Система защиты информационного взаимодействия в среде облачных вычислений тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Лукашин, Алексей Андреевич

Развитие сетевых технологий в направлении создания сред облачных вычислений (СОВ) предъявляет новые требования к средствам разграничения доступа (РД) к информационным сервисам - одному из основных компонент современных систем информационной безопасности (ИБ). Эти требования вытекают из необходимости учета динамического характера процессов выделения вычислительных и сетевых ресурсов при конфигурации виртуальных машин (ВМ) и структуры адресного пространства, используемого для доступа к информационным сервисам. Описание политики доступа (ПД) может быть представлено с помощью правил фильтрации (ПФ) сетевого трафика, структура и параметры которых генерируются в процессе функционирования СОВ и сервисов, реализуемых с использованием ВМ. При этом необходимо учитывать требования сохранения целостности ПД, аналогично тому, как в условиях изменения сетевой топологии для сохранения информационной связанности ресурсов в Интернет используются протоколы динамической маршрутизации. При использовании СОВ для размещения информационных сервисов особую актуальность приобретает сложная научно-техническая задача развития технологии защиты информации, обеспечивающей выполнение требований ПД в сетевой среде с динамически изменяющимися характеристиками.

Важность решения задач такого класса отмечается как российскими, так и зарубежными учёными, в том числе H.A. Гайдамакиным, П.Д. Зегждой, В.Ю. Скибой, М. Сриватса, Т. Вангом и др.

Перспективным направлением решения сформулированной задачи является использование технологии межсетевого экранирования с учетом специфики защищаемой среды. Для этого необходима формализация требований РД к информационным сервисам в СОВ. Такая формализация может быть представлена с использованием динамически формируемого набора правил фильтрации, обеспечивающего выполнение требований ПД. При этом возрастающая сложность алгоритмов фильтрации предъявляет высокие требования к производительности межсетевых экранов (МСЭ), что делает необходимым использование методов параллельной обработки виртуальных соединений с помощью ВМ, реализующих сервис РД на базе многоядерных микропроцессоров. Предложенное направление развития сервиса РД требует разработки метода динамического формирования ПФ для межсетевых экранов (МСЭ), разработки взаимно согласованного набора алгоритмов фильтрации сетевых соединений, не соответствующих требованиям ПД, и создания архитектуры программного обеспечения для ВМ, выполняющих функции МСЭ, реализующих политику доступа в СОВ. В современной литературе подход к созданию сложных технических систем, связанность которых обеспечивается за счет организации процессов обмена информацией по сети, получил название сетецентрического. Этот подход применительно к задаче РД требует обеспечения ситуационной осведомленности и локальности действий каждого из межсетевых экранов, входящих в группировку ВМ, используемых в СОВ для реализации ПД.

Целью исследования разработка методов и алгоритмов разграничения доступа к информационным сервисам с использованием межсетевых экранов в среде облачных вычислений.

Для достижения поставленной цели в диссертационной работе поставлены и решены следующие задачи.

1. Разработана модель среды облачных вычислений для описания процессов разграничения доступа к информационным сервисам, учитывающая динамические характеристики среды и структуру протоколов сетевого взаимодействия.

2. Разработан метод конфигурации межсетевых экранов, основанный на динамическом формировании ПФ в соответствии с изменяющимися параметрами информационного взаимодействия, представленного в форме виртуальных соединений.

3. Разработан алгоритм фильтрации виртуальных соединений, существенно использующий технологию организации параллельных вычислений и структуру стека TCP/IP, позволяющий повысить скорость фильтрации МСЭ и снизить потери производительности СОВ от интеграции средств защиты.

4. Разработана архитектура программного обеспечения распределенной системы РД, реализующей ПД в СОВ.

Методы исследования: для решения сформулированных задач использовался аппарат теории алгоритмов, теории защиты информации, системного анализа и теории категорий.

Объект исследования: система разграничения доступа к информационным ресурсам в среде облачных вычислений.

Предмет исследования: методы и алгоритмы динамической конфигурации МСЭ, реализующие сетецентрический подход к реализации сервиса РД в среде облачных вычислений.

