Tietoturvan haasteet grideille

Samankaltaiset tiedostot
Tietoturvan haasteet grideille

Keskitetty käyttäjähallinto. VirtAMK-yhteyshenkilöpäivät Turku Jarmo Sorvari TAMK

Sähköinen tunnistus korkeakouluissa. TieVie-lähiseminaari Mikael Linden Tieteen tietotekniikan keskus CSC

Federoidun identiteetinhallinnan

Federoidun identiteetinhallinnan periaatteet

CSC - Tieteen tietotekniikan keskus

Grid: Käsitteet, teknologiat, sovellukset sekä vaikutus CSC:läisten työhön

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Luottamusverkosto. Shibboleth-asennuskoulutus CSC Tieteen tietotekniikan keskus Oy CSC IT Center for Science Ltd.

MatTaFi projektin HAKA-pilotti

Salausmenetelmät (ei käsitellä tällä kurssilla)

Grid-hankkeita ja tulevaisuuden näkymiä

Uloskirjautuminen Shibbolethissa

TW- EAV510: PORTIOHJAUS (VIRTUAL SERVER) ESIMERKISSÄ VALVONTAKAMERAN KYTKEMINEN VERKKOON

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Palomuurit. Palomuuri. Teoriaa. Pakettitason palomuuri. Sovellustason palomuuri

Päivitetty TIETOVERKON JA TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Mistä on kyse ja mitä hyötyä ne tuovat?

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

Tutkimus web-palveluista (1996)

AsioEduERP v12 - Tietoturvaparannukset

1. päivä ip Windows 2003 Server ja vista (toteutus)

Webkoulutus

Laitteessa tulee olla ohjelmisto tai uudempi, tarvittaessa päivitä laite

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

HELSINGIN KAUPUNKI MUISTIO Numero 1 TALOUS- JA SUUNNITTELUKESKUS Tietotekniikkaosasto

Verkkoliikenteen rajoittaminen tietoturvasta huolehtimiseksi ja häiriön korjaamiseksi

Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa. Janne Tägtström Security Systems Engineer

Tietosuojaseloste. Trimedia Oy

TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Kymenlaakson Kyläportaali

sekä yksittäistä atk-laitetta tai -laitteistoa että niiden muodostamaa kokonaisuutta

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

OP Tunnistuksen välityspalvelu

Käyttäjähallintokoulu Mikael Linden tieteen tietotekniikan keskus CSC

Salasanojen turvallinen tallentaminen KeePass ohjelmalla

Työasema- ja palvelinarkkitehtuurit IC Storage. Storage - trendit. 5 opintopistettä. Petri Nuutinen

Articles... 3 Käyttäjähallinnon kuvaus... 4 Unohtunut salasana... 6 Tunnusten käyttöönotto... 7 Ohjeita... 8

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

TIETOSUOJASELOSTE. Yleistä. Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään? Mitä henkilötietoja minusta kerätään ja mistä lähteistä?

Pertti Pennanen DOKUMENTTI 1 (5) EDUPOLI ICTPro

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Järjestelmänvalvontaopas

HY:n alustava ehdotus käyttäjähallintotuotteesta

Unix-perusteet. Tiedosto-oikeudet

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Tietoturvatekniikka Ursula Holmström

LAURA TM -rekrytointijärjestelmän tietoturva. Markku Ekblom Teknologiajohtaja Uranus Oy

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Tiedostojen jakaminen turvallisesti

Yleinen ohjeistus Linux tehtävään

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

PALVELUITA DATANHALLINTAAN

HY:n alustava ehdotus käyttäjähallintotuotteesta

Tiedostojen siirto ja FTP - 1

Tietoturvan Perusteet Yksittäisen tietokoneen turva

Käyttäjien ja käyttövaltuuksien hallinta terveydenhuollon alueella

Menetelmäraportti - Konfiguraationhallinta

Tuotetta koskeva ilmoitus

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

VISMA ECONET PRO ASP SOVELLUSVUOKRAUS. Page 1

Tietokannan tietoturva. Heli Helskyaho Tietoturva-aamupäivä, Oracle House

Mihin tarkoitukseen henkilötietojani kerätään ja käsitellään?

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

Mark Summary Form. Taitaja Skill Number 205 Skill Tietokoneet ja verkot. Competitor Name

eduroamin käyttöohje Windows

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

HY:n ehdotus käyttäjähallintotuotteesta

Kemikaalitieto yhdestä palvelusta

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Jatkuvan oppimisen tunnistuspalvelu pähkinänkuoressa. Opetus- ja kulttuuriministeriö

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Tietojenkäsittelyn perusteet 2. Lisää käyttöjärjestelmistä

Mobiililaitteiden ja sovellusten tietoturvallisuus mihin tulee kiinnittää huomiota?

