بسم الله الرحمن الرحیم

اعتمادسازی در ذخیره‌سازی کلود

آموزش کلودسیم  CloudSim

فصل بیستم

اعتمادسازی کلود

اعتمادسازی در ذخیره‌سازی کلود

Ayad Barsoum  و [17] Anwar Hasan سعی در اعتمادسازی در ذخیره اطلاعات دارند. ایشان معتقدند این به صاحب اطلاعات جهت برون‌سپاری داده به csp و اجرای عملیات دینامیکی کامل در سطح بلوک اجازه می دهد و از عملیاتی نظیر تغییرات بلوک، الحاق، حذف و افزودن حمایت می کند و خواص به‌روز بودن را تضمین می‌کند. این طرح کنترل دسترسی را به داده‌های برون‌سپاری شده ضروری می کند. ما در مورد ویژگیهای امنیتی طرح پیشنهادی بحث می کنیم. بعلاوه ما اجرای این طرح را از طریق تجزیه و تحلیل نظری و اجرای اولیه بستر نرم‌افزاری انبوه به جهت ارزیابی ذخیره‌سازی، ارتباط و محاسبه توصیه می کنیم.

بخشهای سیستم و رابطه ها : مدل ذخیره‌سازی محساسباتی انبوه در این شبکه که شامل 4 بخش اصلی هستند.

1- یک صاحب داده که می تواند به‌صورت یک سازمان تولیدکننده داده نفوذ پذیر باشد درانبوه ذخایر و برای استفاده خارجی کنترل شده در دسترس قرار داده می شود.

2- Cps سرور انبوه را مدیریت می کند و بروی زیرساختش به جهت ذخیره کردن فایل صاحب فایل فضای ذخیره‌سازی  را فراهم می ند و آن را برای کاربران مجاز قابل‌دسترس می کند.

3- کاربران مجاز یک مجموعه دارنده ارباب رجوع که حق دسترسی به داده پرت را دارند می‌باشند.

4- TTP بخش سوم مورد اعتماد، شخصی است که به‌وسیله دیگر بخشهای سیستم مورد اعتماد قرارگرفته و به جهت نمایان ساختن و تعیین کردن بخشهای نادرست امکانات لازم را دارا می‌باشد.

شکل 2- 1 [Ayad Barsoum , et al., 2013] Cloud Computing Data Storage System Model

جایی که پیکانهای سر بعدی و خط تیره رابطه اعتماد و بی اعتمادی را نشان می دهد. برای مثال: صاحب داده کاربران مجاز و CPS به TTP اعتماد می کنند. به عبارت دیگر صاحب داده و کاربران مجاز رابطه بی اعتمادی دو طرفه به CSP دارد. بنابراین TTP جهت قادر ساختن اعتماد دوطرفه غیر مستقیم بین این سه بخش مورداستفاده قرار می گیرد. یک رابطه اعتماد مستقیم بین صاحب داده و کاربران مجاز وجود دارد.

بسم الله الرحمن الرحیم

اعتمادسازی در ذخیره‌سازی کلود

آموزش کلودسیم  CloudSim

فصل بیستم

اعتمادسازی کلود

اعتمادسازی در ذخیره‌سازی کلود

Ayad Barsoum  و [17] Anwar Hasan سعی در اعتمادسازی در ذخیره اطلاعات دارند. ایشان معتقدند این به صاحب اطلاعات جهت برون‌سپاری داده به csp و اجرای عملیات دینامیکی کامل در سطح بلوک اجازه می دهد و از عملیاتی نظیر تغییرات بلوک، الحاق، حذف و افزودن حمایت می کند و خواص به‌روز بودن را تضمین می‌کند. این طرح کنترل دسترسی را به داده‌های برون‌سپاری شده ضروری می کند. ما در مورد ویژگیهای امنیتی طرح پیشنهادی بحث می کنیم. بعلاوه ما اجرای این طرح را از طریق تجزیه و تحلیل نظری و اجرای اولیه بستر نرم‌افزاری انبوه به جهت ارزیابی ذخیره‌سازی، ارتباط و محاسبه توصیه می کنیم.