Научная новизна работы результатов диссертации заключается в следующих аспектах.

1. В использовании аппарата теории категорий для формализации требований к системе РД сетевых сервисов.

2. В создании метода динамического формирования ПФ для МСЭ в условиях изменяющейся структуры связей между субъектами и объектами информационного взаимодействия.

3. В разработке архитектуры системы РД, реализующей ПД в СОВ и построенной с использованием вычислительных ресурсов СОВ для функционирования межсетевых экранов.

Положения, выносимые на защиту

1. Модель среды облачных вычислений для описания процессов разграничения доступа к информационным ресурсам, учитывающая динамические характеристики среды и структуру протоколов сетевого взаимодействия.

2. Метод динамической конфигурации МСЭ, основанный на формировании ПФ, учитывающий динамически изменяющиеся параметры сетевых протоколов в СОВ.

3. Алгоритм, осуществляющий фильтрацию сетевых соединений, не соответствующих требованиям ПД, с использованием технологий параллельных вычислений и виртуализации.

4. Архитектура системы РД, реализующей ПД в СОВ и построенной с использованием вычислительных ресурсов СОВ для функционирования межсетевых экранов.

Обоснованность и достоверность представленных в диссертационной работе научных положений обеспечивается проведением анализа исследований в данной области и апробацией полученных результатов в печатных трудах и докладах на всероссийских и международных научных конференциях.

Практическая значимость работы. Разработанные модели, методы и алгоритмы могут быть использованы для решения задач РД в СОВ и виртуализованных центрах обработки данных. Внедрение созданных средств РД позволяет осуществить контроль сетевого трафика, передаваемого по нефизическим каналам связи, обеспечиваемых гипервизорами СОВ. Разработанные методы и алгоритмы параллельной обработки сетевого трафика обеспечат развитие технологии межсетевого экранирования и повышение функциональных возможностей систем РД. Результаты, полученные в диссертационной работе, использованы при создании межсетевых экранов, сертифицированных по требованиям руководящих документов ФСТЭК и ФСБ, позволяющих осуществлять РД в скрытном режиме. Также результаты исследований использованы в научно-исследовательском проекте разработки защищенной среды облачных вычислений «Пилигрим», выполняемом в ГНЦ

ЦНИИ РТК» и при выполнении НИР на кафедре телематики ФГБОУ ВПО «СПбГПУ».

Апробация и публикация результатов работы. Основные положения и результаты диссертационной работы докладывались на межвузовских, всероссийских и международных научных конференциях, среди которых: СКТ

2010 (Россия, Дивноморск, 2010), ПАВТ 2011 (Россия, Москва 2011), IEEESMC

2011 (США, Аляска, 2011), INTERNET 2012 (Италия, Венеция, 2012), а также на промышленной выставке «Связь-Экспокомм 2012». По теме диссертации опубликовано 12 работ, в том числе 4 статьи в изданиях, входящих в перечень Высшей аттестационной комиссии Министерства образования и науки Российской Федерации.

Результаты диссертационной работы получены в ходе научно-исследовательских работ, выполненных при поддержке Комитета по науке и высшей школе Правительства Санкт-Петербурга на средства гранта в сфере научной и научно-технической деятельности за 2012 год. ч

4.4 Выводы

1. Рассмотрена архитектура и сценарии применения межсетевого экрана ССПТ-2, как средства защиты, решающего задачу разграничения доступа в среде облачных вычислений. Разработанные алгоритмы параллельной классификации виртуальных соединений реализованы с использованием сетевой подсистемы Ые1§гарЬ, функционирующей в ядре ОС РгееВ80. Создан прототип пакетного фильтра, который может заменить пакетный фильтр

ССПТ-2 в будущих реализациях. Осуществлен перенос алгоритмов скрытной фильтрации ССПТ-2 в ядро ОС.

2. Проведено исследование эффективности фильтрации виртуальных соединений в ядре операционной системы с использованием многопоточной обработки пакетного трафика. Исследованы масштабируемость фильтрации по вычислительным ядрам аппаратной платформы и пиковая производительность межсетевого экрана в сети с пропускной способностью 10Гбит/с. Проведенные исследования показали эффективность разработанных алгоритмов и примененных технических средств.