IT-palvelujen ka yttö sa a nnö t

DNSSec. Turvallisen internetin puolesta

Käyttäjätunnukset ja käyttöoikeudet

PKI- ja hakemistotarpeet pacsissa

Copyright 2007 Hewlett-Packard Development Company, L.P. Windows on Microsoft Corporationin Yhdysvalloissa rekisteröimä tavaramerkki.

IdP SaaS Palveluna Miksi sitä tarvitaan? Mikä se on? Kenelle se on tarkoitettu? 2009 Tieto Corporation 2/5/2010

Yritysturvallisuuden perusteet

1. Sähköinen tunnistautuminen KTJ-rekisterinpitosovellukseen

Tietojärjestelmät Metropoliassa Mikko Mäkelä & JHH

LANGATON TAMPERE: CISCO WLAN CONTROLLER KONFIGUROINTI

Keskitetty käyttäjähallinto

Tietoa ja ohjeita Hämäläisten ylioppilassäätiön asuntoloiden laajakaistaverkon käytöstä

Firefox 29 ja uudemmat

Käyttöönottosuunnitelma Virtu-kotiorganisaatiolle

Järjestelmäriippumaton käyttäjänäkökulma varmennekortin hyödyntämiseen

TIETOTURVA. Miten suojaudun haittaohjelmilta

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

Kemikaalitieto yhdestä palvelusta

HY:n kevytkäyttäjähallintosovellus ATIK-projektille

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietotekniikkakeskuksen palvelut ja opiskelijan tietoturva

Moderni käyttäjähallinta oppilaitosympäristössä. Korkeakoulujen IT-päivät Petri Karppinen

Palvelunestohyökkäykset. Abuse-seminaari Sisältö

Transkriptio:

Tietoturvan haasteet grideille Arto Teräs <arto.teras@csc.fi> Suomen Unix-käyttäjäin yhdistys FUUG ry:n kevätristeily 20.3.2006 Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 1(14)

Grid Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 2(14)

Tavoite Helppo pääsy suureen joukkoon erilaisia resursseja Suuri laskenta- ja tallennuskapasiteetti Käyttö mistä vain, milloin vain (mobiilikäyttäjät) Ei käyttöä haittaavia rajoitteita siinä mitä saa tehdä (esim. omien ohjelmien suorittaminen) Yksityisyyden suoja turvattu Mutta: Halu estää väärinkäyttö Resurssien jako, käytäntöjen yhteensovittaminen yli organisaatiorajojen Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 3(14)

Avoimuuden kulttuuri Nykyisissä grid-hankkeissa yhtäläisyyksiä Internetin alkuaikoihin Yritetään nyt ensin saada edes yhteydet toimimaan, mietitään tarkempia rajoituksia myöhemmin Jotain opittu: ei selväkielisiä salasanoja verkon yli. Mutta miten hallita käyttöoikeuksia? Aloite grid-ympäristöjen rakentamiseen soveltavien tieteiden piiristä, ei tietojenkäsittelytieteilijöiltä Ensimmäisiä käyttäjiä fyysikot, joiden data ei ole arkaluontoista Toisaalta hyvissä ajoin liikkeellä myös lääketieteen ala, jolla tiukat turvavaatimukset Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 4(14)

Käyttäjän tunnistus Julkisen avaimen salausmenetelmistä vahva perusta Kaksi yleisesti käytettyä mallia: 1) Henkilövarmenteet (luotettu kolmas osapuoli) 2) Tunnistuksen siirtäminen kotiorganisaatioon ja suojattu yhteys palvelimien välillä (Shibboleth) + näiden kytkeminen toisiinsa (GridShib) Haasteita: Identiteetin kaappauksen estäminen Tunnistautuminen epäsuorasti - miten ohjelma voi esiintyä gridissä käyttäjän identiteetillä? Yksityisyyden suoja, anonyymi käyttö? Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 5(14)

Varmenteisiin perustuva tunnistus Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 6(14)

Varmenteisiin perustuva tunnistus Mihin tallennetaan käyttäjän yksityinen avain? Tiedostoon omalla koneella? Suojattuna? Erilliselle turvatulle palvelimelle? Toimikortille? Matkapuhelimen SIM-kortille? Keihin varmentajiin pitäisi luottaa? Akateemisia ja kaupallisia varmentajia Varmentajien muodostamat luottamusverkostot (esim. EUGridPMA, International Grid Trust Federation) ovat ratkaisseet tämän ongelman jo melko hyvin Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 7(14)

