D-Grid Security – DGI-2 Fachgebiet 3

Drei Bereiche mit dringendem Handlungsbedarf zur Realisierung sicherheitsrelevanter Anforderungen wurden in DGI-2 identifiziert:

Die bisherigen Arbeiten im D-Grid haben gezeigt, dass ein erhöhter Abstimmungsbedarf innerhalb des DGI und mit den Communities zu verschiedenen Aspekten der Sicherheit in Grid-Umgebungen besteht. Die Arbeit orientiert sich an den in DGI-1 gesammelten Erfahrungen, an den zahlreichen Diskussionen mit den Communities sowie an dem Vergleich mit anderen, internationalen Grid-Projekten wie EGEE-2, Open Science Grid oder TeraGrid. Um die Nachhaltigkeit des Sicherheitsmanagements im D-Grid zu sichern, werden parallel zu diesen Arbeiten bestehende Dienstangebote des DFN-Verein ausgeweitet, um die Anforderungen im D-Grid dauerhaft zu erfüllen. Hierzu zählen neben der bereits etablierten Ausstellung von Grid-Zertifikaten u. a. das neue DFN Beratungszentrum für Firewalls, die DFN-AAI für Grid-Nutzer sowie die unterstützende Bewertung von Sicherheitsmaßnahmen durch die DFN-Forschungsstelle Recht.
Um die zwischen den Communities z. T. erheblich differierenden Sicherheitsanforderungen auf der einheitlichen D-Grid Infrastruktur gleichzeitig bedienen zu können, ist die Unterstützung kom-plexer, unter Umständen dynamisch gebildeter VO-Strukturen auf der Basis einer Attribut-basierten Autorisierung erforderlich. Hierfür ist der geeignete Support für alle Grid-Middlewares im D-Grid als auch für die Komponenten des Datenmanagements zu berücksichtigen.
Neben Aspekten der Performance werden die grundlegenden Deployment Modelle für Firewalls und Middlewares in den D-Grid Sonderinvestitionen in enger Absprache mit den Communities fortgeführt und um Community-spezifische Ressourcen ergänzt, so dass die gesamte D-Grid Infrastruktur erfasst wird. Weiterhin ist die Bereitstellung geeigneter Werkzeuge zum Test der Firewall-Konfigurationen erwünscht, sowohl um durch fehlerhafte Firewall-Konfigurationen verursachte Kommunikationsprobleme einfach identifizieren zu können als auch, um die gegenseitige Prüfung von Einstellungen zwischen Projektpartnern zu ermöglichen. Um auch zukünftige Entwicklung neuer Ansätze zur Durchschaltung von Datenströmen durch Firewalls geeignet zu berücksichtigen, werden diese Arbeiten durch eine prototypische Implementierung von Grid-Software-Modulen (API) ergänzt, mit der Ports durch die Grid-Anwendung dynamisch freigeschaltet werden können.

FG-3.1: Koordination und Sicherheitsmanagement

Im Arbeitspaket „Koordination und Sicherheitsmanagement“ werden im D-Grid auftretende Sicherheitsfragestellungen gebündelt sowie deren Bearbeitung koordiniert. Dabei wird auch eine aktive Kooperation mit anderen Fachgebieten des DGI2 sowie mit den Communities organisiert. Die Arbeiten orientieren sich an den in verschiedenen Fachgebieten des DGI1 gesammelten Erfahrungen, an zahlreichen Diskussionen mit Communities sowie an dem Vergleich mit anderen, internationalen Grid-Projekten wie EGEE-2, Open Science Grid oder TeraGrid.

Übergeordnetes Ziel des Arbeitpakets ist die Koordination, Beratung und Umsetzung der Sicherheitsaktivitäten in D-Grid mit Fokus auf die nachhaltige Sicherung entsprechender zentraler Dienste. Auf Basis der Zusammenarbeit mit anderen Fachgebieten des DGI2, mit Betreibern der D-Grid Ressourcen und mit den Communities werden verschiedene Level von Sicherheitsanforderungen im D-Grid festgelegt und Empfehlungen zu deren Umsetzung gegeben. Darauf aufbauend können die Anwendungen der Communities mit unterschiedlichen Anforderungen bezüglich der zugrundeliegenden Sicherheitsniveaus unterstützt werden. Ziele dieses Vorgehens sind:
• Nutzung der D-Grid Infrastruktur durch Communities mit unterschiedlichen Sicherheitsanforderungen,
• Definition geeigneter und nachvollziehbarer Kriterien zur Bewertung existierender und möglicher Sicherheitsniveaus auf der D-Grid Infrastruktur,
• Abwägung der Priorität eines ungehinderten und ggf. hochperformanten Betriebes gegenüber
einschränkenden Maßnahmen zur Absicherung hoher Sicherheitsniveaus (Privacy / Datensicherheit) sowie
• Unterstützung des D-Grid Betriebes bei der Vereinheitlichung der Sicherheitsmechanismen und Policies der beteiligten Partner im D-Grid.