3. Осуществлена интеграция межсетевого экрана в виртуальную среду. Разработаны образы виртуальных машин с ПО межсетевого экрана ССПТ-2 для гипервизоров XEN, VMware ESX и Xen Cloud Platform. Предложены технологии подключения МСЭ к виртуальному коммутатору и представлены характеристики стенда среды облачных вычислений на базе платформы OpenStack, в которую интегрирована система разграничения доступа.

ЗАКЛЮЧЕНИЕ

В диссертационной работе решалась задача защиты информационного взаимодействия в среде облачных вычислений с помощью сетецентрической системы разграничения доступа, состоящей из межсетевых экранов и сервиса управления. В ходе решения поставленных задач были получены следующие выводы и результаты.

1. Среда облачных вычислений является динамической системой и состоит из управляющих компонент и информационных ресурсов, которые функционируют в виртуальном окружении. Осуществлена формализация информационного взаимодействия и предложен контроль информационного взаимодействия в форме виртуальных соединений с помощью межсетевых экранов. Разработанная модель учитывает динамический характер выделяемых ресурсов и структуру протоколов сетевого взаимодействия, что позволяет осуществлять разграничение доступа с учетом текущего состояния защищаемой среды. Входом модели является поток сетевых пакетов, которые поступают в межсетевые экраны системы защиты информационного взаимодействия в среде облачных вычислений. Выходом модели является разделение пакетов на виртуальные соединения, классификация каждого соединения на принадлежность информационному соединению и определение подмножества правил фильтрации для каждого информационного соединения, которые позволяют осуществить фильтрацию сетевого взаимодействия между субъектом и объектом для выполнения заданной политики доступа.

2. Динамические характеристики среды облачных вычислений усложняют задачу разграничения доступа и требуют разработки новых алгоритмов и методов. С помощью интеграции ролевой модели разграничения доступа и сетецентрической системы защиты обеспечивается решение задачи разграничения доступа за счет метода динамической генерации правил фильтрации, позволяющего реализовать своевременное информирование межсетевых экранов об изменении состояния среды облачных вычислений и политики доступа.

3. Интеграция средств разграничения доступа в компоненты среды облачных вычислений снижает производительность среды, если межсетевые экраны, осуществляющие контроль информационного взаимодействия используют аппаратные ресурсы гипервизоров. Разработанный алгоритм классификации виртуальных соединений, существенно использующий технологии организации параллельных вычислений и структуру стека TCP/IP, реализованный с использованием сетевой подсистемы Netgraph, позволил повысить производительность межсетевых экранов и более эффективно использовать вычислительные ресурсы аппаратных платформ, что, в свою очередь, снижает потери от наличия средств разграничения доступа в среде облачных вычислений.

4. Разработанные модель, метод, алгоритмы и технические средства позволяют расширить возможности применения технологий межсетевого экранирования и использовать созданные в рамках работы средства защиты информационного взаимодействия в среде облачных вычислений.

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ

АС - автоматизированная система

ВМ - виртуальная машина

ВОС - взаимодействие открытых систем

ВС - виртуальное соединение

ИВС — информационное виртуальное соединение

ИС - информационный сервис

КД - контроль доступа

КС - компьютерная система

МСЭ - межсетевой экран

OB — облачные вычисления

ОЗУ - оперативное запоминающее устройство

ОС — операционная система

ПИБ — политика информационной безопасности

ПК - персональный компьютер

ПО — программное обеспечение

ПФ — правила фильтрации

РД - разграничение доступа

РДБ - реляционная база данных

СОВ - среда облачных вычислений

TBC - технологическое виртуальное соединение

УД - управление доступом УС - управляющий сервис ФСБ - федеральная служба безопасности

ФСТЭК - федеральная служба по техническому и экспортному контролю

ЦОД - центр обработки данных

AMQP - Asynchronous Message Queue Protocol

BPF - Berkley Packet Filter

CPU - Central Processor Unit

GPU - Graphical Processor Unit

HTTP - Hypertext Transfer Protocol

IaaS - Infrastructure as a Service

NAT - Network address translation

PaaS - Platform as a Service

REST - Represential State Transfer

SaaS - Software as a Service

SOAP - Simple Object Access Protocol

VPN - virtual private network

WWW - World Wide Web

1. Доктрина информационной безопасности Российской Федерации / М.: Ось-89, 2004. 48 с.

