MakoSi Management komplexer Sicherheitsmechanismen

Transkript

1 MakoSi Folie 1

2 MakoSi - Projektpartner FhG IGD Darmstadt Fraunhofer Institut für Graphische Datenverarbeitung FhG IPK Berlin Fraunhofer Institut für Produktionsanlagen und Konstruktionstechnik FhG SIT Darmstadt Fraunhofer Institut für Sichere Telekooperation DiK TU Darmstadt Datenverarbeitung in der Konstruktion ZGDV e.v. Rostock Zentrum für Graphische Datenverarbeitung Folie 2

3 Ausgangssituation Zunehmende Kooperation und Vernetzung von Unternehmen Steigendes Bedrohungspotential beim elektronischen Informationsaustausch Unzureichende Nachvollziehbarkeit der Sicherheitsmaßnahmen trotz hohen Aufwands Fehlendes Handwerkszeug zur strukturierten Unterstützung von Sicherheitskonzepten Fehlende Ausdrucksmöglichkeiten heterogener Sicherheitsbedürfnisse Folie 3

4 Beispielszenario: Das IVIP-Whiteboard Verteilte Konstruktionsumgebung für Anwendungen im Automotive-Bereich Entwickelt im Rahmen des BMBF-Leitprojektes virtuelle, integrierte Produktentstehung Sicherheitsanforderungen von Zulieferern und Automobilherstellern sind häufig stark asymmetrisch, geprägt durch ökonomische Machtverhältnisse, Schutzrechte und Vertragsbeziehungen Folie 4

5 Zielstellung MakoSi Schutz sensitiver Daten bei der unternehmensübergreifenden Zusammenarbeit Geschäftsprozessorientierung, ohne Vernachlässigung der Sicherheitsrisiken Kompromiss zwischen IT-Sicherheit und Kosten, Performanz sowie Funktionalität und Usability Weitgehende Formalisierung und Automatisierung Berücksichtugung etablierter Standards (CC, BS77/99, Grundschutzhandbuch,...) Vision: Policy Driven System Folie 5

6 Beispiel: Sicherheitsrichtlinien nach BS Folie 6

7 Ansatz Verwendung und Integration von Security-Policies Gleichberechtigte Unterstützung von Risk-Awareness und Security-Enforcement Pilothafte Umsetzung der Konzepte am Beispiel einer Shared Whiteboard-Konferenz, dem ivip WB Forschung adressiert unterschiedliche Ebenen Analyse von Geschäftsprozessen Komponenten zur technischen Lösung Evaluation am formalen Modell Ableitung eines mehrstufigen Vorgehensmodells zur Abdeckung des Integrationsprozesses Analysis Modelling Evaluation Implementation Integration Folie 7

8 Der Weg zu einem Policy Driven System Integration Input Running System Analysis Enterprise Viewpoint Informal Policy Existing Appl. Existing Security Proc. Modelling Implement. Viewpoint Formal Application. Desc Evaluation Formal Procedure Desc. Formal Policy Model Viewpoint Optim. Policy Metrik Policy Kernel Attributed System Monitor Enforcement Awareness Implementation Implement Viewpoinṫ Policy Driven System Enterprise Viewpoint Folie 8

9 Schwerpunkte in MakoSi Vorgehensmodell: nachvollziehbare Schritte von der Spezifikation bis zur Implementierung Datenmodell zur Beschreibung von Kooperationssystemen, das MakoSi Basis-Datenmodell (MBDM) Policy Enforcement auf Basis der WBEM Services von Sun und dem Common Information Model (CIM) leicht wiederverwendbare Standardkomponenten Abgleich von Laufzeitinformationen, durch eigenständige Komponenten (RTI) Risikovermittlung beim Benutzer durch den Security- Awareness Enginge (SAE) Folie 9

10 MakoSi-Vorgehensmodell Das MakoSi-Vorgehensmodell zielt auf: Handhabbarer, vollständiger und fehlerfreier Vergleich von Sicherheitsrichtlinien bei Domänen-übergreifender Zusammenarbeit Methodenbasierte Unterstützung aller Beteiligten von der Spezifikation bis hin zur Implementierung Effektive, effiziente und für alle Beteiligten nachvollziehbare Implementierungen von Sicherheitsrichtlinien Folie 10

