Механізми забезпечення безпеки служби Keystone
DOI:
https://doi.org/10.30837/pt.2019.2.06Ключові слова:
Безпека, Механізм, Ідентифікація, Keystone, УразливістьАнотація
В хмарних сервісах автентифікація користувача є одним з найважливіших процесів. Збереження конфіденційної інформації про клієнтів – це другий найважливіший процес. Забезпечення безпеки для цих двох процесів є основним питанням в хмарних технологіях. Автентифікація та збереження облікових даних користувача – завдання для системи управління ідентифікацією в хмарних сервісах. У статті представлено аналіз проблем безпеки, пов’язаних з ідентифікацією в хмарних сервісах та системою управління доступом, використовуючи приклад служби ідентифікації Keystone у платформі OpenStack. Основні категорії забезпечення безпеки були класифіковані як управління автентифікацією, управління авторизацією, захист персональних даних, конфіденційність та довіра, а також реєстрування та аудит. Розглянуто механізми забезпечення безпеки у кожній із категорій, необхідні для будь-якої хмарної системи управління доступом. Також було проаналізовано атаки на службу Keystone, як потенційні, так і вже виявлені, і запропоновано механізми підвищення безпеки служб ідентифікації. Практика та уразливості в системі ідентифікації та управління доступом показують, що більшість систем не підтримують всі основні механізми забезпечення безпеки. Жоден із механізмів не забезпечує всіх функцій безпеки; крім того, ще однією проблемою забезпечення безпеки хмарних сервісів є відсутність єдиних міжнародних стандартів у цій сфері для всіх хмарних сервісів та для постачальників послуг. Отриманий список атак та можливі механізми їх усунення допоможуть забезпечити захист особистих даних користувачів в хмарних сервісах та у системі ідентифікації та управління доступом. Надані результати можуть допомогти у проведенні досліджень щодо удосконалення механізмів, що дозволяють забезпечити неможливість несанкціонованого доступу до персональних даних.
Посилання
Habiba, U., Masood, R., Shibli, M. and Niazi, M. Cloud identity management security issues & solutions: a taxonomy. Complex Adaptive Systems Modeling, 2(1). DOI: 10.1186/s40294-014-0005-9
Nexia International. Global Cybersecurity Report 2017, 50p. URL: https://www.nexiabt.com/wp-content/uploads/2018/01/file-28.pdf
Cisco. 2017 Annual Cybersecurity Report. 2017, 110 p. URL: https://www.cisco.com/c/dam/m/digital/1198689/Cisco_2017_ACR_PDF.pdf
Cisco. 2018 Annual Cybersecurity Report. URL: https://www.cisco.com/c/en/us/products/security/security-reports.html
Willis Towers Watson. Willis Towers Watson Cyber Risk Survey. 2017. 38 p. URL: https://www.willistowerswatson.com/-/media/WTW/PDF/Insights/2017/06/WTW-Cyber-Risk-Survey-UK-2017.pdf?la=en&hash=EC5D9C3C2888B4D4C7BF1476AF319D4E344984C3
McAfee Labs. 2017 Threats Predictions. 2016, 56 p. URL: https://www.mcafee.com/de/resources/reports/rp-threats-predictions-2017.pdf
Ponemon Institute LLC and Accenture. Cost of Cyber Crime Study. Insights on the Security Investments that Make a Difference. 2017, 56 p. URL: https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf
Ponemon Institute LLC and Hewlett Packard Enterprise. Cost of Cyber Crime Study & the Risk of Business Innovation. 2016. 37 p. URL: https://www.ponemon.org/local/upload/file/2016%20HPE%20CCC%20GLOBAL%20REPORT%20FINAL%203.pdf
Symantec. Internet Security Threat Report. 2017, 77 p. URL: https://www.symantec.com/content/dam/symantec/docs/reports/istr-22-2017-en.pdf
Kaspersky Lab. Measuring Financial Impact of IT Security on Businesses. IT Security Risks Report. 2016, 12 p. URL: https://media.kaspersky.com/en/business-security/kaspersky-it-security-risks-report-2016.pdf
Kaspersky Lab. A global survey into attitudes and opinions on IT security. 2017, 11 p. URL: https://media.kaspersky.com/documents/business/brfwn/en/The-Kaspersky-Lab-Global-IT-Risk-Report_Kaspersky-Endpoint-Security-report.pdf
PwC UK and BAE Systems. Operation Cloud Hopper. Technical Annex. 2017, 30 p. URL: https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-annex-b-final.pdf
PwC UK and BAE Systems. Operation Cloud Hopper. 2017, 25 p. URL: https://www.pwc.co.uk/cyber-security/pdf/cloud-hopper-report-final-v4.pdf
Aviram N., Schinzel S. et al. DROWN: Breaking TLS using SSLv2. USENIX Security Symposium. 2016. 18 p.