2. Критически важные объекты и кибертерроризм. Часть 1. Системный подход к организации противодействия / О.О. Андреев и др.. Под ред. В.А. Васенина. -М.: МЦНМО, 2008. 398 с.

3. ГОСТ Р 51624-00. Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования. Введ. 30.06.00. Действ. -М.: Изд-во стандартов, 2000. 12 с.

4. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. В 2а-х кн.:Кн.1.- М.: Энергоатомиздат, 1994. 400 с.

5. Гайдамакин Н. А. Разграничение доступа к информации в компьютерных системах. Екатеринбург: Издательство Уральского Университета. 2003. 328 с.

6. Гайдамакин H.A. Теоретические основы компьютерной безопасности. Учебное пособие. Екатеринбург: изд-во Урал. Ун-та, 2008. 212 с.

7. Силиненко A.B. Разграничение доступа в IP-сетях на основе моделей состояния виртуальных соединений: диссертация на соискание ученой степени кандидата технических наук: 05.13.19 : защищена 04.03.10 / Силиненко Александр Витальевич. СПб, 2010. 145 с.

8. Стивене У.Р., Протоколы TCP/IP. Практическое руководство / У.Р. Стивене / Пер. с англ. и коммент. А.Ю. Глебовского. СПб.: «Невский Диалект» -«БХВ-Петербург», 2003. 672 с.

9. П.Таненбаум Э. Компьютерные сети. 4-е изд. / Э. Таненбаум. СПб.: Питер, 2003. 992 с.

10. Чеппел JI. TCP/IP.Учебный курс / JI. Чеппел, Э. Титтел / Пер. с англ. СПб.: БХВ-Петербург, 2003. 976 с.

11. В.Мулюха, А.Г.Новопашенный, Ю.Е. Подгурский, B.C. Заборовский Методы и средства защиты компьютерной информации. Межсетевое экранирование. Издательство СПб Государственный политехнический университет, СПб, 2010, 90 с.

12. Силиненко, A.B. Системы защиты информации на базе контроля состояний транспортных соединений / A.B. Силиненко // БДИ. Российский журнал о безопасности бизнеса и личности. 2003. - №5. - С. 39-43.

13. Силиненко, A.B. Модели и методы скрытной контентной фильтрации прикладных протоколов / A.B. Силиненко // Научно-технические ведомости СПбГПУ №4, 2007. С. 117-121.

14. William von Hagen. Professional Xen Virtualization / Indiana: Wiley Publishing, 2008, ISBN: 978-0470138113. P. 435.

15. Scott Lowe. Mastering VMware vSphere 5. / Sybex Publishing, 2011, ISBN: 978-0470890806.

16. Daniele Tosatto. Citrix XenServer 6.0 Administration Essential Guide. / Packt Publishing, 2012, ISBN: 978-1849686167.

17. S. Gai, T. Salli and R. Andersson. Cisco Unified Computing System (UCS) A Complete Reference Guide to the Cisco Data Center Virtualization Server Architecture. / Cisco Press, ISBN-10: 158714193, 2010.

18. Alexey Lukashin, Vladimir Zaborovsky and Sergey Kupreenko. Access Isolation Mechanism Based On Virtual Connection Management In Cloud Systems // 13th International Conference on Enterprise Information Systems (ICEIS 2011), pp. 371 -375.

19. Клементьев И. П. Устинов В. А. Введение в Облачные вычисления. / Издательство УГУ, 2009. 233 с.

20. NIST Cloud Computing Synopsis and Recommendations, SP 800-146 Электронный ресурс. Режим доступа: http://csrc.nist.gov/publications/drafts/800-146/Draft-NIST-SP800-146.pdf, свободный. Загл. с экрана (дата обращения 01.09.2012).

21. Douglas Comer, "Internetworking with TCP/IP Principles, Protocols, and Architectures", Prentice-Hall, Inc., 1988, ISBN 0-13-470154-2.