Dokumente

Berichte online

FG-3.2: AAI/VO

Die in DGI-1 FG-1.10 und FG-3.4 sowie IVOM durchgeführten Arbeiten im Bereich der Authentifizierungs- und Autorisierunginfrastruktur (AAI) im D-Grid werden in FG-3.2 des DGI-2 fortgeführt. Anforderungen einzelner Benutzer sowie Communities gehen in einigen Fällen über das eingesetzte identitätsbasierte Verfahren auf Basis langlebiger X.509-Zertifikaten hinaus.

Die rein identitätsbasierte Autorisierung des D-Grid soll erweitert werden, so dass ebenfalls anhand von Benutzerattributen autorisiert werden kann. Zu unterscheiden sind dabei VO-Attribute (VO-Untergruppen, -Benutzerrollen), die innerhalb des VO-Managements zentral definiert und gepflegt werden, und Campus Attribute (Name, Zugehörigkeit und Rollen in einer Organisation), die dezentral von den Heimatorganisation der Benutzers verwaltet werden. Die Nutzung dieser Attribute soll eine fein-granulare Autorisierung ermöglichen. Für die Umsetzung dieser attributbasierten Autorisierung werden existierende Techniken untersucht, um später in die D-Grid-Infrastruktur integriert werden zu können.

Insbesondere im Rahmen von IVOM sind Situationen erkennbar geworden, in denen einzelne Nutzer oder Communities aus administrativen Gründen keine langlebigen Nutzerzertifikate verwenden können. Des Weiteren wollen Communities existierende Identitätsmanagementsysteme (IdMS) weiterhin nutzen statt zusätzliche nutzen zu müssen. Die derzeit in Frage kommende Lösung dieser Probleme bieten kurzlebige Zertifikate (Short-Lived Certificates - SLC). Ein Short-Lived-Certificate-Service (SLCS) übersetzt die Identitäten aus den existierenden IdMS in kurzlebige X.509-Zertifikate, die im Weiteren wie bisher im Grid genutzt werden können. Ein solcher SLCS wird derzeit auf Basis der im Ausbau befindlichen DFN-AAI durch DFN-PKI etabliert. Die grundsätzliche Verwendbarkeit dieses Dienstes wird im Rahmen des DGI-2 verifiziert.

Dokumente

Berichte online

FG-3.3: Firewalls

Die Aufgabe „Deployment, Sicherheitsüberprüfungen, Support“ setzt intensive Gespräche mit den Communities voraus. Hierbei wurde die Anforderung deutlich, zur Erhöhung des jeweiligen Sicherheitsniveaus individuelle Firewall-Konfigurationen für die jeweiligen Communities zu erstellen. Hierfür werden die konkreten Sicherheitsanforderungen in den Communities identifiziert und unter Berücksichtigung ihrer Ressourcen und Workflows geeignete Lösungen erarbeitet sowie die Sicherheitsüberprüfung der eingesetzten Ressourcen und der Firewall selbst automatisiert und routinemäßig durchgeführt.

Darüber hinaus werden Werkzeuge zur Prüfung und Sicherstellung von Firewall-Konfigurationen bereitgestellt. Mit diesen Werkzeugen wird die Integration neuer Ressourcen und Partner im D-Grid erheblich vereinfacht, da sich fehlerhafte, d. h. zu offene oder zu geschlossene Firewall-Konfigurationen unmittelbar identifizieren und lokalisieren lassen. In einem weiteren Schritt werden diese Werkzeuge zur gegenseitigen Prüfung von Firewall-Konfigurationen eingesetzt, damit sich die Partner untereinander über die eingehaltenen Sicherheitsniveaus versichern können.

