Грид непременно есть совокупностью, где вопросам безопасность уделено повышенное внимание. В хорошей архитектуре были созданы особые, своеобразные совокупности безопасности, что замедляло развитие грид. Но с развитием веб-сервисов обстановка изменилась. Тут многие нюансы стандартизированы и безопасность а также.
Современная модель безопасности в грид имеет следующие изюминки если сравнивать с клиент-серверной моделью безопасности, применяемой в большинстве сетевых и веб-приложений [22]:
1) Концепция Виртуальных Организаций употребляется для виртуализации ресурсов и пользователей и ассоциации ресурсов.
2) Модель безопасности ориентирована на услуги и разрешает ассоциировать услуги и политику безопасности с грид-сервисами, пользовательскими задачами либо данными, представленными в виде идентификатора единого формата (так именуемого End Point Reference (EPR)).
3) Употребляются механизмы безопасности на уровне сообщений, унаследованные от Веб-сервисов, наряду с этим информация, относящаяся к безопасности, включается в заголовок применяемого XML-формата сообщений SOAP (Simple Object Access Protocol).
4) Контроль доступа основан на полномочиях идентификации (Identity Credentials) с применением для целей аутентификации особого типа временных полномочий прокси-сертификатов (X.509 Proxy Certificates), каковые употребляются кроме этого для единого доступа к грид-ресурсам (Single-Sign-on) и делегирования пользовательских полномочий при запуске распределенных задач.
5) В грид используется глобальная совокупность управления доверием для инфраструктуры открытых ключей PKI.
6) контроль и Авторизация доступа основаны на применении сертификатов атрибутов, выдаваемых работой членства в ВО (так называемый VOMS X.509 Attribute Certificate).
7) Применяя обычный для Веб-сервисов формат описания WSDL (Web Services Description Language), политика и сервисы безопасности смогут быть динамически добавлены к главным сервисам на протяжении разворачивания и конфигурации этих сервисов, что разрешает независимо разрабатывать и одновременно безопасным образом комбинировать все компоненты приложения.
В частном случае доступа к распределенным компьютерным ресурсам, модель контроля доступа строится на базе принятого в распределенных компьютерных совокупностях динамического запуска пользовательских задач от имени одного из системных пользователей, назначаемых динамически на время исполнения текущей задачи.
9) С позиций сетевой безопасности и сетевых экранов, кое-какие грид-сервисы смогут применять нестандартные порты из диапазона, что многие совокупности обнаружения атак смогут расценивать как внешние атаки. К примеру, один из самые важных протоколов для обмена огромными массивами данных в грид GridFTP может применять в один момент пара параллельных потоков данных через порты в диапазоне выше 1024, что выделен для свободного применения сетевыми приложениями.
Многие вопросы обеспечения безопасности решаются локально на уровне отдельных грид-ресурсов при применении средств выявления администрирования и систем вторжений ресурсов. Одновременно с этим при включении отдельных ресурсов либо сегментов в грид-совокупность нужно обеспечить безопасность ее функционирования на системном уровне. Одним из ответственных качеств обеспечения безопасности есть мониторинг действий пользователей при работе с удаленными ресурсами грид-совокупности, потому, что 80-90% атак инициируется как раз пользователями в компьютерной совокупности. Исходя из этого нужно обеспечить обнаружение аномалий не только на уровне отдельных сегментов и ресурсов, но и всей совокупности в целом.
На данный момент существует достаточно большое количество средств мониторинга состояния ресурсов грид-совокупности. В базу таких совокупностей положена концепция сервисов, либо компонентов, взаимодействующих по сети. Одним из наиболее значимых показателей их успешного функционирования есть уровень доступности, т.е. возможность в приемлемое время обработать целый поток поступающих от пользователей заявок. Причем уровень доступности в заданный момент времени может определяться как текущей загруженностью ресурсов грид-совокупности либо сетевой среды, так и фактом реализации атак DoS либо DDoS, направленных на генерацию условия отказа в обслуживании.
Профессия будущего. Эксперт по информационной безопасности