Tunnistuksen siirto "kotiin" (Shibboleth) 1. HTTP Tahdon sisään portaaliin http://www.virtuaaliyliopisto.fi/ VY-portaali 3. Username: eskoe Password: 95iEfHw 2. HTTP redirect Kaveri teidän korkeakoulusta haluaa portaaliin. Ottakaa hänestä selvää! HY 4. HTTP redirect Tahdon sisään portaaliin http://www.virtuaaliyliopisto.fi/ Kahvani on F49E4065A 5. SAML SOAP Kertokaa kaverista jonka kahva on F49E4065A 6. SAML SOAP Hän on lääketieteen opiskelija näytetään lääketieteilijöiden portaali Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 8(14)

Käyttöoikeuksien hallinta Erotettu käyttäjän tunnistuksesta Palvelu voi tunnistaa käyttäjän, mutta silti evätä pääsyn (vrt. perinteinen unix-tunnus ja salasana, jossa nämä yhdistetty) Käyttäjiä hallitaan tyypillisesti ryhminä (Virtual Organization, VO) Hallinta yksittäisten käyttäjien tasolla olisi liian työlästä Luottamus VO:ta ylläpitävään organisaatioon! Hienojakoisuuden ja joustavuuden ristiriita Nykyisin yleisesti käytössä karkea malli jossa yksi pääsylippu kaikkeen Kehittyneemmät mallit: roolit, ja erillinen tunniste kutakin operaatiota varten, mutta käyttäjälle silti kertakirjautuminen Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 9(14)

Oikeuksien siirto (delegation) Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 10(14)

Palomuurit Kiinteät ip-osoitteisiin ja portteihin perustuvat säännöt soveltuvat huonosti grid-ympäristöihin Haittaavat käyttäjien liikkuvuutta Laajat yhteistyöverkostot:: pääsy pitäisi joka tapauksessa sallia suuresta joukosta eri verkkoja => hallinta vaikeaa Estävät lähinnä sokeat automatisoidut hyökkäykset satunnaisista osoitteista Hyöty pienenee sitä mukaa mitä enemmän on luvallisia käyttäjiä ja sallittuja verkkoja Kaapattu tunnus on todennäköisempi tunkeutumisväylä kuin ohjelmiston tietoturva-aukko Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 11(14)

Tietoturvapoikkeamat Tunkeutumistavat eivät juurikaan eroa nykyisistä Havaitsemisessa paras tulos saataneen yhdistämällä vanhat keinot ja muutamia uusia Grid-tason IDS? Reagoinnin nopeus korostuu Kaapatulla tunnuksella päästään entistä nopeammin etenemään laajalle alueelle Yhteistyö organisaatiorajojen yli CERTit tehneet jo pitkään, varmaankin tältä osin kaikkein parhaiten grideihin valmistautunut yhteistyöverkosto Toiminta varmenneviranomaisten (CA) kanssa, kaapattujen tunnusten varmenteiden mitätöinti pääsyn sulkemiseksi Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 12(14)

Käyttöpolitiikka ja säännöt Käyttäjä ei jaksa lukea pitkiä ohjeita ja sääntöjä ei ainakaan useita erilaisia! Sääntöjen yhtenäistäminen eri organisaatioiden välillä tärkeää Käyttöoikeuden saaminen eri palveluihin pitää olla helpompaa kuin nykyisten käyttäjätunnusten Miten käyttäjähallinnot saadaan pelaamaan yhteen? Käyttäjän pelottelu ja tekniset rajoitukset vai käyttäjään luottaminen? Miten käyttäjä saadaan luottamaan gridiin sääntöjä palveluntarjoajille? Kansainvälinen yhteistyö ja kulttuurierot Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 13(14)

Linkkejä Haka-infrastruktuuri: http://www.csc.fi/suomi/funet/middleware/haka/ Shibboleth-väliohjelmisto: http://shibboleth.internet2.edu/ Globus Security Infrastructure: http://www.globus.org/toolkit/docs/4.0/security/ EGEE Security work package: http://egee-jra3.web.cern.ch/egee-jra3/ Grid Security Papers: http://www.princeton.edu/~jdwoskin/grid/gridsecpapers. html Tietoturvan haasteet grideille / Arto Teräs 2006-03-20 Kalvo 14(14)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute