Benutzergesteuerter Datenschutz in Grids

Transkript

1 Wolfgang Hommel (LRZ) Michael Schiffers (LMU) Benutzergesteuerter Datenschutz in Grids 1. DFN-Forum Kommunikationstechnologien, Kaiserslautern,

2

3 Überblick These -Datenschutzmanagement (privacy management) in Grids ist kritische Lücke Begründung -Lücke: Datenschutzmanagement ist nicht Identity Management -Kritisch: Beeinträchtigt die Akzeptanz von Grids Wie kann die Lücke geschlossen werden? -Idee: Bewährte Konzepte des Datenschutzmanagements übernehmen -Anpassen an Spezialitäten im Grid Umsetzung auf Basis XACML -Provider Framework (ref. EduGAIN) -Policy-Architektur -Einbettung in Grid-Middleware

4 Datenschutzmanagement allgemein Datenschutzvereinbarungen (möglichst online) -Idealerweise maschinenlesbar (z.b. P3P) -Versioniert Damit lassen sich personenbezogene Daten attributieren (sticky policies) Audit Informationelle Selbstbestimmung -Business Card Metapher -Korrekturen und Entfernen auf Verlangen -Vollständige Kontrolle durch den User über Identity Management Portal Karjoth et al., 2002

5 Datenschutzmanagement allgemein

6 Datenschutzmanagement allgemein Durchsetzen der Zweckbindung (intended use) bei der Verwendung personenbezogener Daten -Policy basiert Überprüfung im Rahmen von Audits -Obligationen Aktionen nach Enforcement Freigeben von Daten Sperren von Verzeichnissen Benachrichtigen des Besitzers Logging Initiiert und überwacht durch einen Obligation Monitor

7 und in Grids Schutz Job-sensibler Daten RO Schutz VOsensibler Daten Grid Computing: RO Coordinated problem solving and resource sharing VOin dynamic multi-institutional virtual organizations Schutz Sitesensibler Daten (Anatomy of the Grid) Schutz persönlicher Daten Reale Organisation

8 Typischer Grid-Job Grimm et al., 2008 Speicher Speicher Speicher File Catalogue Job Scheduler Initialisierung Input Ausführung Output

9 Grid Privacy Policies Stakeholders -Legislative -Grid-Betreiber -Grid Operations Center -Resource Provider -Service Provider -Heimatorganisation bzw. Identity Provider -VO -User -Grid-Job Prioritäten der Ebenen sind Szenario-spezifisch Privacy Policy Repository Gesetzlich verankerte Policies Grid-Job Policies (preferences) Grid-weite Policies umfasst z.b.: EU Directive 95/46/EC Bundesdatenschutzgesetz User Policies (preferences) VO-spezifische Policies IVOM, 2008 Identitiy Provider Policies Service Provider Policies

10 Wo liegen die Knackpunkte? Konzeptionell -Integrierte Betrachtung aller Policy-Ebenen -Lebenszyklus-affine Obligationen Job VO -Attribut-orientierte Freigabe -Identifikatoren für Provider-Gruppen a priori unbekannt -Sind Policy Points Teil der VO? -Grid-Dienste werden orthonym genutzt Implementierungstechnisch -Management-Schnittstelle für Benutzer Persönliche Präferenzen Grid-Job Präferenzen -Heterogenität Multi-policy Multi-middleware Multi VO Management RO RO VO RO

11 Wie können die Lücken geschlossen werden? Erweiterung des Namensraumschemas um Grid- Entitäten -Gruppen, Rollen -Virtuelle Organisationen -Jobs Beispiele: Grid-Job code input output Freigaberegeln für Grid-Entitäten Definition eines Vokabulars für (Szenario-spezifische) Zweckbindungen Beispiele: code-optimization no-backup

12 Wie kann eine Umsetzung aussehen? Basis XACML -extensible Access Control Markup Language (OASIS- Standard) -Bestehende Infrastrukturen können verwendet werden (PDP, Front Ends) -Architektur-Konzept erlaubt einfache Erweiterbarkeit -Wird für FIM Datenschutzmanagement bereits prototypisch genutzt -Wird für Grid Access Control bereits genutzt To Do -Identity Provider -Service Provider Kein direkter Datenzugriff Präprozessoren, Batch Scheduling Trigger Mechanismus im Obligation Monitor -Middleware-Integration Ebert, 2006 Lorch et al., 2004 Lang et al., 2006

13 Beispiel: Freigaberegel zur Code-Optimierung eines Grid-Jobs <Policy id="gridjobpolicyexample1" RuleCombiningAlgorithm="first-applicable"> <CombinerParameters> <CombinerParameter ParameterName='PolicyPriority'> 100 <!-- Exemplarische Priorität, falls mehrere Policies für die Anfrage relevant sind --> </CombinerParameter> </CombinerParameters> <Description> Freigabe des Programmcodes fuer Optimierungszwecke </Description> <Rule id="examplerule1" effect="permit"> <Target> <Resource> <!-- Daten, auf die sich die Regel bezieht, entsprechend definiertem URI-Namensraum --> </Resource> <Subject> <!-- Freigabe an potentiell alle Service Provider im Grid... --> </Subject> <Action> <!--... mit Einschränkung anhand des Verwendungszwecks --> gridjobs/code-optimization </Action> </Target> </Rule> </Policy>

14 Architektur der Datenschutzkomponenten (Identity Provider, Heimatorganisation) Administrator der Heimatorganisation Nutzung Grid Policy Mgmt. Interface Vorgabe einrichtungsweiter Policies Abruf Privacy Policy Decision Point Anfragen bzgl. Freigabe Grid-Middleware, erweitert um: Zentraler Benutzerdatenbestand Datenaktualisierung Policyaktualisierung Zentrales Policy-Repository Policyaktualisierung Privacy Policy Enforcement Point Grid-Kommunikation Nutzung Self Service Web-Interface Empfang gridweiter Policies Grid-Benutzer Nutzung Grid-Job Submission Portal Übergabe von Grid-Jobs