Dokumente

Berichte online

	Forschung und Lehre > Projekte > D-Grid > D-Grid Security (DGI-2 FG-3)
RRZN Organisation IT-Support Forschung und Lehre Projekte E-Mail Internet Backup und Archiv IT-Sicherheit Hochleistungsrechnen Clustersystem Software RRZN-Handbücher Kurse Leibniz Universität Hannover	D-Grid Security – DGI-2 Fachgebiet 3 Drei Bereiche mit dringendem Handlungsbedarf zur Realisierung sicherheitsrelevanter Anforderungen wurden in DGI-2 identifiziert: Die bisherigen Arbeiten im D-Grid haben gezeigt, dass ein erhöhter Abstimmungsbedarf innerhalb des DGI und mit den Communities zu verschiedenen Aspekten der Sicherheit in Grid-Umgebungen besteht. Die Arbeit orientiert sich an den in DGI-1 gesammelten Erfahrungen, an den zahlreichen Diskussionen mit den Communities sowie an dem Vergleich mit anderen, internationalen Grid-Projekten wie EGEE-2, Open Science Grid oder TeraGrid. Um die Nachhaltigkeit des Sicherheitsmanagements im D-Grid zu sichern, werden parallel zu diesen Arbeiten bestehende Dienstangebote des DFN-Verein ausgeweitet, um die Anforderungen im D-Grid dauerhaft zu erfüllen. Hierzu zählen neben der bereits etablierten Ausstellung von Grid-Zertifikaten u. a. das neue DFN Beratungszentrum für Firewalls, die DFN-AAI für Grid-Nutzer sowie die unterstützende Bewertung von Sicherheitsmaßnahmen durch die DFN-Forschungsstelle Recht. Um die zwischen den Communities z. T. erheblich differierenden Sicherheitsanforderungen auf der einheitlichen D-Grid Infrastruktur gleichzeitig bedienen zu können, ist die Unterstützung kom-plexer, unter Umständen dynamisch gebildeter VO-Strukturen auf der Basis einer Attribut-basierten Autorisierung erforderlich. Hierfür ist der geeignete Support für alle Grid-Middlewares im D-Grid als auch für die Komponenten des Datenmanagements zu berücksichtigen. Neben Aspekten der Performance werden die grundlegenden Deployment Modelle für Firewalls und Middlewares in den D-Grid Sonderinvestitionen in enger Absprache mit den Communities fortgeführt und um Community-spezifische Ressourcen ergänzt, so dass die gesamte D-Grid Infrastruktur erfasst wird. Weiterhin ist die Bereitstellung geeigneter Werkzeuge zum Test der Firewall-Konfigurationen erwünscht, sowohl um durch fehlerhafte Firewall-Konfigurationen verursachte Kommunikationsprobleme einfach identifizieren zu können als auch, um die gegenseitige Prüfung von Einstellungen zwischen Projektpartnern zu ermöglichen. Um auch zukünftige Entwicklung neuer Ansätze zur Durchschaltung von Datenströmen durch Firewalls geeignet zu berücksichtigen, werden diese Arbeiten durch eine prototypische Implementierung von Grid-Software-Modulen (API) ergänzt, mit der Ports durch die Grid-Anwendung dynamisch freigeschaltet werden können. FG-3.1: Koordination und Sicherheitsmanagement Im Arbeitspaket „Koordination und Sicherheitsmanagement“ werden im D-Grid auftretende Sicherheitsfragestellungen gebündelt sowie deren Bearbeitung koordiniert. Dabei wird auch eine aktive Kooperation mit anderen Fachgebieten des DGI2 sowie mit den Communities organisiert. Die Arbeiten orientieren sich an den in verschiedenen Fachgebieten des DGI1 gesammelten Erfahrungen, an zahlreichen Diskussionen mit Communities sowie an dem Vergleich mit anderen, internationalen Grid-Projekten wie EGEE-2, Open Science Grid oder TeraGrid. Übergeordnetes Ziel des Arbeitpakets ist die Koordination, Beratung und Umsetzung der Sicherheitsaktivitäten in D-Grid mit Fokus auf die nachhaltige Sicherung entsprechender zentraler Dienste. Auf Basis der Zusammenarbeit mit anderen Fachgebieten des DGI2, mit Betreibern der D-Grid Ressourcen und mit den Communities werden verschiedene Level von Sicherheitsanforderungen im D-Grid festgelegt und Empfehlungen zu deren Umsetzung gegeben. Darauf aufbauend können die Anwendungen der Communities mit unterschiedlichen Anforderungen bezüglich der zugrundeliegenden Sicherheitsniveaus