22. About Cloud Security Alliance Электронный ресурс. / Cloud Security Alliance. Режим доступа: https://cloudsecurityalliance.org/about/, свободный. -Загл. с экрана (дата обращения 01.09.2012).

23. Cloud Security Alliance, Top Threats to Cloud Computing, Март 2010. Электронный ресурс. Режим доступа: http://www.cloudsecurityalliance.org/topthreats/csathreats.vl .0, свободный. -Загл. с экрана (дата обращения 01.09.2012).

24. Amazon S3 used by Facebook spammers / CloudPro Электронный ресурс. Режим доступа: http://www.cloudpro.co.uk/iaas/cloud-hosting/2729/amazon-s3-used-facebook-spammers, свободный. Загл. с экрана (дата обращения 01.09.2012).

25. Simple Object Access Protocol (SOAP) 1.1 / World Wide Web Consortium Электронный ресурс. Режим доступа: http://www.w3.org/TR/2000/NOTE-SOAP-20000508/, свободный. Загл. с экрана (дата обращения 01.09.2012).

26. Williams D.E. Virtualization with Xen / Ed. By J. Garcia. Burlington: Syngress Publishing, 2007. p. 364.

27. Девянин П.Н., Модели безопасности компьютерных систем: учеб. пособие для студ. высш. учеб. заведений / П.Н. Девянин. М.: Издательский центр «Академия», 2005. 144 с.

28. Dynamic Access Control in Cloud Services. Vladimir Zaborovsky, Alexey Lukashin, Sergey Kupreenko and Vladimir Mulukha. // International Transactions on Systems Science and Applications, ISSN 1751-1461, Vol. 7, No. 3/4, 2011, pp. 264-277.

29. Лебедь, C.B. Межсетевое экранирование. Теория и практика защиты внешнего периметра / C.B. Лебедь. М.: Изд-во МВТУ им. Баумана, 2002. 301 с.

30. Christopher Clark, Keir Fraser, Steven Hand, Jacob Gorm Hansen, Eric Jul, Christian Limpach, Ian Pratt, Andrew Warfield, "Live Migration of Virtual Machines," Proceedings of the 2nd Symposium on Networked Systems Design and Implementation, 2005.

31. Wilson С., Network Centric Operations: Background and Oversight Issues for Congress. March 2007. Электронный ресурс. Режим доступа: http://www.fas.org/sgp/crs/natsec/RL32411.pdf, свободный. - Загл. с экрана (дата обращения 01.09.2012).

32. ИВЛЕВ А.А. Основы теории Бойда. Направления развития, применения и реализации. Москва, 2008. 64 с. Электронный ресурс. Режим доступа:http://old.vko.ru/pdf/2008/library/08 05 23 02.pdf. свободный. Загл. с экрана (дата обращения 01.09.2012).

33. RFC 2616. Hypertext Transfer Protocol — HTTP/1.1 Электронный ресурс. / R. Fielding, Т. Berners-Lee. Электрон, дан. - ISI, June, 1999. - Режим доступа: http://www.ietf.org/rfc/rfc2616.txt, свободный. - Загл. с экрана (дата обращения 01.09.2012).

34. Vladimir Zaborovsky, Alexey Lukashin, Sergey Kupreenko and Vladimir Mulukha. Dynamic Access Control in Cloud Services. // IEEE International Conference on Systems, Man and Cybernetics, 2011, pp. 1400-1405.

35. Шаленко М.Ц., Шульгейфер Е.Г. Основы теории категорий. М.: Наука, 1974,256с.

36. С. Маклейн. Категории для работающего математика. М.: Физматлит, 2004 г., - 352 с.

37. John С. Baez, Mike Stay. Physics, Topology, Logic and Computation: A Rosetta Stone. 2009 г. Электронный ресурс. Режим доступа: http://math.ucr.edu/home/baez/rosetta/rose3.pdf, свободный. Загл. с экрана (дата обращения 01.09.2012).

38. Eilenberg S., Mac Lane S. General theory of natural equivalences. — Trans. Amer. Math. Soc. 58 (1945). — pp. 231-294.

