apesar de tamb´em n˜ao existir qualquer padroniza¸c˜ao nesse sentido.
2.4 SEGURANC¸ A EM GRADES
Seguran¸ca em redes de computadores requer, tradicionalmente, princ´ıpios de auten- tica¸c˜ao, controle de acesso, integridade, privacidade e n˜ao-rep´udio [3]. Contudo, as grades computacionais, por serem de natureza dinˆamica e heterogˆenea, possuem requisitos de seguran¸ca adicionais, tais como [54, 55]:
❼ Assinatura ´unica: o usu´ario deve se autenticar uma vez, a fim de obter, utilizar e liberar os recursos dispon´ıveis, sem que o mesmo tenha que se autenticar novamente; ❼ Uniformidade e prote¸c˜ao de credenciais: informa¸c˜oes como senhas e chaves privadas
devem estar protegidas e codificadas de maneira padr˜ao;
❼ Interoperabilidade com solu¸c˜oes de seguran¸ca locais: as solu¸c˜oes de seguran¸ca de- vem fornecer mecanismos de acesso entre dom´ınios, sendo que o acesso a recursos de um dom´ınio local ´e determinado pelas suas pr´oprias pol´ıticas de seguran¸ca; ❼ Exportabilidade: o c´odigo deve ser export´avel de modo que possa ser executado em
qualquer site da grade, sem um esquema “pesado” de criptografia;
❼ Cria¸c˜ao dinˆamica de servi¸cos: os usu´arios devem ser capazes de criar novos servi¸cos que possam interagir com outros servi¸cos, sem interven¸c˜ao do administrador; ❼ Estabelecimento dinˆamico de dom´ınios confi´aveis: os diferentes dom´ınios precisam
estabelecer uma rela¸c˜ao de confian¸ca entre os seus usu´arios e recursos para garantir a coordena¸c˜ao de recursos.
Al´em dos requisitos acima citados, a dinamicidade do ambiente tamb´em deve ser levada em considera¸c˜ao, tendo em vista o grande n´umero de jobs e participantes que interagem com a grade constantemente. Existem, portanto, v´arios desafios para qualquer infra-estrutura de seguran¸ca em grade.
As plataformas de grades tratam a quest˜ao da seguran¸ca de forma diferenciada. No Legion, por exemplo, ´e utilizado um esquema de chaves p´ublica (para criptografar a comunica¸c˜ao entre objetos) e privada (para assinar as mensagens do pr´oprio objeto).
2.4. Seguran¸ca em Grades 20
Al´em disso, o Legion permite implementar pol´ıticas de seguran¸ca de acordo com a ne- cessidade, onde cada objeto possui um m´etodo chamado “MayI” que indica ao usu´ario os m´etodos do objeto aos quais ele tem acesso [7]. Em outras palavras, todo objeto ´e respons´avel por sua pr´opria pol´ıtica de controle de acesso. Por default, o m´etodo MayI im- plementa uma pol´ıtica baseada em checagem de credenciais e listas ACL (Access Control List).
J´a na plataforma Condor, cujo foco ´e voltado para a computa¸c˜ao de alta vaz˜ao (High-Throughput Computing - HTC) [56], ´e utilizado Secure Socket Layer (SSL) em conjunto com certificados X.509 para a autentica¸c˜ao, tal como na plataforma Globus (na verdade, parte da implementa¸c˜ao dos aspectos de seguran¸ca usados no Condor ´e originada do Globus [57]). Para a autoriza¸c˜ao, o Condor oferece um mecanismo que controla quais m´aquinas podem se unir `a grade, quais m´aquinas podem obter informa¸c˜oes sobre o site e quais m´aquinas do ambiente possuem privil´egios administrativos. No in´ıcio do projeto Condor, a autoriza¸c˜ao era baseada em informa¸c˜oes do host (como endere¸co IP, por exemplo). Em sua vers˜ao est´avel mais recente, o Condor 6.6 trabalha com autoriza¸c˜ao baseada no usu´ario.
A seguir, ser˜ao discutidos em maiores detalhes os mecanismos e aspectos de se- guran¸ca observados nas plataformas Globus Toolkit e OurGrid.
2.4.1 Seguran¸ca no Globus Toolkit
A infra-estrutura oferecida pela plataforma Globus ´e atualmente a mais utilizada para constru¸c˜ao de Organiza¸c˜oes Virtuais montadas sobre grades computacionais. O projeto Globus ´e direcionado para a defini¸c˜ao e implementa¸c˜ao das camadas de mais baixo n´ıvel no desenvolvimento de grades computacionais, permitindo criar abstra¸c˜oes e diversas funcionalidades b´asicas [48]. A ferramenta desenvolvida no contexto do projeto Globus ´e conhecida como Globus Toolkit e hoje encontra-se em sua vers˜ao 4 (GT4).
O Globus Toolkit oferece uma API (Application Program Interface) que dispo- nibiliza um conjunto de mecanismos de seguran¸ca. Essa API, conhecida como Globus Security Infrastructure (GSI) foi implementada sobre o GSS (Generic Security Servi- ces)[58] e provˆe servi¸cos de seguran¸ca, tais como autentica¸c˜ao, autoriza¸c˜ao, n˜ao-rep´udio, confidencialidade e privacidade dos dados [4].
