La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Www.eu-eela.eu E-science grid facility for Europe and Latin America Introducción al Grid Vanessa Hamar Grupo Grid Universidad de Los Andes.

Presentaciones similares


Presentación del tema: "Www.eu-eela.eu E-science grid facility for Europe and Latin America Introducción al Grid Vanessa Hamar Grupo Grid Universidad de Los Andes."— Transcripción de la presentación:

1 E-science grid facility for Europe and Latin America Introducción al Grid Vanessa Hamar Grupo Grid Universidad de Los Andes

2 Ambientes y Herramientas para la e-Investigación. Mérida, Contenido Ambientes Grid Requerimientos de Seguridad Manejo de usuarios Estado actual de la seguridad Infraestructura de seguridad en Grid Policy Management Authority Conclusiones

3 E-science grid facility for Europe and Latin America Ambientes Grid

4 Ambientes y Herramientas para la e-Investigación. Mérida, Introducción Los Grids computacionales han emergido con la finalidad de mejorar el rendimiento del sistema en su disponibilidad, escalabilidad, confiabilidad y seguridad mediante la integración de recursos heterogéneos compartidos.

5 Ambientes y Herramientas para la e-Investigación. Mérida, Idea La idea del Grid es muy parecida a una red eléctrica: –Cualquier hardware que tenga conexión a la red debe poder ser integrada al Grid. –La conexión es provista en cualquier lugar. –Altamente confiable (Todos los días a toda hora). –Se comparten recursos (hardware, software, data, dispositivos de almacenamiento). –Siempre existirá suficiente capacidad de calculo. –Es transparente al usuario. –Simple. –Disponible en cualquier momento.

6 Ambientes y Herramientas para la e-Investigación. Mérida, ¿ Qué es Grid? Un Grid Computacional es una forma de computación distribuida que comprende coordinar y compartir recursos, aplicaciones, datos, almacenamiento o recursos de red entre organizaciones dinámicas y geográficamente distribuidas.

7 Ambientes y Herramientas para la e-Investigación. Mérida, ¿Por qué hoy? Disponibilidad y confiabilidad en el ancho de banda, además, existe una red global, Internet. El almacenamiento de data se dobla cada 12 meses. El crecimiento dramático de información en línea (1 petabyte = 1000 terabyte = 1,000,000 gigabyte) –2000~0.5 petabyte –2005~10 petabytes –2010~100 petabytes –2015~1000 petabytes?

8 Ambientes y Herramientas para la e-Investigación. Mérida, Ventajas Aumentar la capacidad de procesamiento. Aprovechar los recursos de la organización de manera más eficiente Disminuye el tiempo de procesamiento. Almacenar gran cantidad de datos y compartirlos. Es una forma económica de incrementar los recursos en la organización. Procesadores Tiempo N1+N2 N3+N4 N7+N8 N(n-1)+Nn N5+N6 R1+N3R2+N4 R(n-1)+Nn R1+R2+…+RN

9 Ambientes y Herramientas para la e-Investigación. Mérida, Aplicaciones Cualquier ciencia cuyas necesidades comprendan: –Lograr una alta resolución en las imágenes. –Capturar y guarda información. –Simular para entender mejor la data. –Procesar data en tiempo real. –Hacer que esta data este disponible en cualquier parte del mundo. Con el Grid las colaboraciones son globales y la data es compartida –Simular, ya que es una herramienta altamente aceptada entre los científicos. e-Science

10 Ambientes y Herramientas para la e-Investigación. Mérida, ¿Que debe proveer? Autentificación Políticas de Autorización Descubrimiento de recursos Ubicación de recursos Acceso a data remota Alta velocidad de transferencia de data Manejo de Recursos Manejo de Fallas Monitoreo Garantizar el rendimiento Detección de intrusos Manejo de cuentas y pagos. Adaptación, etc.

11 Ambientes y Herramientas para la e-Investigación. Mérida, Conceptos relacionados Middleware en términos computacionales es utilizado para describir un agente que actúa como un intermediario, o como un miembro de un grupo de intermediarios, entre diferentes componentes en un proceso transaccional.

