grid

www.eu-eela.eu

E-science grid facility forEurope and Latin America

Introducción al Grid

Vanessa HamarGrupo Grid

Universidad de Los Andes

Ambientes y Herramientas para la e-Investigación. Mérida, 23.06.2008www.eu-eela.eu

Contenido

• Ambientes Grid• Requerimientos de Seguridad• Manejo de usuarios• Estado actual de la seguridad• Infraestructura de seguridad en Grid• Policy Management Authority• Conclusiones

www.eu-eela.eu


Ambientes Grid


Introducción

• Los Grids computacionales han emergido con la finalidad de mejorar el rendimiento del sistema en su disponibilidad, escalabilidad, confiabilidad y seguridad mediante la integración de recursos heterogéneos compartidos.


Idea

• La idea del Grid es muy parecida a una red eléctrica:– Cualquier hardware que tenga conexión a la red debe poder ser integrada al

Grid.– La conexión es provista en cualquier lugar.– Altamente confiable (Todos los días a toda hora).– Se comparten recursos (hardware, software, data, dispositivos de

almacenamiento).– Siempre existirá suficiente capacidad de calculo.– Es transparente al usuario.– Simple.– Disponible en cualquier momento.


¿ Qué es Grid?

• Un Grid Computacional es una forma de computación distribuida que comprende coordinar y compartir recursos, aplicaciones, datos, almacenamiento o recursos de red entre organizaciones dinámicas y geográficamente distribuidas.


¿Por qué hoy?

• Disponibilidad y confiabilidad en el ancho de banda, además, existe una red global, Internet.

• El almacenamiento de data se dobla cada 12 meses.• El crecimiento dramático de información en línea (1 petabyte =

1000 terabyte = 1,000,000 gigabyte)– 2000 ~0.5 petabyte– 2005 ~10 petabytes– 2010 ~100 petabytes– 2015 ~1000 petabytes?


Ventajas

• Aumentar la capacidad de procesamiento.

• Aprovechar los recursos de la organización de manera más eficiente

• Disminuye el tiempo de procesamiento.

• Almacenar gran cantidad de datos y compartirlos.

• Es una forma económica de incrementar los recursos en la organización.

Procesadores

Tiempo

N1+N2

N3+N4

N7+N8

N(n-1)+Nn

N5+N6

R1+N3 R2+N4 R(n-1)+Nn

R1+R2+…+RN


Aplicaciones

• Cualquier ciencia cuyas necesidades comprendan:– Lograr una alta resolución en las imágenes. – Capturar y guarda información.– Simular para entender mejor la data.– Procesar data en tiempo real.– Hacer que esta data este disponible en cualquier parte del mundo.

Con el Grid las colaboraciones son globales y la data es compartida

– Simular, ya que es una herramienta altamente aceptada entre los científicos.

e-Science


¿Que debe proveer?

• Autentificación• Políticas de Autorización• Descubrimiento de recursos• Ubicación de recursos• Acceso a data remota• Alta velocidad de

transferencia de data

• Manejo de Recursos• Manejo de Fallas• Monitoreo• Garantizar el rendimiento• Detección de intrusos• Manejo de cuentas y pagos.• Adaptación, etc.


Conceptos relacionados

• Middleware en términos computacionales es utilizado para describir un agente que actúa como un intermediario, o como un miembro de un grupo de intermediarios, entre diferentes

componentes en un proceso transaccional.


Conceptos relacionados

• Entidad– Un usuario, un programa o una maquina.

• Credenciales– Alguna data que provea una prueba de identidad.

• Autentificación– Verifica la identidad de la entidad.

• Autorización– Mapea una entidad con algún conjunto de privilegios.

• Confidencialidad– Encripta el mensaje de tal manera que solo el receptor pueda entenderlo.

• Integridad– Asegura que el mensaje no haya sido alterado en la transmisión.

