debesies. Kaip jau žinome prisijungimui prie debesies naudojamas viešasis tinklas, o apsauga yra vartotojo ir tiekėjo pusėje, tačiau tai yra ganėtinai nesaugu kadangi įsiskverbus tarp vartotojo ir tiekėjo stočių duomenys gali būti perimti. Prisijungimo saugumui užtikrinti gali būti panaudotas prisijungimas per virtualų privatų tinklą (angl. Virtual point network) [6].
Virtualus privatus tinklas - atskirų nutolusių vienas nuo kito kompiuterinių tinklų sujungimas į vieną tinklą naudojant interneto ryšį. Tinklas yra organizuojamas ne tiesiogiai, o per internetą pasinaudojant VPN savybė sukurti privatų tunelį tarp dviejų stočių , kuris yra apsaugotas nuo nesankcionuoto prisijungimo iš išorės. VPN technologija leidžia saugiai ir greitai išplėsti organizacijos kompiuterinį tinklą, pasinaudojant pasauline interneto infrastruktūra. Privalumas yra tame, kad nereikia ieškoti skirtosios linijos nuo padalinio A iki padalinio B: abiejuose padaliniuose pakanka, kad būtų po VPN technologijos įrenginį ir interneto ryšį. Duomenys perduodami enkapsuliacijos būdu
VPN tuneliavimas
Tuneliavimas – tai procesas, kai vieno kompiuterinio tinklo protokolo paketo informacija yra „pernešama“ kitame pakete. šis procesas yra vadinamas enkapsuliacija. Paketų seka tarp dviejų galinių tinklo taškų vadinama tuneliu todėl, kad po to, kai enkapsuliuota informacija yra pašalinama, nutolę taškai tarsi tiesiogiai, be „tarpininkų“ keičiasi informacija vienas su kitu. Tuneliavimo dėka vienu protokolu galima „pernešti“ kito protokolo paketus, tačiau enkapsuliuoti paketai nebūtinai yra užkoduoti.
Enkapsuliacija taip pat prideda maršrutizavimo protokolo informaciją šalia kito tipo informacijos. Tai yra svarbu todėl, kad IP paketas, keliaudamas per eilė Interneto maršutizatorių, visada turi turėti gavėjo adresą, pagal kuri maršrutizatorius nusprendžia, kaip paketas turi keliauti toliau. VPN atveju, gavėjo adresas paprastai būna iš privačios adresų erdvės, todėl jei pakete nebėra papildomos maršrutizavimo informacijos, išsiųstas paketas paprasčiausiai gali nepasiekt gavėjo.
Tuneliui sukurti reikalingi trijų tipų protokolai: transporto, pernešimo ir vidinis. Transporto protokolas yra atsakingas už paketo persiuntimą tarp dviejų taškų . Šio protokolo paketai yra matomi abiems komunikuojančioms pusėms. Dažniausiai transporto protokolu yra pasirenkamas IP. Pernešimo, arba enkapsuliacijos, protokolas enkapsuliuoja vidinį protokolą ir juo siunčiamą informaciją. Pernešimo protokolas taip pat yra atsakingas už tunelio sukūrimą ir sunaikinimą. Vidinis protokolas yra tas protokolas, kuriuo bendrauja galiniai taškai arba jį aptarnaujami potinkliai. Tai gali būti tiek IP protokolas, tiek bet koks kitas. Svarbu paminėti, kad kiekviename VPN pakete yra pernešama visų trijų protokolų informacija. Tai yra būtina sąlyga tunelio egzistavimui. Pateiktame paveiksle matome tunelio modelį tarp siuntėjo ir gavėjo.
Naudota literatūra
1.Borko Furtht . Armando Escalante. Handbook of Cloud Computing. Psl. 21, Prieiga per internetą: http://books.google.lt/books?id=jLNGCPs6rr4C&printsec=frontcover&dq=cloud+computing+books&hl=lt&sa=X&ei=H3tvUealM87ntQaJooCABg&ved=0CC8Q6AEwAA#v=onepage&q=cloud%20computing%20books&f=false
2. Sara Qaisar. Kausar Fiaz Khawaja. CLOUD COMPUTING: NETWORK/SECURITY THREATS AND COUNTERMEASURES .INTERDISCIPLINARY JOURNAL OF CONTEMPORARY RESEARCH IN BUSINESS. January 2012 vol3,no9.
3. Dhruba Borthakur. HDFS Architecture Guide. 2008 The Apache Software Foundation. Prieiga per internetą: http://docsfiles.com/pdf_hdfs_architecture_guide.html
4. The Hadoop Distributed File System. Prieiga per internetą: http://developer.yahoo.com/hadoop/tutorial/module2.html
5. OASIS Security Services (SAML) TC. Prieiga per Internetą: http://www.oasis-open.org/committees/ tc_home.php?wg_abbrev=security
6. Priyanka Gupta, Ashok Verma. Concept of VPN on Cloud Computing for Elasticity by Simple Load Balancing Technique. International Journal of Engineering and Innovative Technology (IJEIT) Volume 1, Issue 5, May 2012. Prieiga per internetą: http://ijeit.com/vol%201/Issue%205/IJEIT1412201205_55.pdf