بخشهای سیستم و رابطه ها : مدل ذخیره‌سازی محساسباتی انبوه در این شبکه که شامل 4 بخش اصلی هستند.

1- یک صاحب داده که می تواند به‌صورت یک سازمان تولیدکننده داده نفوذ پذیر باشد درانبوه ذخایر و برای استفاده خارجی کنترل شده در دسترس قرار داده می شود.

2- Cps سرور انبوه را مدیریت می کند و بروی زیرساختش به جهت ذخیره کردن فایل صاحب فایل فضای ذخیره‌سازی  را فراهم می ند و آن را برای کاربران مجاز قابل‌دسترس می کند.

3- کاربران مجاز یک مجموعه دارنده ارباب رجوع که حق دسترسی به داده پرت را دارند می‌باشند.

4- TTP بخش سوم مورد اعتماد، شخصی است که به‌وسیله دیگر بخشهای سیستم مورد اعتماد قرارگرفته و به جهت نمایان ساختن و تعیین کردن بخشهای نادرست امکانات لازم را دارا می‌باشد.

شکل 2- 1 [Ayad Barsoum , et al., 2013] Cloud Computing Data Storage System Model

جایی که پیکانهای سر بعدی و خط تیره رابطه اعتماد و بی اعتمادی را نشان می دهد. برای مثال: صاحب داده کاربران مجاز و CPS به TTP اعتماد می کنند. به عبارت دیگر صاحب داده و کاربران مجاز رابطه بی اعتمادی دو طرفه به CSP دارد. بنابراین TTP جهت قادر ساختن اعتماد دوطرفه غیر مستقیم بین این سه بخش مورداستفاده قرار می گیرد. یک رابطه اعتماد مستقیم بین صاحب داده و کاربران مجاز وجود دارد.

تذکر  : در این کار فرآیند بازرسی داده از CPS انجام‌شده به‌وسیله کار بران مجاز دریافت می شود. مافقط جهت حل کردن مباحثه ای که احتمال دارد به تازگی و درستی داده مربوطه را افزایش دهد به TTP متوسل می شویم. کاهش دادن ذخیره‌سازی بر CSP ازنظر اقتصادی جهت پایین آوردن نرخ پرداخت شده توسط مشتری یک ویژگی کلیدی است. به علاوه نرخ محاسبات کلی در سیستم جنبه مهم دیگر می‌باشد. جهت نیل به این اهداف ، بخش کوچکی از کار صاحب داده به TTP محول می شود. صاحب داده می تواند جهت اجرای عملیات سطح بلوک بروی فایل CSP تعامل کند. به علاوه صاحب داده از طریق دادن حق دسترسی به داده برون سپار کنترل دسترسی را اجباری می کند. به جهت دسترسی به داده کاربر مجاز درخواست دسترسی به داد ه را به CSP ارسال می کند و فایل داده را به شکل پنهانی که می تواند با استفاده از کلید مخفی ایجاد شده به‌وسیله کاربر مجاز رمزگشایی می شود را دریافت می کند. TTP هویتی مستقل است و بنابراین هیچ انگیزه ای جهت سازش با هیچ بخشی را ندارد. اگرچه از هر کمبود احتمالی داده نسبت به TTP جهت حفظ داده برون سپار خصوصی می بایست جلوگیری شود. TTP وCSP همیشه آنلاین هستند. درحالیکه صاحب داده به‌صورت متناوب آنلاین می‌باشد.

محرمانه : داده برون سپار شده می بایست در مقابل TTPو CSP و کاربرانی که به آن دسترسی ندارند حفاظت شوند. این داده به باقی ماندن به‌صورت دست نخورده بر روی سرور ابر نیازمند می‌باشد. صاحب داده و کاربران مجاز می بایست قادر به تشخیص تخریب داده بر CSP باشند. دریافت کردن جدیدترین نسخه از فایل داده برون سپار برای سیستم‌های ذخیره‌سازی مبتنی بر ابر نیازی ضروری است. درصورتی‌که CSP درخواست به‌روز رسانی داده از طرف صاحب داده را رد کند می بایست مکانیسم تشخیص وجود داشته باشد. کنترل دسترسی فقط به کاربران مجاز اجازه دسترسی به داده برون سپارداده می شود. کاربران غیر فعال می توانند داده اصلاح نشده را بخوانند ولی نباید قادر به خواندن بلوک های جدید و به‌روز باشند.