2.4. Seguran¸ca em Grades 21
usu´arios, esta¸c˜oes e recursos), o GSI utiliza o esquema de certificado digital de acordo com o padr˜ao X.509. Esses certificados s˜ao assinados por uma autoridade certificadora (Certificate Authority - CA), que exerce as fun¸c˜oes de administra¸c˜ao e armazenamento dos certificados. Dessa forma, o GSI atende o requisito de autentica¸c˜ao ´unica (single sign-on) atrav´es do uso de usu´arios proxies na estrutura interna da grade. Esse tipo de autentica¸c˜ao funciona da seguinte forma: no momento em que um usu´ario cadastrado se autentica na grade e envia algum processo para ser executado, um usu´ario proxy utiliza a identidade deste usu´ario autenticado e fica respons´avel por realizar todas as autentica¸c˜oes subseq¨uentes no ambiente interno, de forma independente da localiza¸c˜ao do dom´ınio des- tas entidades na grade. Al´em disso, o GSI provˆe autentica¸c˜ao m´utua atrav´es da troca de chaves entre as entidades envolvidas da grade, utilizando SSL. Logo ap´os a execu¸c˜ao do processo de autentica¸c˜ao e da comprova¸c˜ao da identidade das entidades, ´e criado um t´unel SSL respons´avel pela provis˜ao de integridade e confidencialidade na comunica¸c˜ao entre as entidades da grade.
O GSI tamb´em disponibiliza um servi¸co de n˜ao-rep´udio atrav´es da utiliza¸c˜ao de assinaturas digitais, como ilustrado na Figura 2.9. No processo de cria¸c˜ao da assinatura, uma fun¸c˜ao hash (H) ´e utilizada para gerar um resumo da mensagem a ser assinada. Ap´os a gera¸c˜ao e assinatura do resumo com a chave K privada da entidade da grade, este ´e enviado juntamente com a pr´opria mensagem para a outra entidade participante da comunica¸c˜ao que realizar´a o processo de verifica¸c˜ao de assinatura, que acontece atrav´es da compara¸c˜ao entre o resumo gerado da mensagem e o resultado da decodifica¸c˜ao da assinatura via chave K p´ublica do emissor [4].
Figura 2.9 Assinatura digital no GSI
O GSI oferece, portanto, integridade na comunica¸c˜ao dos dados, por´em, quando um usu´ario recebe os resultados de um processo, n˜ao h´a qualquer garantia que o seu c´odigo
2.4. Seguran¸ca em Grades 22
tenha sido apropriadamente executado [59]. Assim, dentre as caracter´ısticas de seguran¸ca inerente ao GSI, observa-se a ausˆencia de um esquema que verifique a integridade dos jobs em processamento, o que evidencia a necessidade de constru¸c˜ao de mecanismos de seguran¸ca no Globus que solucionem este problema de forma integrada ao GSI.
O Global Grid Forum [60], entidade padronizadora de tecnologias para grades formada por centros de pesquisa, institui¸c˜oes acadˆemicas e o setor corporativo, define que dentre os requisitos de seguran¸ca estabelecidos, h´a a necessidade de mecanismos que detectem intrus˜ao, identifiquem o mau uso da grade por parte de usu´arios maliciosos, protegendo o ambiente, inclusive, contra v´ırus e worms [61], e que tamb´em garantam a integridade das informa¸c˜oes, provendo confian¸ca nos resultados obtidos com o processa- mento.
2.4.2 Seguran¸ca no OurGrid
A plataforma OurGrid ´e uma solu¸c˜ao para a cria¸c˜ao de grades computacionais, com foco em aplica¸c˜oes chamadas Bag-of-Tasks (BoT), ou seja, aplica¸c˜oes cujas tarefas s˜ao independentes umas das outras [62]. Dessa forma, o OurGrid viabiliza uma rede P2P de troca de favores, onde, caso sejam solicitados, os recursos ociosos de um determinado site s˜ao fornecidos para outro, mediante uma pol´ıtica de quanto mais se doa recursos, maior a prioridade junto `a comunidade para obtˆe-los quando necess´ario [46].
O OurGrid oferece mecanismos para autentica¸c˜ao em n´ıvel de site local e remoto. No primeiro caso, a autentica¸c˜ao segue os procedimentos tradicionais (login e senha), j´a que trata-se de m´aquinas que encontram-se no mesmo dom´ınio ao qual o usu´ario pertence. Contudo, o acesso a recursos de outros sites passa pelo front-end de seu dom´ınio, ou seja, o OurGrid Peer local. Nesse caso, ´e utilizado o esquema de certificados X.509 [40].
Al´em de oferecer mecanismos para autentica¸c˜ao, o OurGrid preocupa-se com a utiliza¸c˜ao dos recursos oferecidos por parte dos usu´arios e c´odigos desconhecidos. Para evitar mau uso dos recursos e proteger as m´aquinas fornecedoras de recursos, conhecidas como Gums (ou grid machines), o OurGrid oferece uma solu¸c˜ao de sandboxing, intitu- lada Swan [46], como mencionado na se¸c˜ao 2.3.4. Esta t´ecnica limita as poss´ıveis a¸c˜oes do c´odigo de um processo, criando uma parti¸c˜ao com sistema de arquivos, processos e recursos de rede isolados das demais parti¸c˜oes e respectivos processos. Tal abordagem impede que os jobs oriundos de usu´arios e aplica¸c˜oes desconhecidas causem danos a outros