12 Ambientes y Herramientas para la e-Investigación. Mérida, Conceptos relacionados Entidad –Un usuario, un programa o una maquina. Credenciales –Alguna data que provea una prueba de identidad. Autentificación –Verifica la identidad de la entidad. Autorización –Mapea una entidad con algún conjunto de privilegios. Confidencialidad –Encripta el mensaje de tal manera que solo el receptor pueda entenderlo. Integridad –Asegura que el mensaje no haya sido alterado en la transmisión. No-repudiación –Imposibilidad de negar la autenticidad de una firma digital

13 Ambientes y Herramientas para la e-Investigación. Mérida, Componentes Poblaciones grandes y dinámicas Diferentes cuentas en diferentes sitios Data personal y confidencial Privilegios heterogéneos (roles) Single Sign-On Usuarios Data Patrones de acceso OrganizacionesVirtuales Sitios Recursos Heterogéneos Patrones de acceso Políticas locales Membership Grid

14 Ambientes y Herramientas para la e-Investigación. Mérida, Envío de trabajosReplicaCatalogue UI JDL Logging & Book-keeping ResourceBroker Job Submission Service StorageElement ComputeElement InformationService Job Status DataSets info Author. &Authen. Job Submit Event Job Query Job Status Input sandbox Input sandbox + Broker Info Globus RSL Output sandbox Job Status Publish grid-proxy-init Expanded JDL SE & CE info

15 E-science grid facility for Europe and Latin America Seguridad en ambientes Grid

16 Ambientes y Herramientas para la e-Investigación. Mérida, Los riesgos Recibir ataques de otros sitios –Un gran conjunto de granjas de maquinas distribuidas Distribución de data de manera inapropiada y acceso a información sensitiva. –Capacidades de almacenamiento masivas distribuidas geográficamente Explotación de huecos de seguridad. –Ambientes dinámicos, heterogéneos y complejos. Daños causados por virus, gusanos, etc.

17 Ambientes y Herramientas para la e-Investigación. Mérida, Requerimientos de seguridad Se requiere una arquitectura de seguridad que permita de manera dinámica, escalable la protección de los recursos, los datos almacenados y las salidas de los trabajos enviados por los usuarios.

18 Ambientes y Herramientas para la e-Investigación. Mérida, Requerimientos de seguridad Integración con sistemas y tecnologías existentes. –No se puede utilizar una única manera de seguridad dentro del Grid. –Las infraestructuras de seguridad existentes no pueden ser reemplazadas.

19 Ambientes y Herramientas para la e-Investigación. Mérida, Requerimientos de la seguridad en Grid Autentificación –Pueden existir múltiples mecanismos de autentificación. Delegación –Las políticas de delegación deben especificarse. Single sign-on –Se le debe permitir a un usuario el acceso continuo y correcto por un periodo de tiempo razonable utilizando una única autentificación.

20 Ambientes y Herramientas para la e-Investigación. Mérida, Requerimientos de la seguridad en Grid Renovación de credenciales –Un trabajo iniciado por un usuario puede tomar más tiempo que el tiempo provisto por la credencial del usuario. –En tal caso, el usuario necesita ser notificado con anterioridad de la expiración de las credenciales, o renovarla automáticamente. Autorización –Los recursos deben ser utilizados bajo ciertas políticas de autorización. –Un proveedor de servicios puede especificar sus propias políticas de autorización.

21 Ambientes y Herramientas para la e-Investigación. Mérida, Requerimientos de la seguridad en Grid Confidencialidad –La confidencialidad de los mecanismos de comunicación de los mensajes o documentos son soportados. Integridad de los mensajes –Se debe asegurar que cambios no autorizados de los mensajes y los documentos deben ser detectados. Privacidad –Tanto quien requiere el servicio como el que lo provee deben cumplir las políticas de privacidad. Otros requerimientos –Login seguro, intercambio de políticas, …

22 Ambientes y Herramientas para la e-Investigación. Mérida, Requerimientos de seguridad De esto se obtiene que se debe hacer un especial énfasis en: –Seguridad en el manejo de Usuarios –Seguridad en el manejo de datos

23 E-science grid facility for Europe and Latin America Manejo de usuarios en ambientes Grid

24 Ambientes y Herramientas para la e-Investigación. Mérida, Organizaciones Virtuales (VOs) La manera en que se coordinan y comparten estos recursos es usando Organizaciones Virtuales de una manera dinámica, escalable y distribuida. La meta es crear organizaciones virtuales entre una o más organizaciones físicas (o dominios administrativos). Las organizaciones virtuales requieren soluciones comunes para el manejo de recursos, para manejar y acceder a la data, a las aplicaciones y a los servicios de información.

25 Ambientes y Herramientas para la e-Investigación. Mérida, Estructura de una VO Una VO puede tener una estructura jerárquica compleja con grupos y subgrupos. Esta estructura es necesaria para dividir a los usuarios de acuerdo a sus tareas y a las instituciones a las cuales pertenecen. Estos grupos pueden ser vistos de manera independiente.

26 Ambientes y Herramientas para la e-Investigación. Mérida, VOs Dinámicas Los usuarios pueden pertenecer a varias VOs, al igual que los proveedores de recursos pueden proveer una parte de sus recursos a varias VOs.

