Revisão dos Objetivos e Resultados

Nesta seção revisamos os objetivos propostos inicialmente. O objetivo principal era o estudo dos controles de segurança federações de clouds. A autenticação, por ser peça fundamental na implantação de políticas de segurança, acabou sendo o foco principal de nossos esforços. Buscarmos fundamentar nossos esforços em experiências práticas que nos dessem resultados bem próximos do que se experimenta nestes grandes sistemas.

Diante disto, um sistema de autenticação próprio para associações de clouds foi desenvolvido. Estes serviços de autenticação foram concebidos tomando como base provedores de identidades que mantêm seus funcionamentos dentro do usual, mesmo na presença de ações maliciosas. São concebidos para suportarem intrusões que corrompem componentes, implantando comportamentos maliciosos. Além disso, por tratar com informações de grande importância, mecanismos de segurança são adotados contra a revelação de dados de usuários.

Para atingir os objetivos iniciais, no seu processo evolutivo nossos trabalhos foram divididos em três partes:

a) Proposta de um modelo de federação de clouds.

O modelo de associação de provedores de cloud proposta é fundamentado em broker que em nome dos usuários negociam recursos para atender suas necessidades computacionais. Os recursos são negociados na forma de uma licitação controlada pelo broker do cliente. Com isto, a busca e aquisição de recursos propostas para federações de clouds apresentam melhoras consideráveis, tanto ao evitar a contenção dos recursos, assim como na diminuição nas trocas de mensagens necessárias para a negociação destes recursos.

O modelo proposto de federação de clouds possui os controles de segurança fundamentados em IdPs da própria federação. Para os usuários, esta facilidade permite manter suas credenciais e atributos em um provedor único, não havendo a necessidade de manter diversas contas nos provedores de clouds para acessar seus recursos. Além disso, neste modelo de federação, o usuário uma vez que autenticado, permite que o seu broker de posse do token de autenticação do usuário negocie em seu nome e que os respectivos controles de autorização sejam verificados.

Com base neste modelo de federação de clouds desenvolvido e testado tivemos as seguintes publicações:

 BARRETO, L.; FRAGA, J.S.; SIQUEIRA, F.: Federação

de Clouds e Atributos de Segurança. XXXIII Simpósio

Brasileiro de Redes de Computadores e Sistemas Distribuídos (SBRC’2015), Vitória, ES. Maio de 2015.  BARRETO, L.; FRAGA, J.S.; SIQUEIRA, F.:

Architectural Model and Security Mechanisms for Cloud Federations. The 14th IEEE International

Conference on Trust, Security and Privacy in Computing and Communications (Trustcom’2015), Helsinki, Finland. August 20-22, 2015.

 BARRETO, L.; FRAGA, J.S.; SIQUEIRA, F.: Conceptual

Model of Brokering and Authentication in Cloud Federations. 4th IEEE International Conference on Cloud

Networking (CloudNet'2015), Niagara Falls - Canada. October 5-7, 2015.

b) Proposta de IdP tolerante a intrusão com processador seguro.

Exploramos conceitos e ferramentas de forma a aplicar mecanismos de tolerância a intrusões neste tipo de serviço. Este modelo de IdP explora a virtualização para tolerar ações maliciosas e ao mesmo tempo isola componentes e informações importantes da rede. O modelo neste primeiro momento foi desenvolvido sobre uma grade de processadores seguros;

Os trabalhos do IT-IdP foram desenvolvidos e testados no quadro do projeto SecFuNet e tivemos referente a este trabalho as seguintes publicações:

 BARRETO, L.; SIQUEIRA, F.; FRAGA, J.S. ; FEITOSA, E.

Gerenciamento de Identidades Tolerante a Intrusões. XXXI

Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos (SBRC’2013), pg. 805­818. Brasília, DF. Maio de 2013.

 BARRETO, L.; SIQUEIRA, F. ; FRAGA, J.S. ; FEITOSA, E.:

An Intrusion Tolerant Identity Management Infrastructure for Cloud Computing Services. 20th International Conference

on Web Services, 2013, Santa Clara Marriott. International Conference on Web Services, 2013. p. 155-163.

 BOGER, D. ; BARRETO, L. ; FRAGA, J.S. ; SANTOS, A. ;

FRANCA, D.T.; Infraestrutura de Autenticação e

Autorização Baseada em SmartCards com Controle de Atributos Centrado no Usuário. XIII Simpósio Brasileiro em

Segurança da Informação e de Sistemas Computacionais (SBSeg), Belém, Pará. 11-14 de Novembro de 2013.

 BOGER, D. ; BARRETO, L. ; FRAGA, J.S. ; URIEN, P.; AISSAOUI, H.; SANTOS, A.; PUJOLLE, G.; UserCentric

Identity Management Based on Secure Elements. 19th IEEE

Symposium on Computers and Communications (ISCC´2014), Madeira, Portugal. August, 2014.

c) Armazenamento de credenciais e atributos de usuários em federação de clouds.

A análise inicial do IdP com hardware especializado nos permitiu verificar sua viabilidade, porém, por se tratar de um modelo que é baseado em um único servidor, este modelo poderia se tornar proibitivo em grandes sistemas. As informações de registro de usuários necessitavam ser feitas off-line nestes processadores. Isto determinava numa perda de flexibilidade e também de escala. Desta forma, estendemos o modelo do IT-IdP para que o mesmo apresentasse as mesmas características de segurança na execução dos protocolos, mas também incrementasse a segurança na manutenção dos dados de usuários sem a necessidade de processadores seguros. Com isto a nossa proposta de IT-IdP é incrementada com protocolos que permitem o armazenamento das informações de usuários em recursos das próprias clouds da federação. Técnicas de compartilhamento de segredo foram empregadas para tolerar falhas e ações maliciosas e ao mesmo tempo manter a disponibilidade sem uma replicação extensiva das informações.

Os trabalhos do IT-IdP foram desenvolvidos e testados obtendo as seguintes publicações:

 BARRETO, L.; SIQUEIRA, F. ; FRAGA, J.S. ;

Armazenamento Seguro de Credenciais e Atributos de Usuários em Federação de Clouds. XV Simpósio Brasileiro

em Segurança da Informação e de Sistemas Computacionais (SBSeg’2016), Niterói, RJ, 10-17 Novembro de 2016.

 BARRETO, L.; SCHEUNEMANN, L.; FRAGA, J.S.;

SIQUEIRA, F. Secure Storage of User Credentials and

Attributes in Federation of Clouds. The 32nd ACM

Symposium on Applied Computing. (ACM SAC'2017), (Aceito para publicação).

 BARRETO, L.; SCHEUNEMANN, L.; FRAGA, J.S.;

SIQUEIRA, F. Securing Identity Providers using Secret

Sharing Techniques. 31th IEEE International Conference on

Advanced Information Networking and Applications

(AINA’2017), 2017. (Aceito para publicação)

Um artigo foi submetido para periódico classificado (Journal of

Information Security and Applications – Elsevier) e encontra-se em processo de revisão até o momento da escrita destas considerações de conclusão de nossos trabalhos.