CSP می بایست در مقابل اتهامات اشتباه از سوی کاربران و صاحبان متقلب حفظ شود. این چنین رفتار بدخواهانه می بایست برملا شود.

 ساختار سیستم‌های امن و نظارت بر مراکز بزرگ با استفاده از فریمورک STP

Mohd Anuar Mat Isa  و همکارانشان [18] سعی در ایجاد فریمورکی جهت نظارت و امنیت و نظارت بر مراکز بزرگ را داشتند.

ایشان سعی در تشریح مبانی امنیتی دارند که به‌وسیله آن فریمورکی به وجود می اید و آن را STP نامگذاری کرده‌اند و فعالیت های کلود را نظارت می‌کنند. مفهوم STP این است که یک سری کارهای سخت‌افزاری و نرم‌افزاری را باهم ادغام می‌کنند که از نتیجه آن یک نوع کنترل و نظارت بر رفتارهای درون ابر را داشته باشند.

ما برای کنترل دیتاهایی که به ابر وارد می‌شوند همیشه نمی‌توان فقط به  نرم‌افزار تکیه کرد و باید سخت‌افزارهایی هم در حد امکان استفاده شود. در فریمورک مدنظر یک قسمت سخت‌افزاری است و ایشان معتقدند که تا امنیت قسمت سخت‌افزار تأمین نشود ، امنیت قسمت نرم‌افزار معنا و مفهومی ندارد. بنابراین سخت‌افزارها را بر اساس دسترسی افراد و نوع اتاق سرور و شبکه‌های قایل دسترسی و دسترسی افراد به کابل و دیتاسنتر و .. را موردبررسی قرار داده و گفته است که باید این موارد امنیتی رعایت شود.

ازجمله موارد امنیتی فیزیکی که باید رعیات شود تا فریمورک به حقیقت بپیوندد ، استفاده از سخت‌افزارهایی موسوم به  TPM[2] هستند که روند تکمیلی را به‌صورت کلایت / سرور در خود رعایت می‌کند تا امنیت را برقرار کند. مورد بعدی استفاده از چیپست های AMT است که سطحی از ساختار را برای حفاظت از حمله ها به وجود میاورد و مورد دیگر استفاده از بخش های امنیتی دوربین های مدار بسته هستند و باید هرسه مورد رعایت شوند تا پروتکل STP برقرار شود.

یکی از ویژگی‌هایی که مورد توجه واقع می‌شود استفاده از چیپست های AMT[3] است که باعث وجود تپش می‌شود  و پالسی یا را ارسال می‌کند و از طریق شبکه مشخص می‌کند که هر قسمت از ابر ازنظر سخت‌افزاری در چه وضعیتی از صحت به سر می‌برد و همه این موارد در یک نرم‌افزار کنترل می‌شود و آن نرم‌افزار است که کنترل می‌کند که آیا تخلفی صورت گرفته یا نه ، خرابی صورت گرفته یا نه و ...

اما ایرادی که این روش دارد این است که اگر دسترسی مجاز باشد ولی خود داده ازنظر قانونی غیرمجاز باشد ، راه‌حلی ارائه نشده.

مدیریت منطقه امن در افزایش کارایی طراحی چند نظامی

 Jose و همکارانشان [19] سعی در ارائه مدلی برای تعیین هزینه‌های ابر و همچنین هزینه‌های امنیت دارند

 MDO چیست؟ متدولوژی است برای طراحی سیستم‌هایی که بین چندین نظام باید کار کنند و خروجی بدهند و این در مواقعی است که بخواهیم برای یک سیستم به‌صورت فوق‌العاده از سیستمی کارایی داشته باشیم که در چندین نظام کار می‌کند.

