Publikationsserver der Universitätsbibliothek Marburg

Titel: Infrastructural Security for Virtualized Grid Computing
Autor: Schmidt, Matthias
Weitere Beteiligte: Freisleben, Bernd (Prof. Dr.)
Erscheinungsjahr: 2011
URI: https://archiv.ub.uni-marburg.de/diss/z2011/0616
URN: urn:nbn:de:hebis:04-z2011-06167
DOI: https://doi.org/10.17192/z2011.0616
DDC: Informatik
Titel(trans.): Infrastrukturelle Sicherheit im virtualisierten Grid Computing

Dokument

Schlagwörter:
Grid Computing, Virtualisierung, Grid Computing, Computersicherheit, Virtualization, Security

Summary:
The goal of the grid computing paradigm is to make computer power as easy to access as an electrical power grid. Unlike the power grid, the computer grid uses remote resources located at a service provider. Malicious users can abuse the provided resources, which not only affects their own systems but also those of the provider and others. Resources are utilized in an environment where sensitive programs and data from competitors are processed on shared resources, creating again the potential for misuse. This is one of the main security issues, since in a business environment competitors distrust each other, and the fear of industrial espionage is always present. Currently, human trust is the strategy used to deal with these threats. The relationship between grid users and resource providers ranges from highly trusted to highly untrusted. This wide trust relationship occurs because grid computing itself changed from a research topic with few users to a widely deployed product that included early commercial adoption. The traditional open research communities have very low security requirements, while in contrast, business customers often operate on sensitive data that represents intellectual property; thus, their security demands are very high. In traditional grid computing, most users share the same resources concurrently. Consequently, information regarding other users and their jobs can usually be acquired quite easily. This includes, for example, that a user can see which processes are running on another user´s system. For business users, this is unacceptable since even the meta-data of their jobs is classified. As a consequence, most commercial customers are not convinced that their intellectual property in the form of software and data is protected in the grid. This thesis proposes a novel infrastructural security solution that advances the concept of virtualized grid computing. The work started back in 2007 and led to the development of the XGE, a virtual grid management software. The XGE itself uses operating system virtualization to provide a virtualized landscape. Users’ jobs are no longer executed in a shared manner; they are executed within special sandboxed environments. To satisfy the requirements of a traditional grid setup, the solution can be coupled with an installed scheduler and grid middleware on the grid head node. To protect the prominent grid head node, a novel dual-laned demilitarized zone is introduced to make attacks more difficult. In a traditional grid setup, the head node and the computing nodes are installed in the same network, so a successful attack could also endanger the user´s software and data. While the zone complicates attacks, it is, as all security solutions, not a perfect solution. Therefore, a network intrusion detection system is enhanced with grid specific signatures. A novel software called Fence is introduced that supports end-to-end encryption, which means that all data remains encrypted until it reaches its final destination. It transfers data securely between the user´s computer, the head node and the nodes within the shielded, internal network. A lightweight kernel rootkit detection system assures that only trusted kernel modules can be loaded. It is no longer possible to load untrusted modules such as kernel rootkits. Furthermore, a malware scanner for virtualized grids scans for signs of malware in all running virtual machines. Using virtual machine introspection, that scanner remains invisible for most types of malware and has full access to all system calls on the monitored system. To speed up detection, the load is distributed to multiple detection engines simultaneously. To enable multi-site service-oriented grid applications, the novel concept of public virtual nodes is presented. This is a virtualized grid node with a public IP address shielded by a set of dynamic firewalls. It is possible to create a set of connected, public nodes, either present on one or more remote grid sites. A special web service allows users to modify their own rule set in both directions and in a controlled manner. The main contribution of this thesis is the presentation of solutions that convey the security of grid computing infrastructures. This includes the XGE, a software that transforms a traditional grid into a virtualized grid. Design and implementation details including experimental evaluations are given for all approaches. Nearly all parts of the software are available as open source software. A summary of the contributions and an outlook to future work conclude this thesis.