• No-repudiación– Imposibilidad de negar la autenticidad de una firma digital


Componentes

• Poblaciones grandes y dinámicas•Diferentes cuentas en diferentes sitios •Data personal y confidencial•Privilegios heterogéneos (roles)•Single Sign-On

UsuariosUsuarios

• Data• Patrones de acceso

““OrganizacionesOrganizaciones

Virtuales”Virtuales”

SitiosSitios

• Recursos Heterogéneos • Patrones de acceso • Políticas locales• Membership

GridGrid


Envío de trabajos

ReplicaReplicaCatalogueCatalogueUI

JDL

Logging &Logging &Book-keepingBook-keeping

ResourceResourceBrokerBroker

Job SubmissionJob SubmissionServiceService

StorageStorageElementElement

ComputeComputeElementElement

Information Information ServiceService

Job Status

DataSets info

Author.&Authen.

Job S

ub

mit

Even

t

Job

Qu

ery

Job

Stat

us

Input “sandbox”

Input “sandbox” + Broker Info

Globus RSL

Output “sandbox”

Output “sandbox”

Job Status

Pu

blis

hgr

id-p

roxy

-init

Exp

and

ed J

DL

SE & CE info

www.eu-eela.eu


Seguridad en ambientes Grid


Los riesgos

• Recibir ataques de otros sitios– Un gran conjunto de granjas de maquinas distribuidas

• Distribución de data de manera inapropiada y acceso a información sensitiva.– Capacidades de almacenamiento masivas distribuidas

geográficamente • Explotación de huecos de seguridad.

– Ambientes dinámicos, heterogéneos y complejos.• Daños causados por virus, gusanos, etc.


Requerimientos de seguridad

• Se requiere una arquitectura de seguridad que permita de manera dinámica, escalable la protección de los recursos, los datos almacenados y las salidas de los trabajos enviados por los usuarios.



• Integración con sistemas y tecnologías existentes.– No se puede utilizar una única manera de seguridad dentro del

Grid.– Las infraestructuras de seguridad existentes no pueden ser

reemplazadas.


Requerimientos de la seguridad en Grid

• Autentificación– Pueden existir múltiples mecanismos de autentificación.

• Delegación– Las políticas de delegación deben especificarse.

• Single sign-on– Se le debe permitir a un usuario el acceso continuo y correcto por un

periodo de tiempo razonable utilizando una única autentificación.



• Renovación de credenciales– Un trabajo iniciado por un usuario puede tomar más tiempo que el

tiempo provisto por la credencial del usuario.– En tal caso, el usuario necesita ser notificado con anterioridad de la

expiración de las credenciales, o renovarla automáticamente.• Autorización

– Los recursos deben ser utilizados bajo ciertas políticas de autorización.– Un proveedor de servicios puede especificar sus propias políticas de

autorización.



• Confidencialidad– La confidencialidad de los mecanismos de comunicación de los mensajes o

documentos son soportados.• Integridad de los mensajes

– Se debe asegurar que cambios no autorizados de los mensajes y los documentos deben ser detectados.

• Privacidad– Tanto quien requiere el servicio como el que lo provee deben cumplir las

políticas de privacidad.• Otros requerimientos

– Login seguro, intercambio de políticas, …



• De esto se obtiene que se debe hacer un especial énfasis en:– Seguridad en el manejo de Usuarios– Seguridad en el manejo de datos

www.eu-eela.eu


Manejo de usuarios en ambientes Grid


Organizaciones Virtuales (VOs)

• La manera en que se coordinan y comparten estos recursos es usando Organizaciones Virtuales de una manera dinámica, escalable y distribuida.

• La meta es crear organizaciones virtuales entre una o más organizaciones físicas (o dominios administrativos).

• Las organizaciones virtuales requieren soluciones comunes para el manejo de recursos, para manejar y acceder a la data, a las aplicaciones y a los servicios de información.


Estructura de una VO

• Una VO puede tener una estructura jerárquica compleja con grupos y subgrupos.

• Esta estructura es necesaria para dividir a los usuarios de acuerdo a sus tareas y a las instituciones a las cuales pertenecen. Estos grupos pueden ser vistos de manera independiente.


