The provision of security services is a key enabler in cloud computing architectures. Focusing on multi-tenancy authorization systems, the provision of different models including role based access ...control (RBAC), hierarchical RBAC (hRBAC), conditional RBAC (cRBAC) and hierarchical objects (HO) is the main objective of this paper. Our proposal is based on the Common Information Model (CIM) and Semantic Web technologies, which have been demonstrated as valid tools for describing authorization models. As the same language is being used for the information and the authorization models they are both well aligned and thus reducing the potential mismatch that may appear between the semantics of both models. A trust model enabling the establishment of coalitions and federations across tenants is also an objective being covered as part of the research being presented in this paper.
Zero-touch network and service management (ZSM) exploits network function virtualization (NFV) and software-defined networking (SDN) to efficiently and dynamically orchestrate different service ...function chaining (SFC), whereby reducing capital expenditure and operation expenses. The SFC is an optimization problem that shall consider different constraints, such as Quality of Service (QoS), and actual resources, to achieve cost-efficient scheduling and allocation of the service functions. However, the large-scale, complexity and security issues brought by virtualized IoT networks, which embrace different network segments, e.g., Fog, Edge, Core, Cloud, that can also exploit proximity (computation offloading of virtualized IoT functions to the Edge), imposes new challenges for ZSM orchestrators intended to optimize the SFC, thereby achieving seamless user-experience, minimal end-to-end delay at a minimal cost. To cope with these challenges, this paper proposes a cost-efficient optimized orchestration system that addresses the whole life-cycle management of different SFCs, that considers QoS (including end-to-end delay, bandwidth, jitters), actual capacities of Virtual Network Functions (VNFs), potentially deployed across multiple Clouds-Edges, in terms of resources (CPU, RAM, storage) and current network security levels to ensure trusted deployments. The proposed orchestration system has been implemented and evaluated in the scope of H2020 Anastacia EU project, 1 showing its feasibility and performance to efficiently manage SFC, optimizing deployment costs, reducing overall end-to-end delay and optimizing VNF instances distribution.
Tesis por compendio de publicaciones
Motivación y Objetivos Cualquier sistema distribuido como Cloud Computing se enfrenta a diferentes retos de seguridad, como son la autenticación, autorización, ...privacidad o la gestión de la confianza. Sin embargo, se precisan sistemas de autorización y confianza avanzados y con altos niveles de expresividad que hayan sido diseñados expresamente para Cloud Computing. La gestión de la seguridad en sistemas distribuidos como Cloud Computing puede llevarse a cabo, mediante el uso de políticas y reglas de seguridad aplicadas sobre modelos de sistema y seguridad enriquecidos semánticamente. El enfoque de la Web Semántica permite realizar razonamiento deductivo y procesos de inferencia sobre los modelos, permitiendo deducir conclusiones de seguridad que a su vez pueden ser usadas para tomar decisiones de autorización y confianza. Además de la gestión de la autorización de los recursos de forma independiente por cada tenant, los clientes en el mismo cloud pueden necesitar colaborar entre ellos para satisfacer necesidades avanzadas de sus servicios, lo que requiere de modelos de autorización y confianza intra-cloud para gestionar tales colaboraciones. Los usuarios demandan interacciones entre diferentes clouds para realizar operaciones tales como migraciones de datos y servicios. Se necesitan nuevas soluciones para permitir a los proveedores de servicios de cloud (CSPs) que puedan interactuar de forma segura estableciendo federaciones de clouds, paradigma conocido como Intercloud. En este sentido, el análisis de la seguridad y la confianza que puede llegar a ofrecer un proveedor de servicios de cloud es un campo de investigación que despierta un elevado interés. Los clientes y CSPs podrían beneficiarse de un sistema de ayuda a la decisión relativo a seguridad y confianza en entornos Intercloud. Este sistema podría deducir información y tomar decisiones