1 / 8

Quelques objectifs (concrets) de sécurité

Quelques objectifs de sécurité dans les projets de grille Jean-Luc Archimbaud CNRS/UREC http://www.urec.cnrs.fr. Quelques objectifs (concrets) de sécurité. Ne pas « ouvrir » son site de production Protéger les éléments de la grille Avoir un niveau de sécurité cohérent

azure
Download Presentation

Quelques objectifs (concrets) de sécurité

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Quelques objectifs de sécurité dans les projets de grilleJean-Luc ArchimbaudCNRS/UREC http://www.urec.cnrs.fr

  2. Quelques objectifs (concrets) de sécurité • Ne pas « ouvrir » son site de production • Protéger les éléments de la grille • Avoir un niveau de sécurité cohérent • Authentifier les utilisateurs et les ressources • Gérer les droits des utilisateurs • Services plus (de sécurité) • Rq : la sécurité est toujours un compromis

  3. Ne pas « ouvrir » son site de production • Architecture classique de sécurité d’un site • Internet – Garde-barrière – DMZ – (Commut-Routeur – VLANS) – Ressources calcul • Eventuellement réseau privé multi-sites (VPN …) • Où mettre les ressources de calcul destinées à être dans une grille multi-partenaires ? • Trop dangereux (ou compliqué) de les laisser sur un VLAN Interne avec les serveurs locaux • Solution ? : sous-réseau (VLAN) dédié • Où ? • En amont du garde-barrière (côté Internet) • Dans DMZ • Dans VLAN interne • Configuration particulière garde-barrière et filtres routeurs. Pb : • Numéros de ports dynamiques • Accessibilité à ces ressources depuis le site • …

  4. Protéger les éléments de la grille • But : éviter qu’un élément de la grille soit piraté • Plate-forme d’expérimentation  machines peu sécurisées • Solution possible : réseau dédié • Physique : VTHD par exemple • Logique : VPN entre les routeurs – entre les stations • Comment communiquer avec ces machines depuis l’Internet ? • Attention aux doubles accès (réseau dédié et Internet) sur les stations • Autre solution • Filtres restrictifs sur stations de la grille et commut-routeurs

  5. Avoir un niveau de sécurité cohérent • Pour qu’un site de la grille ne mette pas en danger les autres • Définir une politique de sécurité et des règles minimales respectées par tous • Charte • Site • Utilisateurs : "Règles d'utilisation" • Recommandations d’architecture … • CERT • Procédure en cas d’intrusion

  6. Authentifier les utilisateurs-les ressources • On ne peut pas utiliser les fichiers passwd ou NIS • Solution : certificats d’authentification • Quelle Autorité de Certification ? • Plusieurs (une par partenaire) • Il faut que chacun en gère une et qu’il y ait une confiance entre les AC • Il faut que chaque nœud mette à jour les certificats des AC et les CRL • Une « dédiée » • Qui accepte tous les partenaires • Avec une Autorité d’Enregistrement qui soit capable de faire les vérifications nécessaires • CNRS/CNRS-Projets a été faite dans ce but • Conseil • Ne pas utiliser son certificat personnel officiel dans son organisme pour les projets de grille • Dans le middleware : certificats à durée de vie très courte • Exemple de besoins Datagrid • Multiples formats • Etudiants lors de formation • Avoir un certificat pour un groupe d’utilisateurs

  7. Gérer les droits des utilisateurs • Un utilisateur se présente avec un certificat : quels droits a-t-il sur le noeud ? • Solution quand peu de sites • Mapping Certificat utilisateur  Compte (UID, GID) sur station • VO (Virtual Organization) • Domaine administratif : personnes, institutions, ressources • Bases de données des utilisateurs avec les droits d’accès • Un serveur LDAP / VO : liste des certificats d’une VO • Nœud charge cette liste chaque jour • Nœud : mapping (DN des certifs)  comptes • Pas de droits d’accès fins • Datagrid : un serveur global + un serveur par VO • Un serveur avec droits d’accès plus fins • Nœud interroge ce serveur à chaque accès • Certificats de privilèges • Administrateur de VO = AE pour certificats d’authentification • Une VO est une communauté avec des droits « similaires » • Convient bien aux expériences du CERN par exemple • Remarque : regarder l’avancement de OGSA Security WG

  8. Services plus • Serveur d’horodatage • Atteste l’heure exacte d’une action • Peut-être un service obligatoire • Confidentialité • Des informations (données médicales - industrielles) • Sur les nœuds • Durant le transport • Des codes des applicatifs • Des états (jobs) en cours • Indique qui fait quoi • Contrôle utilisation (quotas …) • Facturation …

More Related