VOs Dinámicas

• Los usuarios pueden pertenecer a varias VOs, al igual que los proveedores de recursos pueden proveer una parte de sus recursos a varias VOs.


VOs Dinámicas


VOs Dinámicas

• Una VO puede ser creada para satisfacer algún requerimiento y eliminada después que este requerimiento es alcanzado.

• Los usuarios se pueden unir a las VOs o dejarlas.• Los proveedores de recursos pueden unirse o dejar las VOs.• Los proveedores de recursos pueden cambiar dinámicamente las

políticas de acceso a sus recursos.• Los administradores de las VOs pueden manejar a los usuarios de

manera dinámica.


VOs Dinámicas

• Interoperabilidad con diferentes ambientes– La seguridad de los servicios de diversos dominios pueden

interactuar.– A nivel de protocolo se intercambian mensajes.– A nivel de políticas cada entidad puede especificar su política.– A nivel de identidad, un usuario puede ser identificado de un

dominio a otro.

www.eu-eela.eu


Estado actual de la seguridad en ambientes Grid


Autentificación

• Una única autentificación (“pasaporte”) – Firmado por una Autoridad de Certificación en la que todos

confían.– Reconocido por varios proveedores de recursos, usuarios y

VOs.– Satisface los requerimientos de persistencia.– Por sí mismo no garantiza el acceso a los recursos, pero provee

un único puente entre un identificador y el sujeto.


Autentificación

Usuario

Autoridad de Certificación

Public keyPrivate keycertificado

CA

Recursos(sitio)


Autentificación y delegación

• El uso de Certificados X.509– La autentificación utilizando un único nombre provisto por un

certificado bajo autoridades de certificación compartidas.– Delegación y single sign-on a través del uso de certificados

proxies.



• Delegación de certificados proxy– Generación remota de proxies de usuarios– Generación de una nueva clave privada y certificado utilizando

la clave original.– Los passwords o la clave privada no son enviados a través de la

red.



• Autentificación del Username y Password soportado en GT4– El estándar WS-Security es opuesto al de las credenciales

X.509.– Solo provee autentificación y no características avanzadas

como delegación, confidencialidad, integridad, etc.


Autorización

• Autorización por VO (“visa”)– Concede acceso a una persona/servicio a través de una VO.– Se basa en el nombre del “pasaporte”– Reconocido por los propietarios de los recursos– Los proveedores pueden obtener listas de usuarios autorizados por VO.

• Los usuarios necesitan delegar sus derechos a proxies en otros sistemas.• Los proveedores de recursos necesitan una autorización para que los proxies de

los usuarios puedan ser enviados a sus sistemas.• La delegación es el proceso de transferir derechos de los usuarios a tareas o

proxies.– Cuando se delegan muchos derechos, el abuso de los derechos puede hacerse posible.– Cuando se restringen mucho los derechos que pueden ser delegados los proxies no

pueden ser ejecutados completamente.


Autorización

• Entonces, es necesario un servicio de autorización en el cual los usuarios deleguen derechos restringidos a los proxies y los proveedores de recursos puedan chequear los usos validos de los derechos delegados.


Autorización

• Pull Model– Concede los derechos del usuario solo en condiciones

especificas.– Delegación de los derechos que especifica el usuario.– Maneja los derechos entre los usuarios y los proveedores de

recursos– Ejemplo: Akenti


Autorización

• Push Model– Concede los derechos de los usuarios de acuerdo a sus roles.– Administra los derechos de manera centralizada.– Ejemplo: CAS, PERMIS, VOMS


Autorización

• Community Authorization Service (CAS)– Permite políticas de autorización de grano fino.– Los proveedores de recursos pueden generar políticas para

dominios externos.– CAS permite crear políticas para los usuarios locales.– Los usuarios que realizan alguna petición obtienen las

capacidades de sus CAS locales.


Autorización

• Virtual Organization Membership Service (VOMS)– Provee información sobre el usuario y sus relaciones con las diferentes VOs– Grupos, roles (administrador, estudiante, etc), capacidades, etc.