11 MakoSi-Vorgehensmodell Hi erarchie, hier z. B. H ie rar ch ie von Dokumenten Geschützte Daten, z.b. ein verschlüsseltes Dokument 1 0..n Gruppe Sec Dat 1 1 +geschützte Daten 0..n 1 0..n Data 1 0..n +PRef 0..n Person 0..n 0..n Dat 1 +wählbare Daten Geschäftsklassen realizes Transaktionspartner +Empfänger 0..n +Sender 1 1..n 1 +ausgewählte Daten Risiko-Analyse Verbale Spezifikation Übertragungsprotokoll SSL HTTP 1 1 Austauschpaket Übertragung 1 1..n 1..n +verfügbare Protokolle 1 1 Logging Start Daten bestimmen do/ evaluate(daten) [ Daten nicht in Paket ] [ Daten in Paket ] Transaktionspartner evaluieren [ SOLL-TP!= 0 ] Transaktionspartner bestimmen event evaltp( IST -TP )[ SOLL-TP ]/ evaluate [ TP bestimmt ] do/ get_ist-tp do/ get_soll-tp(daten) [ TP nicht in Paket ] [ TP in Paket ] [ ÜP nicht in Paket ] Abb ruc h Übertragungsprotokoll evaluieren event evalüp( IST-ÜP )[ SOLL-ÜP ]/ evaluate [ SOLL-ÜP!= 0 ] [ ÜP best im mt ] Übertragungsprotokoll bestimmen do/ get_ist-üp do/ get_soll-üp(daten, TP) [ ÜP in Paket ] Daten übertragen Implementierung do/ transfer(daten, TP, ÜP) Daten in Konferenz Daten nicht in Konferenz Zustandsmodellierung & Formale Analyse Folie 11

12 Meilensteine des MakoSi-Vorgehensmodells Folie 12

13 Bausteine des Policy Driven System Risikovermittlung beim Benutzer (SAE) Abgleich von Laufzeitinformationen (RTI) Policy Enforcement auf Basis der WBEM Services (CIM) MBDM SAE CIM MBDM RTI Folie 13

14 MakoSi-Basis-Datenmodell (MBDM) Einfaches Datenmodell zur Beschreibung von Kooperationssystemen auf der Basis von Rollen Aufbau von einfachen Sicherheitsmodellen für die Formulierung von Sicherheitspolitiken und deren Verifikation Bereitstellung von Standardmodellen für gängige Kooperationsszenarien XML Repräsentation für einfachen Austausch und Transformation der Modelle bzw. Szenarien Ziel: Einheitliches Vokabular und Ontologie die die Konsistenz zwischen formaler Evaluation und Implementierung sichern Folie 14

15 Ein MBDM-Profil: Rollentypen einer Telekollaboration Die drei Rollentypen einer Telekollaboration und ihre Beziehungen untereinander. sind aktiv in Konferenz Attribute Verschlüsselung, Protokollierung, Zugang,... werden angezeigt durch Attribute Firma, Position, Lokation,... Teilnehmer gehören zu Dokumente Attribute Format,Priorität, Vertraulichkeit,... Folie 15

16 Telekollaboration Funktionale Grundcharakteristik Sicherheitsrelevante Grundcharakteristik einer Telekollaboration ist: Dokumente in einer Konferenz sind unmittelbar allen Teilnehmern zugänglich Policies sind Event-Condition-Action (ECA) Regeln, die ausgelöst durch einen (versuchten) Zustandsübergang, d.h. eine Änderung von Attributswerten, Bedingungen auswerten und im Erfolgsfall Aktionen durchführen Folie 16

17 MBDM Rollenhierarchie Rollentypen Konferenz Con Teilnehmer Mem Dokument Doc Vererbung Rollen Whiteboard W Zulieferer S Automobilhersteller M D1 D2 Instantiation Rollenspieler Folie 17

18 Die Funktion des MBDM in MakoSi Das MakoSi-Basis-Datenmodell ist die grundlegende Datenstruktur für die zentralen Prozessschritte von MakoSi. Rollentypen, Rollen, Attribute, Datentypen,... Kooperierende Parteien, auszutauschende Daten, Sicherheitsanforderungen, System-Funktionalitäten, informelle Policies,... Folie 18

19 MBDM als Basis-Infrastruktur Policy Schema (XML-Schema) Policy Schema Variabler Teil validieren Policies ECA-Regeln (XML) XSLT Policy Management und Enforcement PMT, PDP (CIM-CPM, WQL) XSLT XSLT Basis- Datenmodell (XML) Formale Verifikation SHVT/APA (eigenes Format) Events Actions Modellierung von Rollen und Attributen Modellierung Verifikation Telekollaborations-Szenario Folie 19

20 Formale Verifikation Das SHVT Folie 20

21 MBDM-CIM Modell Architektur Extended CIM Model MakoSi Base Data Model CIMOM Whiteboard Application Instance Document Instance Member Instance Associations MBDM_Role Con MBDM_Role Doc MBDM_Role Mem MBDM_Policy Rule 1 MBDM_Policy Rule 2 MBDM_Policy Rule 3 Model Provider-API Whiteboard Instance 1 Whiteboard Instance n state information SAE Server RMI Monitor mapping of role players CIM- MBDM- Mapper rule evaluation & enforcement MakoSi Policy Decision Point Implementation Folie 21

22 Policy Driven System auf Basis von WBEM-Services (1) Laufzeitarchitektur auf der Basis des des CIM- Standards und der WBEM-Services Integration der MBDM- Szenarien und Regeln Zuordnung zu realen Rollenspielern im CIM Einfache Anwendung und Wiederverwendung von einmal erstellten und validierten Regelsätzen Security Awareness Monitor CSCW-Tool Anwender A MakoSi Enforcement Architecture (CIM & WBEM-Services) Policy Enforcement Statusinformation Statusinformation Security Awareness Monitor CSCW-Tool Anwender B Folie 22