Mott N. Drown attack: how weakened encryption jeopardizes 'secure' sites. The Guardian, 2017. URL: https://www.theguardian.com/technology/2016/mar/02/secure-https-connections-data-passwords-drown-attack
Konoth R.K. van der Veen V., Bos H. How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication. Financial Cryptography and Data Security FC 2016. Lecture Notes in Computer Science, vol 9603. Springer, Berlin, Heidelberg. DOI: https://doi.org/10.1007/978-3-662-54970-4_24
RedLock CSI Team. Lessons from the Cryptojacking Attack at Tesla. URL: https://blog.redlock.io/cryptojacking-tesla
Tripware. The WADA Hack of Olympic Athletes’ Medical Data – A Timeline. URL: https://www.tripwire.com/state-of-security/security-data-protection/cyber-security/the-wada-hack-of-olympic-athletes-medical-data-a-timeline/
WADA. Cyber Security Update: WADA’s Incident Response URL: https://www.wada-ama.org/en/media/news/2016-10/cyber-security-update-wadas-incident-response
Hackers steal McDonald's customer data URL: https://www.computerworld.com/article/2511778/security0/hackers-steal-mcdonald-s-customer-data.html
Epsilon breach: hack of the century? URL: https://www.computerworld.com/article/2471044/cloud-computing/epsilon-breach--hack-of-the-century-.html
A Hacker Claims to Have Leaked 80,000 Amazon Users' Passwords and Personal Information. URL: https://mic.com/articles/148207/a-hacker-claims-to-have-leaked-80-000-amazon-users-passwords-and-personal-information#.YreVcSQqr
Nearly 7 Million Dropbox Account Passwords Allegedly Hacked. URL: https://thehackernews.com/2014/10/nearly-7-million-dropbox-account.html
Kaspersky Lab. How to protect yourself from cloud service leaks. URL: https://www.kaspersky.com/blog/celebrity-photos-leaked/5895/
After Celebrity Photo Hack, How Safe Is the Cloud? URL: https://mashable.com/2014/08/31/how-safe-is-icloud/#NugtDdlkTuqt
How I Hacked My Own iCloud Account, for Just $200 URL: https://mashable.com/2014/09/04/i-hacked-my-own-icloud-account/#i.Uzn2JLoGqw
Ahmadi V., Tutschku K. Privacy and Trust in Cloud-Based Marketplaces for AI and Data Resources. IFIPTM, 2017: proceedings. IFIP AICT 505: Springer International Publishing AG. DOI:10.1007/978-3-319-59171-1
Pearson S., Benameur A., Pearson S. Privacy, security and trust issues arising from cloud computing. IEEE Second International Conference on Cloud Computing Technology and Science (CloudCom): proceedings, 2010. Indianapolis, IN, USA: IEEE. P.693- 702. DOI: 10.1109/CloudCom.2010.66
British Airways cancels all flights from Gatwick and Heathrow due to IT failure. URL: https://www.theguardian.com/world/2017/may/27/british-airways-system-problem-delays-heathrow
Verizon originally asked for $925M discount following Yahoo breach disclosures URL: https://www.ciodive.com/news/verizon-originally-asked-for-925m-discount-following-yahoo-breach-disclosu/438014/
Saakov V. Khakery zlamaly novyy sayt minenerhovuhillya Ukrayiny. Deutsche Welle, 2018 URL: http://www.dw.com/uk/хакери-зламали-новий-сайт-міненерговугілля-україни/a-43507063
Ukrainian Cyber Alliance. Ministerstvo sotsialʹnoyi polityky Ukrayiny…[Facebook post]. URL:https://www.facebook.com/photo.php?fbid=435547163560314&set=pcb.435547266893637&type =3&theater
Ukrainian Cyber Alliance. Vot eshchë smeshnoe ot Kirovohradsʹka Oblasna Derzhavna Administratsiya… [Facebook post]. URL: https://www.facebook.com/photo.php?fbid=435633553551675&set=p.435633553551675&type=3&theater