en consecuencia, tales como rechazar o evitar determinadas interacciones entre CSPs o servicios. El paradigma del Internet de las Cosas requiere de modelos adaptados para la gestión y cuantificación de la confianza con el fin de que dispositivos desconocidos a priori puedan interactuar entre ellos de forma segura y confiable. Los modelos de control de acceso en IoT deben ser más livianos para poder tratar las comunicaciones directas entre dispositivos (a veces con características hardware reducidas), y tener en cuenta los valores de confianza de los dispositivos antes de realizar las transacciones. Dados los retos de investigación relativos a gestión de la confianza y la autorización en sistemas distribuidos destacados anteriormente, los principales propósitos de la presente tesis doctoral pueden ser son los siguientes: • Analizar y diseñar un modelo de autorización, altamente expresivo, diseñado especialmente para Cloud Computing que se apoye en técnicas de la Web Semántica. • Analizar y diseñar las diferentes relaciones de confianza que puedan establecerse en Cloud Computing entre los diferentes tenants, incrementando de esta forma la seguridad del cloud. • Analizar el estado del arte relativo a seguridad y confianza en sistemas distribuidos, Cloud Computing y especialmente en Intercloud. • Analizar los requerimientos de seguridad en Cloud Computing definiendo en consecuencia una taxonomía y ontología completas para el Intercloud. • Diseñar, implementar y validar un sistema de ayuda a la decisión relativo a seguridad y confianza que se apoye en técnicas de la Web Semántica con el fin de mejorar la toma de decisiones, cuantificando expectativas de seguridad e índices de confianza sobre CSPs. • Diseñar, implementar y validar un modelo de confianza para el Internet de las Cosas (IoT), que pueda ser aplicado junto a un sistema de autorización que tenga en cuenta los índices de confianza calculados por el modelo. Metodología La presente tesis doctoral vio sus comienzos con un estudio del estado del arte que nos llevó a empezar a definir modelos semánticos de sistemas de información y de seguridad con el fin de realizar razonamiento sobre dichos modelos usando políticas enriquecidas semánticamente. Concretamente, descubrimos que había una carencia de modelos de autorización altamente expresivos haciendo uso de la Web Semántica que pudieran gestionar de forma adecuada la complejidad de sistemas distribuidos como Cloud Computing. Los modelos de autorización actuales para Cloud Computing, aunque eficientes, están condicionados debido a sus posibilidades de expresividad semántica y, como consecuencia, limitados en cuanto a capacidades de autorización. Después del estudio de aplicabilidad de las técnicas de la Web Semántica para autorización en Cloud Computing, propusimos un modelo de autorización (Capítulo 1), basado en la Web Semántica, por lo que permite realizar razonamiento e inferencia, otorgando un mecanismo muy potente para tomar decisiones de control de acceso. Los tenants deberían poder establecer alianzas y coaliciones federadas para sacar máximo partido de sus servicios. Este escenario ocasiona diferentes problemas y retos de seguridad como la gestión del control de acceso intra-cloud, ya que deberían disponer de medios para restringir y definir qué información estará disponible para con otros tenants que compartan la misma infraestructura cloud subyacente. Para llenar este vacío, realizamos un análisis y estudio de los tipos de colaboraciones, que consideramos más importantes, y que podrían llegar a ocurrir entre los tenants de un mismo cloud, que dio como resultado una taxonomía que define los diferentes tipos de relaciones de confianza entre tenants (Capítulo 2). Asimismo, además de las relaciones intra-cloud entre tenants, los clientes y proveedores de cloud están empezando a requerir escenarios incipientes de Intercloud, donde diferentes clouds interaccionan más allá de un único proveedor. Aunque existen algunos resultados de investigación para gestión de Intercloud, hay muy pocas propuestas relacionadas con la seguridad y los aspectos de confidencialidad en el Intercloud. Con el fin de llenar este vacío, realizamos un estudio riguroso del estado del arte en el Intercloud, analizando los aspectos de seguridad y confianza en este entorno distribuido y nos centramos en una ontología destinada a definir formalmente los aspectos de seguridad modelados en una evaluación de