• Caracteristicas– Unico login: voms-proxy-init solo al comienzo de la sesión– Tiempo de expiración: la información de la autorización es valida solo por un

periodo de tiempo definido.– Compatibilidad: La información relacionada a la VO y al certificado del proxy del

usuario.– Múltiples VOs: El usuario puede identificarse a si mismo en múltiples VOs.– Seguridad: Todas las comunicaciones cliente servidor son seguras y

autentificadas.


Autorización

• Local Centre Authorization Service (LCAS)– Chequea si el usuario esta autorizado. Si esta en el grid-mapfile– Chequea si el usuario tiene tiempo suficiente en el proxy para aceptar

los trabajos.• Local Credential Mapping Service (LCMAPS)

– Mapea las credenciales del grid a credenciales locales.(ejemplo: UNIX uid/gid, AFS tokens, etc.)– Utiliza el gridmapfile basado solo en el subject del certificado.– Mapea los grupos y roles de la VOMS


Autorización

• Problemas– Akenti

Las condiciones y los derechos se escriben de manera manual. Los manejos de los derechos son hechos por los proveedores de

recursos y los usuarios.

– CAS Delega todos los derechos de los roles de los usuarios. No delega derechos restringidos

www.eu-eela.eu


Infraestructura de Seguridad en Grid


Grid Security Infraestructure (GSI)

• Los servicios fundamentales de seguridad son los provistos por el Globus Toolkit

• Basado en las tecnología estándar PKI– Protocolo SSL para la autentificación y la protección de los mensajes.– Una-vía, relaciones de confianza entre autoridades de certificación– Certificados X.509 para comprobar la identidad de usuarios, servicios,

máquinas.– Identidad dentro del Grid

Un usuario es mapeado a identidades locales utilizando el distinguished name del certificado del usuario.



• Certificados Proxy X.509– Permiten single sign-on– Permite a los usuarios delegar sus identidades y derechos a los

servicios.



useruser serviceservice

grid-mapfile

authentication info

user cert(long life)

proxy cert(short life)

CA CA CA

crl update

low frequenc

y

high frequenc

y host cert(long life)

grid-proxy-init


Shibboleth

• Shibboleth está basado en estándares, es un middleware que provee un Web Single Sign On dentro o entre diferentes organizaciones. Esto le permite a los sitios tomar decisiones para dar accesos individuales a recursos en línea de una preservando la privacidad.

www.eu-eela.eu


Policy Management Authority


International Grid Trust Federation

• IGTF es el “glue” para los Grids.

• IGTF esta compuesto de 3 Policy Management Authority (PMAs) por región, cada una soporta una zona separada en el mundo: EUGridPMA, TAGPMA y APGridPMA.



TAGPMA APGridPMA



Miembros The Americas Grid PMA (TAGPMA)

Dartmouth College

Texas High Energy Grid

Fermi National Laboratory

San Diego Supercomputing Center

TeraGrid

Open Science Grid

DOEGrids

CANARIE Texas High Energy Grid

EELA

Venezuela: ULA

Chile: REUNA

Mexico: UNAM

Argentina: UNLP

Brazil: UFF

www.eu-eela.eu


Conclusiones


Conclusiones

• Una de las diferencias criticas entre la seguridad en el Grid y la seguridad en los sitios o las maquinas es la autonomía de los sitios.

• Existe la necesidad de poner de acuerdo a una gran cantidad de personas en sitios distribuidos para establecer las políticas.


Conclusiones

• Las maneras de autentificar y autorizar a las entidades dentro del grid siguen evolucionando.


Sitios en Internet

• http://www.grid.org • http://www.globus.org• https://gilda.ct.infn.it • http://www.eu-eela.org • http://www.tagpma.org/ • http://shibboleth.internet2.edu/ • http://www.gridsystems.com• http://www.cactuscode.org/• http://www.accessgrid.org • http://www-fp.mcs.anl.gov/~foster/• http://www.neesgrid.org/

grid

Technology