Українська
Українська
English
Анотації DOI: 10.30837/pt.2019.2.06

Кузьміних Євгенія Дмитрівна, Флюстікова Марина Сергіївна

Механізми забезпечення безпеки служби Keystone

В хмарних сервісах автентифікація користувача є одним з найважливіших процесів. Збереження конфіденційної інформації про клієнтів – це другий найважливіший процес. Забезпечення безпеки для цих двох процесів є основним питанням в хмарних технологіях. Автентифікація та збереження облікових даних користувача – завдання для системи управління ідентифікацією в хмарних сервісах. У статті представлено аналіз проблем безпеки, пов’язаних з ідентифікацією в хмарних сервісах та системою управління доступом, використовуючи приклад служби ідентифікації Keystone у платформі OpenStack. Основні категорії забезпечення безпеки були класифіковані як управління автентифікацією, управління авторизацією, захист персональних даних, конфіденційність та довіра, а також реєстрування та аудит. Розглянуто механізми забезпечення безпеки у кожній із категорій, необхідні для будь-якої хмарної системи управління доступом. Також було проаналізовано атаки на службу Keystone, як потенційні, так і вже виявлені, і запропоновано механізми підвищення безпеки служб ідентифікації. Практика та уразливості в системі ідентифікації та управління доступом показують, що більшість систем не підтримують всі основні механізми забезпечення безпеки. Жоден із механізмів не забезпечує всіх функцій безпеки; крім того, ще однією проблемою забезпечення безпеки хмарних сервісів є відсутність єдиних міжнародних стандартів у цій сфері для всіх хмарних сервісів та для постачальників послуг. Отриманий список атак та можливі механізми їх усунення допоможуть забезпечити захист особистих даних користувачів в хмарних сервісах та у системі ідентифікації та управління доступом. Надані результати можуть допомогти у проведенні досліджень щодо удосконалення механізмів, що дозволяють забезпечити неможливість несанкціонованого доступу до персональних даних.

Ключові слова: безпека, механізм, ідентифікація, Keystone, уразливість

Ievgeniia Kuzminykh, Maryna Fliustikova

Mechanisms of ensuring security in Keystone service

User authentication is one of the most important aspects in the area of cloud services, followed by the storing of sensitive information about customers. A number of solutions exist for authentication, security, and privacy provisioning in cloud, while cloud identity management systems aim to simplify and harmonise access. This paper presents an investigation into the security problems associated with cloud identity and access management system (IAMS), using the Keystone identity service within OpenStack as an example. In order to analyse the existing challenges, the paper expands security provisioning into authentication management, authorization management, personal data protection, privacy and confidentiality, as well as logging and auditing and considers the security mechanisms required for any cloud IAMS for each one of these categories. The paper also investigates some of the existing and potential attacks against the Keystone service, then follows with recommendations and mechanisms for enhancing the security. The vulnerabilities in cloud IAMS show that most systems support at most a subset of security provisioning mechanisms or have their own flaws; in addition, there are no unified international standards in this cloud identity systems area for cloud and service providers. The identified list of attacks and the associated mitigation mechanisms will help to provide the identity and access management system with the protection of identity credentials in the cloud system. The provided results can help with further researching mechanisms aiming to ensure personal data confidentiality and integrity.

Keywords: security, mechanism, identification, Keystone, vulnerability

Стаття
DOI