Aktualności
2011-03-18
Ochrona projektowa i projektowana
Bezpieczeństwo infrastruktury IT w projektach naukowo-badawczych.
Projekty naukowo-badawcze stanowią bardzo istotną część działalności centrów badawczych połączonych siecią PIONIER. Dzięki tej infrastrukturze można przeprowadzić wiele unikalnych działań, sprawdzić w realnych warunkach działanie projektowanych rozwiązań, aby następnie – sprawdzone i dogłębnie przetestowane – zaproponować je szerszemu gronu użytkowników.

Choć wyniki niektórych projektów to innowacyjne prototypy, niegotowe jeszcze do pełnego funkcjonowania na rynku, nie oznacza to, że podczas ich budowy, a nawet dopiero planowania iprojektowania, bezpieczeństwo teleinformatyczne jest mało istotne i staje się pomijane. Wręcz przeciwnie – aby otrzymać produkt, którego stosowanie nie narazi użytkowników na groźne ataki – bezpieczeństwo musi być uwzględniane na każdym etapie prac.

GÉANT3 europejski olbrzym
Jednym z największych finansowanych przez Unię Europejską projektów, zrzeszającym 32 krajowe sieci badawczo-naukowe z całej Europy, jest GÉANT3. Ze strony polskiej w projekcie bierze udział operator sieci PIONIER – Poznańskie Centrum Superkomputerowo-Sieciowe. Sieć GÉANT i jej usługi pozwalają środowiskom badawczym w Europie i na świecie na bliską współpracę w przełomowych dziedzinach, przy użyciu najnowocześniejszych technologii. W projekcie GÉANT3 szczególny nacisk położony jest – poza infrastrukturą sieciową – na rozwój usług i rozwiązań dla europejskiego środowiska badawczego. Nie ulega zatem wątpliwości, że ochrona systemów oraz danych pozostawać musi na najwyższym poziomie.

Co prawda w strukturze projektu nie występuje osobny pakiet roboczy dedykowany bezpieczeństwu, ale odpowiednie podzadania zdefiniowano w ramach poszczególnych aktywności, np. badaniach nad usługami oraz sieciami multidomenowymi. Pozwala to na płynne rozproszenie dość zróżnicowanych prac pomiędzy różne zespoły, składające się z ekspertów bezpieczeństwa o odpowiednich kompetencjach.

Sporo pracy ma zespół opiekujący się usługami. Działa projektowy CERT – międzynarodowy zespół reakcji na incydenty wielodomenowe (a zatem takie, gdzie atakujący bądź ofiary rozproszeni są po różnych krajowych sieciach naukowych), opracowywane są procedury, utworzono także ich bazę, zawierającą jednocześnie instrukcje użycia odpowiednich narzędzi czy dane kontaktowe.

Wramach zadania powołano odrębny zespół ekspertów bezpieczeństwa realizujący usługę Security Expertise Delivery. Każdy spośród kilku setek uczestników projektu może wystąpić okompletną ekspertyzę bezpieczeństwa, związaną z wykonanym przez niego zadaniem projektowym. Przygotowano iopublikowano zestaw obszarów tematycznych – od tworzenia polityk bezpieczeństwa, przez ochronę poszczególnych usług, systemów czy urządzeń sieciowych, tworzenie odpornego kodu aż po ściśle specjalizowane zagadnienia – jak protokół IP w wersji 6. Polscy eksperci zaangażowani są w niemal 10 obszarów tematycznych. Szczególnie istotny okazał się wkład w zakresie bezpiecznego programowania. Temat uznano za na tyle istotny (w ramach projektu powstaje przecież szereg usług i aplikacji sieciowych), że zdecydowano się na przeprowadzenie dwudniowego, kompleksowego szkolenia dla programistów.

Wydaje się, że powołanie usługi „ekspertyzy bezpieczeństwa na żądanie” dla potrzeb całego projektu jest świetną ideą, która powinna być stosowana także wwielu innych przedsięwzięciach – oczywiście w połączeniu ze świadomością programistów czy administratorów, że ostosowną ekspertyzę warto i należy wystąpić. Pomocne w tym zakresie mogą być odpowiednie procedury, zatwierdzane przez kierownictwa projektów.

