Advanced authorization model for service and resource protection in distributed systems and cloud computing

Resumen

Objetivos La computación Cloud (o Cloud computing) es un paradigma de computación donde los servicios e infraestructuras son dinámicos, y pueden escalar y distribuirse bajo demanda. Sin embargo, las compañías son reacias a su adopción debido a la falta de confianza en cuanto a seguridad y privacidad. Cuando los datos residen en el Cloud, residen fuera de la organización, lo que provoca una sensación de pérdida de control. Así, el sistema de control de acceso se convierte en una pieza clave, mientras que las actuales soluciones para Cloud no proporcionan suficiente expresividad para describir reglas avanzadas de autorización y federación para un acceso seguro a los recursos. Además, el traslado de los datos al Cloud implica confianza en el proveedor de servicio (CSP), lo que también provoca incertidumbre. ¿Estará el CSP accediendo a los datos para su propio beneficio? ¿Estará aplicando fielmente las reglas de autorización definidas por el usuario? Aunque estos aspectos normalmente son gestionados en base a acuerdos de servicio (SLAs), el CSP podría realmente acceder a los datos e incluso cederlos. Esta situación lleva a replantearse la seguridad y avanzar hacia una aproximación centrada en los datos (data-centric), donde los datos están auto-protegidos con mecanismos criptográficos donde quiera que se encuentren. Esta tesis doctoral se centra en el control de acceso en sistemas distribuidos, con especial atención a su aplicación en el Cloud, tratando de aportar un modelo avanzado de control de acceso basado en políticas que permita una gestión de seguridad de forma confiable y segura. Por lo tanto, en esta tesis se pretende: " Diseñar un modelo de autorización para entornos distribuidos con alta expresivi-dad siguiendo un esquema de Control de Acceso Basado en Roles (RBAC). " Proporcionar una solución de control de acceso que tenga en cuenta las particularidades del Cloud como el soporte multi-tenancy. " Estudiar la aplicación de tecnologías de Web semántica para gestión de políticas de seguridad y su capacidad de representación semántica y razonamiento. " Aportar una aproximación data-centric que permita subir datos al Cloud de manera segura y confiable, en la que los datos estén protegidos criptográfica-mente y su acceso controlado mediante políticas de autorización. Metodología Para el desarrollo de esta tesis doctoral se ha seguido una aproximación en la que se ha comenzado por proporcionar una primera propuesta del modelo de autorización en entornos distribuidos, que luego ha sido refinado, formalizado y contextualizado en entornos Cloud, y finalmente protegido criptográficamente, resultando en un modelo auto-protegido para protección de recursos en el Cloud. Así, un primer trabajo proporciona una aproximación inicial a la aplicación de tecnologías de Web semántica para gestionar políticas de seguridad en entornos distribuidos con características multi-tenancy como es la computación Grid, aportando una primera arquitectura y un primer modelo de autorización con capacidades de razonamiento avanzadas que permiten tareas de alto valor añadido tales como detección y resolución de conflictos entre políticas. En una segunda fase, se refina y formaliza el modelo de autorización, proporcionándole características de expresividad avanzadas basadas en RBAC, y se particulariza la arquitectura y el modelo para adaptarlo a las características específicas del Cloud, proporcionando también un modelo de confianza para dar soporte a posibles federaciones entre usuarios. Finalmente, se realiza una formalización matemática del modelo de autorización y se protege criptográficamente para conseguir una aproximación data-centric para que los datos queden auto-protegidos y puedan ser gestionados de manera segura y confiable por cualquier CSP sin riesgo a que se pueda acceder a ellos o cederlos a usuarios no autorizados. Cada una de estas tres fases corresponde a un trabajo de investigación completo en el que se incluye también una prueba de concepto y una serie de pruebas con resultados y estadísticas de rendimiento, con el objetivo de analizar la viabilidad de la propuesta en cada una de sus fases. Resultados Como principal resultado de esta tesis doctoral, se proporciona una propuesta de control de acceso altamente expresiva, confiable y segura, adecuada y adaptada a entornos de computación Cloud, que permite una gestión de seguridad con características de autorización avanzadas. Se define un modelo de control de acceso avanzado que permite la especificación de políticas de alto nivel, proporcionando una alta expresividad y teniendo en cuenta la heterogeneidad de los dominios del Cloud. Se proporciona también una arquitectura de seguridad y se da soporte a multi-tenancy, incluyendo capacidades federativas para situaciones en las que los usuarios deseen compartir recursos en el Cloud. El modelo de está basado en RBAC y soporta las siguientes características de expresividad: jerarquías de roles (hRBAC), condiciones de contexto (cRBAC) y jerarquías de objetos (HO). Se han aplicado tecnologías de la Web semántica, con lo que se consigue una alta expresividad de las políticas. El formalismo lógico proporcionado por las ontologías proporciona capacidades de razonamiento, posibilitando la aplicación de técnicas avanzadas para la gestión de políticas tales como la detección de conflictos semánticos, que generalmente son complejos de detectar ya que son dependientes del dominio. También se proporciona una aproximación data-centric utilizando novedosas técnicas criptográficas basadas en identidad (identity-based encryption) y re-encriptación proxy (proxy re-encryption) para proteger tanto los datos como el propio modelo de autoriza-ción. Esta propuesta proporciona una aproximación de autorización para Cloud, en la que las reglas están bajo el control del usuario, siendo la evaluación delegada al CSP de manera protegida, resultándole imposible acceder a los datos o cederlos a terceros. Durante la elaboración de esta tesis doctoral, el trabajo de investigación desarrollado se ha publicado en diversas publicaciones científicas, incluyendo artículos en revistas internacionales de los primeros cuartiles JCR, conferencias internacionales y capítulos de libro. Cabe destacar que los trabajos de investigación que componen el núcleo de esta tesis corresponden con artículos que han sido publicados o están siendo revisados en revistas internacionales con índice JCR Q1.