seguridad Intercloud (Capítulo 3). Por último, hemos querido abordar el control de acceso y gestión de la confianza no sólo en los sistemas distribuidos más centrados en plataforma como Cloud Computing, sino también en otros escenarios más descentralizados M2M. Hemos diseñado un mecanismo de seguridad, aprovechando un sistema de autorización IoT ya existente llamado DCapBAC, que mejora dicho sistema de autorización para que tenga en cuenta valores de confianza calculados por el modelo de confianza (Capítulo 4). Resultados Los primeros resultados derivados del análisis y diseño de un sistema de control de acceso para Cloud Computing se presentaron en ``International Conference on Security and Cryptography'' (SECRYPT), en el artículo ``Towards an Authorization System for Cloud Infrastructure Providers''. La propuesta se basa en la Web Semántica, que permite inferir nuevos conocimientos que permiten soportar diferentes características avanzadas de autorización, superando ciertas carencias de expresividad de modelos de autorización predecesores, como el RBAC, hRBAC, cRBAC y HO. Seguidamente realizamos una investigación minuciosa de los diferentes tipos de relaciones de confianza que pueden establecerse entre tenants en el cloud. El resultado quedó reflejado en el artículo ``Taxonomy of trust relationships in authorization domains for Cloud Computing'', que fue publicado en la revista The Journal of Supercomputing. El análisis realizado concluyó con la descripción formal de las diferentes relaciones de confianza en Cloud Computing, permitiendo la definición de diferentes acuerdos de colaboración en diferentes escenarios cloud. Los resultados de investigación sobre Intercloud se muestra en el artículo ``Intercloud Trust and Security Decision Support System: an Ontology-based approach'', publicado en la revista Journal of Grid Computing. En este trabajo analiza las diferentes áreas de seguridad, propiedades y métricas que pueden ser necesarias en la evaluación de la seguridad de un CSP. Estos conceptos se han modelado en la ontología SOFIC ofreciendo un alto grado de interoperabilidad en escenarios Intercloud, y que se puede tomar como punto de partida para cuantificar expectativas de seguridad y valores de confianza de servicios y CSPs. Por último, en relación con la gestión de la confianza en IoT, nuestros resultados de investigación han sido publicados en la revista Soft Computing, en un artículo con el título ``TACIoT: multidimensional trust-aware access control system for the Internet of Things''. El artículo proporciona un modelo de confianza para IoT y mejora el sistema de control de acceso DCapBAC para que pueda tener en cuenta los valores de confianza calculados por el modelo tomar decisiones de autorización en consecuencia.
Motivation and Goals Cloud Computing, like any other kind of distributed system, has to face different challenges regarding security, such as authorization and trust management. However, there is a lack of advanced and high expressive authorization and trust models specially meant for this emerging parading. .Security management in distributed systems like Cloud Computing, can be carried out by means of applying security policies and rules over system and security models enriched semantically. The Semantic Web approach allows performing deductive reasoning and inference processes to come up with meaningful security conclusions. In addition to the management of access control for each tenant, cloud tenants within the same cloud may need to collaborate to meet client demands, which requires new authorization and trust relationships models to
The emergence of the Internet of Things paradigm promises a multi-disciplinary revolution covering different spheres of our daily lives. However, the ubiquitous nature of IoT requires inclusive ...approaches in order to agree on a common understanding about its implications. Particularly, in order to unlock its huge potential and maximize its benefits, it is necessary to minimize the risks that are associated with security and privacy concerns. In this work, we propose a comprehensive architectural design to capture the main security and privacy requirements during the lifecycle of a smart object. The resulting architecture has been designed, instantiated, and implemented within the scope of different European IoT initiatives, in order to promote the design and development of secure and privacy-aware IoT-enabled services.
PDF