Pl-Grid Polski Grid Narodowy
PL-Grid to projekt, w którym uczestniczy 5 polskich centrów obliczeniowych. Wkażdym z nich zaangażowanych jest wprace od kilku do kilkudziesięciu osób. Efektem działań jest powstanie ogólnopolskiej infrastruktury obliczeniowej, umożliwiającej wykonywanie symulacji przez kilkuset naukowców różnych dziedzin. Takie nagromadzenie cennych zasobów przyciąga niestety także osoby zainteresowane ich nieautoryzowanym wykorzystaniem. Celem ataków jest przede wszystkim uzyskanie dostępu do mocy obliczeniowej, ale mogą nim być także przestrzenie dyskowe bądź oryginalne wyniki badań naukowych. Aby ochronić tak cenne zasoby, w projekcie PL-Grid powołano odrębną jednostkę czuwającą nad bezpieczeństwem gridu – tzw. „Centrum Bezpieczeństwa”. Wyznaczony zespół specjalistów, któremu przewodzi Wrocławskie Centrum Sieciowo Superkomputerowe, bierze udział w każdym etapie tworzenia infrastruktury. Aby zapewnić szybką i sprawną reakcję na potencjalne incydenty, Centrum Bezpieczeństwa bierze udział w pracach jednostki CERT sieci PIONIER, stosując ujednolicone procedury oraz wymieniając się doświadczeniami i bieżącymi obserwacjami. Centrum Bezpieczeństwa PL-Grid jest jednocześnie członkiem i polskim ramieniem EGI CSIRT, organizacji zajmującej się zarządzaniem obsługą incydentów gridowych na poziomie europejskim.

Zadania polegające na reagowaniu na incydenty są oczywiście bardzo istotne, ale jeszcze ważniejsze jest zapobieganie naruszeniom bezpieczeństwa. Takimi proaktywnymi działaniami prowadzonymi wprojekcie PL-Grid są testy penetracyjne sieci i systemów operacyjnych oraz audyty newralgicznych aplikacji.  Zidenty- fikowanie wszystkich podatności ponad 100 serwerów jest zadaniem bardzo  pracochłonnym, które ponadto – w myśl zasady, że bezpieczeństwo jest procesem, anie produktem – musi być wykonywane cyklicznie. Osobną klasą prac Centrum Bezpieczeństwa PL-Grid są audyty aplikacji zarządzających przepływem zadań w gridzie i tych dostarczających interfejsów do zarządzania kontem oraz zlecania obliczeń. Składowymi każdego audytu jest  badanie działającej aplikacji oraz analiza jej kodu źródłowego. Efektem niniejszych prac było m.in. zidentyfikowanie przez zespoły WCSS i PCSS kilku nieznanych dotąd, a istotnych podatności w publicznie dostępnych i popularnych aplikacjach, także komer- cyjnych. 

Centrum Innowacji Microsoft
Na koniec – inicjatywa o nieco innym charakterze, ale ze względu na swoją specyfikę i historię – bardzo interesująca. W Poznańskim Centrum Superkomputerowo-Sieciowe od 2006 roku działa Centrum Innowacji Microsoft (MIC). Ówcześnie była to inicjatywa unikalna wskali kraju (poznańskie MIC powstało także jako drugie w Europie Środkowo-Wschodniej) – dziś podobne Centrum istnieje także w Łodzi. W projekcie, oprócz firmy Microsoft, finansującej przedsięwzięcie, bierze również udział Politechnika Poznańska.

Poznańskie MIC działa jako „Centrum bezpieczeństwa i usług outsourcingowych” – już nazwa projektu podkreśla istotną rolę bezpieczeństwa w działaniach Centrum. Od samego początku, wramach stałego nadzoru nad bezpieczeństwem infrastruktury PCSS i sieci PIONIER, współpracujemy z administratorami klastra Centrum Innowacji Microsoft w zakresie konsultacji iweryfikacji poziomu zabezpieczeń poszczególnych serwerów i usług.

Jednym z najbardziej widocznych efektów prac jest program szkoleń bezpieczeństwa Centrum Innowacji Microsoft. Szkolenia, bezpłatne dla wszystkich chętnych, obejmują bardzo różne tematy i skierowane są zarówno do specjalistów bezpieczeństwa, jak i admini- stratorów, programistów, czy także użytkowników komputerów. Dzięki inicjatywie Centrum Innowacji Microsoft małe iśrednie przedsiębiorstwa oraz jednostki administracji publicznej miały również okazję na realizację audytu bezpieczeństwa teleinformatycznego, na który w innym przypadku nie mogłyby sobie pozwolić.

To tylko wybrane przykłady prac projektowych realizowanych obecnie w polskich jednostkach MAN. Wszędzie jednak bezpieczeństwo traktowane jest tak poważnie, jak tego wymagają dzisiejsze czasy.

Bartłomiej Balcerek, WCSS
Gerard Frankowski, PCSS