Ukrainian Cyber Alliance. Upovnovazhenyy Verkhovnoyi Rady Ukrayiny z prav lyudyny… [Facebook post]. URL: https://www.facebook.com/photo.php?fbid=435557056892658&set=a.130395897408777.1073741828.100013151020465&type=3&theater
RedHat. Identity Management. Cloud Administrator Guide. Red Hat Enterprise Linux OpenStack Platform. URL: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux_OpenStack_Platform/5/html/Cloud_Administrator_Guide/index.html
Rhoton J. The Identity component Keystone. URL: https://www.ibm.com/developerworks/cloud/library/cl-openstack-keystone/index.html
Keystone Installation Tutorial. OpenStack. URL: https://docs.openstack.org/keystone/pike/install/
Garg P., Singh Y. SSO (Single Sign On) Implementation. International Journal of Science and Research (IJSR), 2016. Vol.5, Is.6. P.988-990. DOI: 10.21275/v5i6.nov164426
Housley R. Cryptographic Message Syntax (CMS): IETF RFC 5652. September 2009. 56 p.
PKI – OpenStack. URL: https://wiki.openstack.org/wiki/PKI
Luo S., Hu J., Chen Z. An identity-based one-time password scheme with anonymous authentication. International Conference on Networks Security, Wireless Communications and Trusted Computing (NSWCTC), 2009: proceedings. Wuhan, Hubei, China: IEEE, 2009. P.864-867. DOI:10.1109/NSWCTC.2009.287
Olden E. Architecting a cloud-scale identity fabric. Computer. 2011. Vol. 44, Is. 3. P.52-59. DOI:10.1109/MC.2011.6011.
Choudhury A.J., Kumar P., Sain M., Lim H., Jae-Lee H. A strong user authentication framework for cloud computing. Services Computing Conference (APSCC), 2011: proceedings. Jeju Island, South Korea: IEEE, 2011. P.110-115. DOI:10.1109/APSCC.2011.14.
Wang G., Yu J., Xie Qi. Security Analysis of a Single Sign-On Mechanism for Distributed Computer Networks. IEEE Transactions on Industrial Informatics. 2013. Vol. 9 (1). P. 294- 302.
Cigoj P., Blai B.J. An Authentication and Authorization Solution for a Multiplatform Cloud Environment. Information Security Journal: A Global Perspective. 2015. Vol. 24 (4-6). P. 146-156.
Chadwick D., Casenove M., Siu K. My private cloud--granting federated access to cloud resources. Journal of Cloud Computing. 2013. Vol.2. P.1-16. DOI:10.1186/2192-113X-2-3.
Wazan A.S., Laborde R., et al. Trust Management for Public Key Infrastructures: Implementing the X.509 Trust Broker. Security and Communication Networks. 2017. Vol. 2017. P.1-23. DOI:10.1155/2017/6907146.
Jansen W., Grance T. Guidelines on Security and Privacy in Public Cloud Computing. NIST: Special Publication 800-144, 2011. 80 p.
Information Technology – Role Based Access Control: ANSI INCITS 359, 2012.
Kuhn D.R., Coyne E.J., Weil T.R. Adding Attributes to Role Based Access Control. Computer. 2010. Vol.43, Is. 6. P. 79-81.DOI:10.1109/mc.2010.155.
Hardt D. The OAuth 2.0 Authorization Framework: IETF RFC 6749. October 2012, 76p.
OpenStack: Barbican. URL: https://wiki.openstack.org/wiki/PKI.
##submission.downloads##
Опубліковано
Номер
Розділ
Ліцензія
Авторське право (c) 2019 Ievgeniia Kuzminykh, Maryna Fliustikova
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:- Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.
- Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.
- Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).