unterstützt werden. Ziele dieses Vorgehens sind: • Nutzung der D-Grid Infrastruktur durch Communities mit unterschiedlichen Sicherheitsanforderungen, • Definition geeigneter und nachvollziehbarer Kriterien zur Bewertung existierender und möglicher Sicherheitsniveaus auf der D-Grid Infrastruktur, • Abwägung der Priorität eines ungehinderten und ggf. hochperformanten Betriebes gegenüber einschränkenden Maßnahmen zur Absicherung hoher Sicherheitsniveaus (Privacy / Datensicherheit) sowie • Unterstützung des D-Grid Betriebes bei der Vereinheitlichung der Sicherheitsmechanismen und Policies der beteiligten Partner im D-Grid. Dokumente Berichte online FG-3.2: AAI/VO Die in DGI-1 FG-1.10 und FG-3.4 sowie IVOM durchgeführten Arbeiten im Bereich der Authentifizierungs- und Autorisierunginfrastruktur (AAI) im D-Grid werden in FG-3.2 des DGI-2 fortgeführt. Anforderungen einzelner Benutzer sowie Communities gehen in einigen Fällen über das eingesetzte identitätsbasierte Verfahren auf Basis langlebiger X.509-Zertifikaten hinaus. Die rein identitätsbasierte Autorisierung des D-Grid soll erweitert werden, so dass ebenfalls anhand von Benutzerattributen autorisiert werden kann. Zu unterscheiden sind dabei VO-Attribute (VO-Untergruppen, -Benutzerrollen), die innerhalb des VO-Managements zentral definiert und gepflegt werden, und Campus Attribute (Name, Zugehörigkeit und Rollen in einer Organisation), die dezentral von den Heimatorganisation der Benutzers verwaltet werden. Die Nutzung dieser Attribute soll eine fein-granulare Autorisierung ermöglichen. Für die Umsetzung dieser attributbasierten Autorisierung werden existierende Techniken untersucht, um später in die D-Grid-Infrastruktur integriert werden zu können. Insbesondere im Rahmen von IVOM sind Situationen erkennbar geworden, in denen einzelne Nutzer oder Communities aus administrativen Gründen keine langlebigen Nutzerzertifikate verwenden können. Des Weiteren wollen Communities existierende Identitätsmanagementsysteme (IdMS) weiterhin nutzen statt zusätzliche nutzen zu müssen. Die derzeit in Frage kommende Lösung dieser Probleme bieten kurzlebige Zertifikate (Short-Lived Certificates - SLC). Ein Short-Lived-Certificate-Service (SLCS) übersetzt die Identitäten aus den existierenden IdMS in kurzlebige X.509-Zertifikate, die im Weiteren wie bisher im Grid genutzt werden können. Ein solcher SLCS wird derzeit auf Basis der im Ausbau befindlichen DFN-AAI durch DFN-PKI etabliert. Die grundsätzliche Verwendbarkeit dieses Dienstes wird im Rahmen des DGI-2 verifiziert. Dokumente Berichte online FG-3.3: Firewalls Die Aufgabe „Deployment, Sicherheitsüberprüfungen, Support“ setzt intensive Gespräche mit den Communities voraus. Hierbei wurde die Anforderung deutlich, zur Erhöhung des jeweiligen Sicherheitsniveaus individuelle Firewall-Konfigurationen für die jeweiligen Communities zu erstellen. Hierfür werden die konkreten Sicherheitsanforderungen in den Communities identifiziert und unter Berücksichtigung ihrer Ressourcen und Workflows geeignete Lösungen erarbeitet sowie die Sicherheitsüberprüfung der eingesetzten Ressourcen und der Firewall selbst automatisiert und routinemäßig durchgeführt. Darüber hinaus werden Werkzeuge zur Prüfung und Sicherstellung von Firewall-Konfigurationen bereitgestellt. Mit diesen Werkzeugen wird die Integration neuer Ressourcen und Partner im D-Grid erheblich vereinfacht, da sich fehlerhafte, d. h. zu offene oder zu geschlossene Firewall-Konfigurationen unmittelbar identifizieren und lokalisieren lassen. In einem weiteren Schritt werden diese Werkzeuge zur gegenseitigen Prüfung von Firewall-Konfigurationen eingesetzt, damit sich die Partner untereinander über die eingehaltenen Sicherheitsniveaus versichern können. Dokumente Berichte online
	Top Druckversion Letzte Änderung: 23.09.2009 M. Sc. Benjamin Henne

	© Leibniz Universität Hannover Impressum Verantwortlich RRZN