27 Ambientes y Herramientas para la e-Investigación. Mérida, VOs Dinámicas

28 Ambientes y Herramientas para la e-Investigación. Mérida, VOs Dinámicas Una VO puede ser creada para satisfacer algún requerimiento y eliminada después que este requerimiento es alcanzado. Los usuarios se pueden unir a las VOs o dejarlas. Los proveedores de recursos pueden unirse o dejar las VOs. Los proveedores de recursos pueden cambiar dinámicamente las políticas de acceso a sus recursos. Los administradores de las VOs pueden manejar a los usuarios de manera dinámica.

29 Ambientes y Herramientas para la e-Investigación. Mérida, VOs Dinámicas Interoperabilidad con diferentes ambientes –La seguridad de los servicios de diversos dominios pueden interactuar. –A nivel de protocolo se intercambian mensajes. –A nivel de políticas cada entidad puede especificar su política. –A nivel de identidad, un usuario puede ser identificado de un dominio a otro.

30 E-science grid facility for Europe and Latin America Estado actual de la seguridad en ambientes Grid

31 Ambientes y Herramientas para la e-Investigación. Mérida, Autentificación Una única autentificación (pasaporte) –Firmado por una Autoridad de Certificación en la que todos confían. –Reconocido por varios proveedores de recursos, usuarios y VOs. –Satisface los requerimientos de persistencia. –Por sí mismo no garantiza el acceso a los recursos, pero provee un único puente entre un identificador y el sujeto.

32 Ambientes y Herramientas para la e-Investigación. Mérida, Autentificación Usuario Autoridad de Certificación Public key Private key certificado CA Recursos (sitio)

33 Ambientes y Herramientas para la e-Investigación. Mérida, Autentificación y delegación El uso de Certificados X.509 –La autentificación utilizando un único nombre provisto por un certificado bajo autoridades de certificación compartidas. –Delegación y single sign-on a través del uso de certificados proxies.

34 Ambientes y Herramientas para la e-Investigación. Mérida, Autentificación y delegación Delegación de certificados proxy –Generación remota de proxies de usuarios –Generación de una nueva clave privada y certificado utilizando la clave original. –Los passwords o la clave privada no son enviados a través de la red.

35 Ambientes y Herramientas para la e-Investigación. Mérida, Autentificación y delegación Autentificación del Username y Password soportado en GT4 –El estándar WS-Security es opuesto al de las credenciales X.509. –Solo provee autentificación y no características avanzadas como delegación, confidencialidad, integridad, etc.

36 Ambientes y Herramientas para la e-Investigación. Mérida, Autorización Autorización por VO (visa) –Concede acceso a una persona/servicio a través de una VO. –Se basa en el nombre del pasaporte –Reconocido por los propietarios de los recursos –Los proveedores pueden obtener listas de usuarios autorizados por VO. Los usuarios necesitan delegar sus derechos a proxies en otros sistemas. Los proveedores de recursos necesitan una autorización para que los proxies de los usuarios puedan ser enviados a sus sistemas. La delegación es el proceso de transferir derechos de los usuarios a tareas o proxies. –Cuando se delegan muchos derechos, el abuso de los derechos puede hacerse posible. –Cuando se restringen mucho los derechos que pueden ser delegados los proxies no pueden ser ejecutados completamente.

37 Ambientes y Herramientas para la e-Investigación. Mérida, Autorización Entonces, es necesario un servicio de autorización en el cual los usuarios deleguen derechos restringidos a los proxies y los proveedores de recursos puedan chequear los usos validos de los derechos delegados.

38 Ambientes y Herramientas para la e-Investigación. Mérida, Autorización Pull Model –Concede los derechos del usuario solo en condiciones especificas. –Delegación de los derechos que especifica el usuario. –Maneja los derechos entre los usuarios y los proveedores de recursos –Ejemplo: Akenti

39 Ambientes y Herramientas para la e-Investigación. Mérida, Autorización Push Model –Concede los derechos de los usuarios de acuerdo a sus roles. –Administra los derechos de manera centralizada. –Ejemplo: CAS, PERMIS, VOMS

40 Ambientes y Herramientas para la e-Investigación. Mérida, Autorización Community Authorization Service (CAS) –Permite políticas de autorización de grano fino. –Los proveedores de recursos pueden generar políticas para dominios externos. –CAS permite crear políticas para los usuarios locales. –Los usuarios que realizan alguna petición obtienen las capacidades de sus CAS locales.