Mdo در صنایعی که بیشتر از حد بزرگ هستند مثل صنایع ساخت هواپیما یا اتومبیل به کار می‌رود که معمولاً باید موارد از چند قانون تبعیت  کنند و این قوانین به‌صورت همزمان اتفاق میافتد. برای چنین رویدادی بخش ریاضی و بخش مهندسی باهم ترکیب می‌شوند و سیستم‌های فوق‌العاده پیچیده ای باید تولید شوند و چه از لحاظ کارایی و چه از لحاظ کسانی که کار می‌کنند و یا تجهیزات باید به نحوی باهم کار کنند که خروجی آن‌ها مورد تأیید نرم‌افزارهایی که کیفیت خروجی را ازمایش می‌کنند مورد تأیید باشد.این MDO یک متد است که بیان می‌کند این عملیات های پیچیده به چه صورتی باید انجام شود.

MDO انواع مختلفی دارد مثلاً نوع Interdisciplinary system  که به‌صورت در هم ریخته است یعنی فاز های مختلف کار به‌صورت نامشخصی به هم مربوط و یا متصل هستند و ممکن است هر فاز به فاز بعدی یا قبلی یا هر فاز دیگری خدمات دهد  

شکل 2- 2  [Jose, et al., 2000] Interdisciplinary Sstem Decomposition With Coupling

قسمت بعد دیاگرامی است که دران پیاده‌سازی این تکنولوژی به وجود میاید و به‌صورت پشت سر هم است و آن را   Dependency diagram  مینامند و هر فاز به فاز بعدی خروجی می‌دهد و موارد موردنیاز فاز بعدی را تأمین می‌کند تا خروجی نهایی تأمین شود.

شکل 2- 3 [Jose, et al., 2000] Dependency Diagram Of a Coupled System

متخصصین بیشتر وقت خود را بر روی این مطلب میگذارند که وقتی یک MDO می‌خواهد تشکیل شود ، ازنظر پیچیدگی چه نسبتی با هزینه نهایی دارد و اگر پیچیدگی نسبت به هزینه زیاد نبود قابل‌قبول است والا باعث تغییر اهداف می‌شود  یا هزینه‌ها را طوری سرشکن می‌کنند تا توجیه پذیر باشد.

سیستم‌های کامپیوتری گران قیمتی مانند  کلود آمده اند تا کار مردم را ساده تر کنند ولی همه آن‌ها هزینه‌ها و پیچیدگی هایی دارند مثلاً امنیت یک کلود بر اساس MDO ممکن است این‌قدر هزینه داشته باشد که برای یک شخص خرید سیستم خانگی ساده تر باشد تا یک محیط ابری داشته باشد که به‌اندازه سیستم خانگی خود به آن اعتماد کند و این مسئله باعث شده MDO  در این مسئله خود را نشان دهد و این مسئله حیاتی را مطرح کند که در کل آیا کلود به‌صرفه است یا خیر؟

مطلبی که مطرح می‌شود این است که سروری که ما استفاده می‌کنیم و خود از سیستم ها و خدمات کلودهای دیگر استفاده می‌کند هزینه‌ها به چه صورت است و در صورت استفاده ، آیا برای شخص استفاده کنند صرفه اقتصادی دارد یا خیر ، همان سیستم سنتی به‌صرفه‌تر است؟

مدل مدرن غیر خطی از الگوریتم‌ها به‌صورت ریاضیست که برای امن کردن محیط استفاده می‌شود که طبق این توابع بازدهی توسط کسانی که طراحی می‌کنند بیمه شده و بر اساس این مدل سعی می‌کنند پیاده‌سازی در کلود انجام دهند که امنیت آن‌ها به حداکثر خود برسد.

با توجه به پیشرفت‌هایی که صورت گرفته مدل هایی شبیه MDO  مدل هایی هستند که ازنظر تئوری نتوانستند مباحث رو خوب پیاده‌سازی کنند چراکه در عمل استفاده از آن‌ها ممکن نبود و تلاش دانشمندان بر این است که بتوانند مدل هایی از این نمونه را پیاده‌سازی کنند.