23 Policy Driven System auf Basis von WBEM-Services (2) Policy Management Tool: Editor für Policy Regeln Zuordnung zwischen MBDM-Rollen und Rollenspieler Im- & Export von MBDM-Rollen & Policy Regeln CIM-MBDM-Mapper: Update der MBDM-Rollen-Instanzen in Abhängigkeit vom Systemzustand der Rollenspieler-Objekte MakoSi Policy Decision Point: Auswertung & Durchsetzung der Policy Regeln im MBDM Awareness Generator: Security awareness Informationen für den Endbenutzer auf Basis der Policy Entscheidungen u./o. anderer Systemereignisse Anwendungskonnektor: Anbindung von Telekooperationsanwendungen an die WBEM-Architektur MBDM Rollen & Regeln (XML) Folie 23 Awareness Monitor MakoSi Policy Decision Point MBDM- Policy Regel MBDM-Rolle CIM und WBEM-Services Anwendungsinstanz 1 MakoSi Policy Management Tool Enforcement Rollenspieler Statusinformation Systemereignisse Anwendungs- Konnektor Konfiguration CIM-MBDM- Mapper Anwendungsinstanz n

24 Abgleich von Laufzeitinformation Hintergrund: aus Komplexitätsgründen kann laufzeitrelevante Detailinformation bei der formalen Verifikation nicht berücksichtigt werden Sie wird deshalb abstrahiert (z.b. Zusammenfassung von verschiedenen Verschlüsselungstypen in Klassen) Detailinformation ist aber ein wichtiger Faktor im implementierten System Ziel: Erleichterung der Erfassung relevanter Detailinformation für Administratoren und Endbenutzer Automatisierter Abgleich Folie 24

25 Abgleich der Laufzeitinformation Identifikation der laufzeitrelevanten Information mit Hilfe des MakoSi-Vorgehensmodell Administrator kann Zusammenhänge in der laufzeitrelevanten Information berücksichtigen Der Benutzer erhält eine Schablone und ergänzt die Regeln um individuelle benutzerspezifische Daten Die Abgleichskomponente führt den Abgleich durch einfache und komplexere Regeln Schablone benutzerspezifische Daten Abgleichskomponente CIM Folie 25

26 Integration der Abgleichskomponente Regeln werden für die jeweilige Kooperation erstellt Session-spezifische Daten werden von den Benutzer geliefert Abgleichskomponente verarbeitet Regeln und Daten Interaktion mit CIM stellt Integrität sicher kooperationsspezifische Daten Konferenzbeitritt sessionspezifische Daten Abgleichskomponente CIM Folie 26

27 Funktionsweise der Abgleichskomponente Prolog-Kern zur dynamischen Regelauswertung Regeln und sitzungsspezifische (externe) Daten werden in XML beschrieben Kommunikation mit der CIM-Komponente zur Laufzeit externe Daten XML-Parser XML2Prolog Interface Prolog CIM-Interface CIM Folie 27

28 Security Awareness and Enforcement (SAE) Effektive Durchsetzung von Sicherheitsrichtlinien erfordert Sensibilisierung der Benutzer Methoden Nachvollziehbares Enforcement Unterstützung der Benutzers bei der Einhaltung von Sicherheitsrichtlinien Risikovermittlung Verbesserung der Wahrnehmung von Sicherheitsrisiken durch den Anwender Folie 28

29 SAE Architektur User: App X User: B@S1 App Y User: C@S2 App Y Connector Notificator Connector Notificator Connector Notificator Netzwerk SAE Service PDP Message Service SAE Plugin CIM/WBEM SAE Component Folie 29

30 Security Awareness and Enforcement (SAE) Maßnahmen zur Awareness- Vermittlung Applikation erfragt Durchführbarkeit bei sicherheitsrelevanten Aktionen. Sicherheitskritische Aktionen werden signalisiert Nur unbedenkliche Operationen dürfen durchgeführt werden In einem Monitor werden die geprüften Aktionen und das Ergebnis angezeigt. Der Benutzer wird damit für sicherheitskritische Aktionen sensibilisiert. Existierende Applikationen können flexibel in diese Infrastruktur integriert werden Folie 30

31 Nachfolgende Folien enthalten ergänzende Informationen Folie 31

32 Anwendungsszenario: Virtual Design Review Policy Company M App X Company S1 App Y A B D2 D1 D3 D5 D4 D6 Konferenz nur mit S1 und S2 Keine Originaldaten übertragen... Policy A@M B@S1 Keine Originaldaten übertragen Nur gesicherte Kommunikationskanäle... D3 Folie 32 C@S2 Security Checker Policy Company S2 App Y Policies C D8 D7 D9 Konferenz nur mit bekannten Partnern Nur gesicherte Kommunikationskanäle...