41 Ambientes y Herramientas para la e-Investigación. Mérida, Autorización Virtual Organization Membership Service (VOMS) – Provee información sobre el usuario y sus relaciones con las diferentes VOs –Grupos, roles (administrador, estudiante, etc), capacidades, etc. Caracteristicas –Unico login: voms-proxy-init solo al comienzo de la sesión –Tiempo de expiración: la información de la autorización es valida solo por un periodo de tiempo definido. –Compatibilidad: La información relacionada a la VO y al certificado del proxy del usuario. –Múltiples VOs: El usuario puede identificarse a si mismo en múltiples VOs. –Seguridad: Todas las comunicaciones cliente servidor son seguras y autentificadas.

42 Ambientes y Herramientas para la e-Investigación. Mérida, Autorización Local Centre Authorization Service (LCAS) –Chequea si el usuario esta autorizado. Si esta en el grid-mapfile –Chequea si el usuario tiene tiempo suficiente en el proxy para aceptar los trabajos. Local Credential Mapping Service (LCMAPS) –Mapea las credenciales del grid a credenciales locales. (ejemplo: UNIX uid/gid, AFS tokens, etc.) –Utiliza el gridmapfile basado solo en el subject del certificado. –Mapea los grupos y roles de la VOMS

43 Ambientes y Herramientas para la e-Investigación. Mérida, Autorización Problemas –Akenti Las condiciones y los derechos se escriben de manera manual. Los manejos de los derechos son hechos por los proveedores de recursos y los usuarios. –CAS Delega todos los derechos de los roles de los usuarios. No delega derechos restringidos

44 E-science grid facility for Europe and Latin America Infraestructura de Seguridad en Grid

45 Ambientes y Herramientas para la e-Investigación. Mérida, Grid Security Infraestructure (GSI) Los servicios fundamentales de seguridad son los provistos por el Globus Toolkit Basado en las tecnología estándar PKI –Protocolo SSL para la autentificación y la protección de los mensajes. –Una-vía, relaciones de confianza entre autoridades de certificación –Certificados X.509 para comprobar la identidad de usuarios, servicios, máquinas. –Identidad dentro del Grid Un usuario es mapeado a identidades locales utilizando el distinguished name del certificado del usuario.

46 Ambientes y Herramientas para la e-Investigación. Mérida, Grid Security Infraestructure (GSI) Certificados Proxy X.509 –Permiten single sign-on –Permite a los usuarios delegar sus identidades y derechos a los servicios.

47 Ambientes y Herramientas para la e-Investigación. Mérida, Grid Security Infraestructure (GSI) user service grid-mapfile authentication info user cert (long life ) proxy cert (short life ) CA crl update low frequency high frequency host cert (long life ) grid-proxy-init

48 Ambientes y Herramientas para la e-Investigación. Mérida, Shibboleth Shibboleth está basado en estándares, es un middleware que provee un Web Single Sign On dentro o entre diferentes organizaciones. Esto le permite a los sitios tomar decisiones para dar accesos individuales a recursos en línea de una preservando la privacidad.

49 E-science grid facility for Europe and Latin America Policy Management Authority

50 Ambientes y Herramientas para la e-Investigación. Mérida, International Grid Trust Federation IGTF es el glue para los Grids. IGTF esta compuesto de 3 Policy Management Authority (PMAs) por región, cada una soporta una zona separada en el mundo: EUGridPMA, TAGPMA y APGridPMA.Policy Management Authority

51 Ambientes y Herramientas para la e-Investigación. Mérida, International Grid Trust Federation TAGPMA APGridPMA

52 Ambientes y Herramientas para la e-Investigación. Mérida, International Grid Trust Federation Miembros The Americas Grid PMA (TAGPMA) Dartmouth College Texas High Energy Grid Fermi National Laboratory San Diego Supercomputing Center TeraGrid Open Science Grid DOEGrids CANARIE Texas High Energy Grid EELA Venezuela: ULA Chile: REUNA Mexico: UNAM Argentina: UNLP Brazil: UFF

53 E-science grid facility for Europe and Latin America Conclusiones

54 Ambientes y Herramientas para la e-Investigación. Mérida, Conclusiones Una de las diferencias criticas entre la seguridad en el Grid y la seguridad en los sitios o las maquinas es la autonomía de los sitios. Existe la necesidad de poner de acuerdo a una gran cantidad de personas en sitios distribuidos para establecer las políticas.

55 Ambientes y Herramientas para la e-Investigación. Mérida, Conclusiones Las maneras de autentificar y autorizar a las entidades dentro del grid siguen evolucionando.

56 Ambientes y Herramientas para la e-Investigación. Mérida, Sitios en Internet https://gilda.ct.infn.it

57 Ambientes y Herramientas para la e-Investigación. Mérida,


Descargar ppt "Www.eu-eela.eu E-science grid facility for Europe and Latin America Introducción al Grid Vanessa Hamar Grupo Grid Universidad de Los Andes."

Presentaciones similares


Anuncios Google