Zusammenfassung:
Ein Grid soll einem Benutzer Ressourcen so einfach zu Verfüng stellen, wie das Stromnetz: Ein Gerät wird an die Steckdose angeschlossen und sofort danach mit Strom versorgt. Im Gegensatz zu einer Steckdose nutzt Grid Computing allerdings entfernte Ressourcen, die bei einem Provider installiert sind. Diese können durch böswillige Nutzer missbraucht werden, die damit nicht nur ihre eigenen Installationen sondern auch die von anderen Benutzern und dem Provider gefährden. Ressourcen im Grid Computing werden gemeinsam benutzt, d.h. Daten und Programme von konkurrierenden Nutzern oder Unternehmen sind auf der selben physischen Ressource gespeichert. Diese gemeinsame Nutzung stellt eines der Hauptprobleme dar, da Unternehmen sich im Allgemeinen gegenseitig misstrauen und die Gefahr durch Industriespionage omnipräsent ist. Die aktuelle Strategie, um mit diesen Problemen umzugehen, basiert auf dem Vertrauen des Nutzers gegenüber anderen Nutzern und dem Administrator. Diese Entwicklung resultiert aus der Tatsache, dass sich das Grid von einer rein akademischen Spielwiese hin zu einem anerkannten Produkt mit ersten kommerziellen Anwendern entwickelt hat. Im Gegensatz zu kommerziellen Anwendern haben akademische Nutzer meist niedrigere Sicherheitsanforderungen, da Quelldaten und Ergebnisse frei zur Verfügung stehen. Kommerzielle Daten und Anwendungen beinhalten in der Regel geistiges Eigentum, das besonderem Schutz bedarf. In der gemeinsamen Nutzung von Ressourcen im traditionellen Grid Computing liegt also eines der Hauptprobleme, welches die kommerzielle Verbreitung erschwert. Informationen über andere Benutzer und deren Jobs können auf solchen Systemen einfach erlangt werden. In den einfachsten Fällen stellt die blosse Kenntnis, dass ein Konkurrent auf demselben System rechnet, einen Informationsvorsprung dar, der nicht akzeptabel ist, da sogenannte Meta-Daten meist vertraulich sind. Es kann konstatiert werden, dass ein wirksamer Schutz von sensitiven Inhalten im Grid nicht ausreichend vorhanden ist. Diese Arbeit stellt neue Infrastruktur-Mechanismen vor, die das Konzept von virtuellen Grids weiter voran bringen. Die Arbeiten dafür begannen 2007 und haben zur Entwicklung der XGE geführt. Die XGE ist eine Software zum Erzeugen und Verwalten von virtuellen Grid-Umgebungen. Jobs von Benutzern werden nicht länger nativ, sondern in virtuellen Maschinen ausgeführt. Um die Software einfach in ein bestehendes Grid einzubinden, kann die XGE die Entscheidungen eines bereits installierten Schedulers nutzen und mit der Grid-Middleware auf der Grid-Headnode zusammenarbeiten. Eine neue Grid-fähige, zweigleisige, demilitarisierte Zone schützt die Grid-Headnode vor direkten Angriffen aus dem Internet. Zudem sind die Headnode und die Rechenknoten voneinander isoliert und nicht, wie in einem traditionellen Grid-Umfeld, im selben Netzwerk installiert. Obwohl die demilitarisierte Zone Angriffe erschwert, bietet sie, wie alle Sicherheitslösungen, keinen hundertprozentigen Schutz. Daher ist ein Network Intrusion Detection System um Grid-spezifische Signaturen erweitert worden, damit Angriffe auf Grid-Komponenten verhindert und aufgezeichnet werden können. Um die Daten der Benutzer über die demilitarisierte Zone hinaus zu schützen, ist eine Lösung namens Fence entwickelt worden, die die Daten verschlüsselt vom Rechner des Benutzers in das interne Grid-Netzwerk überträgt. Fence arbeitet dabei mit allen beteiligten Komponenten, inklusive dem Scheduler, zusammen. Ein System verhindert, dass unsichere Kernel-Module und somit auch Kernel-Rootkits zur Laufzeit geladen werden können. Um die Sicherheit der virtuellen Maschinen zu gewährleisten wird ein Malware-Scanner eingesetzt. Dieser nutzt die spezielle Technik der Virtual Machine Introspection um alle laufenden Programme zu überwachen und dabei selber unsichtbar und, für die meiste Malware, unangreifbar zu bleiben. Um die Erkennung zu beschleunigen, können mehrere Erkennungsinstanzen im Grid parallel betrieben werden. Das neue Konzept der öffentlichen, virtuellen Grid-Knoten wird ebenfalls im Kontext dieser Arbeit vorgestellt. Dies ist eine Menge von Grid-Knoten, die aus dem Internet erreichbar und durch dynamische Firewalls geschützt sind. Die Knoten können sich sowohl in einem, als auch in mehreren Rechenzentren befinden. Ein spezieller Web-Service erlaubt es dem Benutzer eigene Firewall-Regeln für seine virtuellen Maschinen zu spezifizieren, ohne damit die Gesamtumgebung zu gefährden. Das Hauptergebnis der Arbeit sind Lösungen, die dazu beitragen die Sicherheit von Grid-Infrastrukturen auf unterschiedlichen Ebenen zu erhöhen. Alle Ansätze werden detailliert mit Design, Implementierung und Evaluation beschrieben und sind als Open-Source-Software frei verfügbar. Eine Zusammenfassung und ein Ausblick auf kommende Forschung schliessen die Arbeit ab.


* Das Dokument ist im Internet frei zugänglich - Hinweise zu den Nutzungsrechten