ГОСТ Р 55768-2013 Информационная технология (ИТ). Модель открытой Грид-системы. Основные положения

     4.7 Безопасность

Безопасное управление требует контроля доступа к услугам через надежные протоколы безопасности и в соответствии с принятой политикой безопасности. Например, получение прикладных программ и запуск их в Грид-среде могут потребовать аутентификации и авторизации. Кроме того, совместное использование ресурсов пользователями требует наличия какого-либо вида механизма изоляции. Кроме того, необходимы стандартные механизмы безопасности, которые могут быть направлены на защиту Грид-систем, путем поддержки безопасного совместного использования ресурсов между административными доменами.

Требования безопасности следующие.

1) Аутентификация и авторизация. Требуются механизмы аутентификации, цель которых - идентифицировать индивидуального пользователя и сделать возможным установление требуемых сервисов. Грид-система должна следовать требованиям политики безопасности каждого домена, а также, возможно, будет вынуждена выяснять пользовательские политики безопасности. Авторизация должна включать различные модели контроля доступа и их реализации.

2) Множественные инфраструктуры безопасности. Распределенные операции предполагают необходимость интеграции и взаимодействия с несколькими инфраструктурами безопасности. СОАОГС необходимо интегрироваться и взаимодействовать с существующими архитектурами и моделями безопасности.

3) Решения безопасности периметра. При необходимости ресурсы могут быть доступны через границы организаций. СОАОГС требует наличия стандарта и механизмов безопасности, которые, с одной стороны, могут быть использованы для защиты организаций, с другой - позволят осуществлять взаимодействие между доменами без ущерба для локальных механизмов безопасности, таких как политика брандмауэра и политика обнаружения вторжений.

4) Изоляция. Должны быть обеспечены различные виды изоляции, например изоляция пользователей, изоляция выполнения, изоляция между содержимым, предлагаемым в рамках одной Грид-системы.

5) Делегирование. Требуются механизмы, которые позволяют делегировать права доступа от пользователей сервисами к поставщикам этих сервисов. Риск злоупотребления делегированными правами должен быть сведен к минимуму, например путем ограничения прав, переданных посредством делегирования на запланированную работу, и ограничения длительности их существования.

6) Обмен политиками безопасности. Потребители и поставщики сервисов должны иметь возможность динамически обмениваться информацией о политиках безопасности, чтобы путем переговоров установить контекст безопасности между ними.

7) Обнаружение вторжений, защита и безопасная авторизация. Для обнаружения и идентификации злоупотреблений (в том числе действия вирусов) необходима мощная система мониторинга. Для защиты критически важных областей или функций необходимо существование возможности перемещения этих областей для отвода от них атаки.