15 Identity Provider Zentrales Policy-Repository

16 Identity Provider Policyaktualisierung Zentrales Policy-Repository Empfang gridweiter Policies

17 Identity Provider Nutzung Administrator der Heimatorganisation Grid Policy Mgmt. Interface Vorgabe einrichtungsweiter Policies Zentrales Policy-Repository

18 Identity Provider Zentraler Benutzerdatenbestand Datenaktualisierung Policyaktualisierung Zentrales Policy-Repository Grid-Benutzer Nutzung Self Service Web-Interface

19 Identity Provider Grid-Benutzer Nutzung Nutzung Self Service Web-Interface Grid-Job Submission Portal Übergabe von Grid-Jobs

20 Identity Provider Abruf Privacy Policy Decision Point Zentrales Policy-Repository

21 Identity Provider Abruf Anfragen bzgl. Freigabe Privacy Policy Decision Point Zentrales Policy-Repository Privacy Policy Enforcement Point

22 Identity Provider Grid-Middleware, erweitert um: Abruf Anfragen bzgl. Freigabe Privacy Policy Decision Point Zentrales Policy-Repository Policyaktualisierung Privacy Policy Enforcement Point Grid-Kommunikation Empfang gridweiter Policies Grid-Job Submission Portal Übergabe von Grid-Jobs

23 Identity Provider Administrator der Heimatorganisation Nutzung Grid Policy Mgmt. Interface Vorgabe einrichtungsweiter Policies Abruf Privacy Policy Decision Point Anfragen bzgl. Freigabe Grid-Middleware, erweitert um: Zentraler Benutzerdatenbestand Datenaktualisierung Policyaktualisierung Zentrales Policy-Repository Policyaktualisierung Privacy Policy Enforcement Point Grid-Kommunikation Nutzung Self Service Web-Interface Empfang gridweiter Policies Grid-Benutzer Nutzung Grid-Job Submission Portal Übergabe von Grid-Jobs

24 Wo stehen wir heute? Datenschutz-spezifische Unterschiede zwischen Grids und anderen organisationsübergreifenden Szenarien sind verstanden. Grid-spezifische Datenschutz-Policies können im Rahmen bestehender Konzepte formuliert werden. -Erweiterter Namensraum -Erweitertes Vokabular Architektur-Konzepte für Identity und Service Provider wurden für Grids vorgeschlagen. Prototypische Realisierung des Identity Providers ist abgeschlossen.

25 Die nächsten Schritte Analyse weiterer Grid-Projekte zur Bestimmung eines präzisen Policy-Vokabulars -Conditions -Obligations Bereitstellung eines Web-basierten Management-Tools für Grid- User Einbindung in Grid Middleware Vollständige Realisierung -Identity Provider Plus

26 Realisierung des Service Providers Relevante Komponenten der Grid-Middleware: Administrator des Service Providers Nutzung Grid Policy Mgmt. Interface Vorgabe einrichtungsweiter Policies Abruf von Auflagen Grid-Kommunikation Empfang gridweiter Policies Policyaktualisierung 1. Entscheidung über die Erfüllbarkeit der Anforderungen eingehender Grid-Jobs Abruf von Policies Zugriffsentscheidung Zentrales Policy-Repository Anstoßen der Datenbereinigung Obligation Monitor Entgegennahme von Grid-Jobs 2. Übergabe des Grid-Jobs an lokale Systeme Privacy Policy Decision Point Kanalisierung der Zugriffe über das Privacy Management System Privacy Policy Enforcement Point Speicherkapazität Rechenressourcen Zentraler Benutzerdatenbestand

27 Sensible Daten von Sites und VOs Site -Informationen zu Betriebssystemen und Softwarelevels -Lokale Benutzerkennungen -Unterstützte Grid User DNs -Verwendete Authentifizierungsmethoden -Interne Systempfade -Job-Namen -Fehlerinformationen -Systemlast- und Leistungsdaten -User-Aktivitäten -Historische Verfügbarkeitsdaten -Certificate Revocation Lists VO -Gruppen -Rollen -Capabilities -Auditdaten -Usage Records -Memberships -Teilnehmende Organisationen -. Cholia u. Porter, 2008

28 Noch jede Menge Fragezeichen!

29

30 Referenzen Cholia u. Porter, S. Cholia, R. Porter: Publication and Protection of Site Sensitive Information in a Grid Infrastructure; Proc. First STPG 2008, Lyon, 2008 Ebert, M. Ebert: Konzeption und Implementierung einer policy-basierten Privacy Management Architektur für föderierte Identitätsmanagementsysteme am Beispiel Shibboleth, Diplomarbeit LMU, 2006 Grimm et al., Ch. Grimm et al.: Grid Security Tutorial im Rahmen des 3. D-Grid Security Workshops; Göttingen, IVOM, P. Gietz et al.: Policy Decision Points for the D-Grid, Report zum Arbeitspaket 4.2 des D-Grid IVOM-Projekts, 2008 Karjoth et al., G. Karjoth, M. Schunter, M. Waidner: Platform for Enterprise Privacy Practices: Privacy-enabled Management of Customer Data, 2nd Workshop on Privacy Enhancing Technologies, 2002 Lang et al., B. Lang et al.: A Multipolicy Authorization Framework for Grid Security. NCA 2006 Lorch et al., M. Lorch, D. Kafura, S. Shah: An XACML-Based Policy Management and Authorization Service for Globus Resources, Virginia Tech, 2004

31 Vielen Dank Michael Schiffers

32