39. Bell J. L. The Development of Categorical Logic. — Электронный ресурс. Режим доступа: http://publish.uwo.ca/ibell/catlogprime.pdf, свободный. Загл. с экрана (дата обращения 01.09.2012).

40. Р. Голдблатт. Топосы. Категорный анализ логики. М.: Мир, 1983 г., - 488 с.

41. Lambek J. From X-calculus to cartesian closed categories // in To H. B. Curry: Essays on Combinatory Logic, Lambda Calculus and Formalism. — Eds. J. P. Seldin and J. R. Hindley. — Academic Press, New York, 1980. — pp. 375^102.

42. Карпенко А. С. Многозначные логики. Логика и компьютер. Вып. 4. М.: Наука, 1997. 223с.

43. Wm Wulf , Sally А. McKee. Hitting the Memory Wall: Implications of the Obvious, University of Virginia, Charlottesville, VA, 1994.

44. D. Davis, Manish P. Parashar. Latency Performance of SOAP Implementations. // CCGRID '02 Proceedings of the 2nd IEEE/ACM International Symposium on Cluster Computing and the Grid, p. 407, 2002

45. OASIS AMQP Version 1.0. Committee Specification Draft 02. Электронный ресурс. Режим доступа: http://docs.oasis-open.org/amqp/core/vl.0/amqp-core-complete-vl.O.pdf, свободный. Загл. с экрана (дата обращения 01.09.2012).

46. RabbitMQ clustering techniques Электронный ресурс. Режим доступа: http://www.rabbitmq.com/clustering.html, свободный. Загл. с экрана (дата обращения 01.09.2012).

47. Дж. Клир. Системология. Автоматизация решения системных задач. М.: Радио и связь, 1990 г. 544 с.

48. Лекции по теории графов. Емельничев В.А., Мельников О.И., Сарванов В.И., Тышкевич Р.И. М.: Наука, 1990. 384 с.

49. Кормен, Т., Лейзерсон, Ч., Ривест, Р., Штайн, К. Алгоритмы: построение и анализ / Под ред. И. В. Красикова. — 2-е изд. — М.: Вильяме, 2005. 1296 с.

50. Межсетевой экран ССПТ-2. Руководство администратора. СПб.: ЗАО «НПО РТК», 2008. 348 с.

51. МакКузик М. К. FreeBSD: архитектура и реализация / М. К. МакКузик, Д. В. Невилл-Нил. М.: Кудиц-образ, 2006. 800 с.

52. Cobbs A. All about Netgraph Электронный ресурс. / A. Cobbs. Режим доступа: http://people.freebsd.org/~julian/netgraph.html, свободный. - Загл. с экрана. (Дата обращения 01.09.2012).

53. А1ехеу Lukashin and Vladimir Zaborovsky. Dynamic Access Control Using Virtual Multicore Firewalls. // The Fourth International Conference on Evolving Internet INTERNET 2012, ISBN: 978-1-61208-204-2, 2012, pp. 37-43.

54. IEEE Standard for Local and Metropolitan Area Networks—Media access control (MAC) Электронный ресурс. Режим доступа: http://standards.ieee.org/getieee802/download/802.lD-2004.pdf, свободный. -Загл. с экрана. (Дата обращения 01.09.2012).

55. VMware Virtual Networking Concepts / VMware Inc, 2007 Электронный ресурс. - Режим доступа: http://www.vmware.com/files/pdf/virtualnetworkingconcepts.pdf, свободный.- Загл. с экрана. (Дата обращения 01.09.2012).

56. Использование этих алгоритмов и методов позволило расширить функциональные возможности и повысить эффективность использования аппаратных ресурсов проектируемых межсетевых экранов.

57. Председатель комиссии: К У

58. Главный инженер ж/ Зиновьев А.Н1. Члены комиссии:

59. Ведущий инженер /г! " Сергеев МЛ1. Комиссия в составе:

60. Председатель главный инженер Зиновьев А.Н.,члены комиссии ведущий инженер Сергеев М.А.,начальник отдела, к.т.н. НовопашенныЙ А.Г.1. Начальник отдела1. Новопашешшй А.Г.