بخشی از مقاله
چکیده
مدیریت پایگاه داده ابر ،نامزد احتمالی برای خدمات ابر است. موانع بسیاری برای رشد خدمات ابر وجود دارد. امنیت ، یکی از اصلی ترین این موانع است . در این مقاله ما برای مدیریت کارامد پایگاه داده ابرلایه هایی را معرفی کرده ایم و مسائل امنیتی و راه حل های مربوط به لایه های مختلف را مورد تجزیه و تحلیل قرار می دهیم . کنترل دسترسی و تصدیق هویت بزرگترین نگرانی برای لایه خارجی است، لایه میان مفهومی عمدتا در مورد مشکلات مجازی سازی مربوط می شود ،لایه مفهومی در مورد نقض داده مانند محرمانه بودن اطلاعات، صداقت ،حریم خصوصی داده ها است ، لایه میان فیزیکی با نشت داده، و حذف داده و مسائل همکاری، و لایه آخر لایه فیزیکی که با مسائل ذخیره سازی مربوط می شود .
کلمات کلیدي: سیستم مدیریت پایگاه داده ابر ، لایه های پایگاه داده، پردازش ابر ، بهینه سازی سیستم مدیریت پایگاه داده در پردازش ابر
.1 مقدمه
پایگاه داده بعنوان یک سرویس - - DaaS اولین مثال از خدمات ارائه شده توسط ابر است و قسمتی از سیستم مدیریت پایگاه داده ابر محسوب می شود. پایگاه داده بعنوان یک سرویس - - DaaS به سه دلیل جذابیت دارد :
•هزینه های سخت افزاری: سرویس ها توسط ارائه دهنگان خدمات اجرا می شوند و کاربران درباره اینکه چه زیرساخت، و ماشین آلاتی برای ارائه خدمات ابر استفاده می شود نگرانی ندارند .هزینه های سخت افزاری کاهش می یابد و کاربران فقط به ازای پرداخت ، استفاده می کنند.
•هزینه های نرم افزاری: کاربران دیگر نگران صدور مجوز های نرم افزاری نیستند.
•سایر هزینه ها: کاربران دیگر نیازی به ،بکارگیری افراد حرفه ای برای حفظ پایگاه داده های خود نیستند.
از این رو ، این ویژگی های جذاب به مشتریان اجازه می دهد تا روی برنامه های کاربردی خود بجای خرید سخت افزار ،تعمیر و نگهداری و صدور مجوز های نرم افزاری تمرکز کنند .
1.1 چاش های ابر
یک گزارش در مورد محاسبات ابری در جدول 1 به نمایش گذاشته شده که در آن ده مانع برای پذیرش رایانش ابری به همراه راه حل اساسی برای موانع رشد رایانش ابری معرفی شده است . از ده مانع ،سه مانع اول برای تصویب ابر ، پنج مانع بعدی برای رشد ابر و دو مورد آخر برای سیاست و تجارت در نظر گرفته شده اند.در این مقاله ما مسائل امنیتی و راه حل اجرا و یا پیشنهاد مربوط به هریک از لایه های مدیریت پایگاه داده ابر را مورد تجزیه و تحلیل قرار خواهیم داد. بقیه مقاله به شرح زیر سازماندهی شده است : قسمت 2 ، توصیف و تحلیل مسائل امنیتی و راه حل های اجرا شده از هر یک از لایه ها در بخش 3 ، خلاصه این مسائل و راه حل ها را بصورت جدولی در نهایت آورده شده و بخش 4 نتیجه گیری مقاله می باشد .
.2 مسائل امنیتی و اجرا/راه حل های پیشنهادی مربوط به الیه های CDBMS
پایگاه داده های ابر از پنج لایه تشکیل شده اند. در زیر جزئیاتی از مسائل امنیتی داده مربوط به هریک از لایه ها آورده شده است :
.2.1 الیه خارجی
کنترل مجوز و احراز هویت و کنترل دسترسی دو مساله امنیتی مورد توجه در لایه خارجی هستند .
.2.1.1 احراز هویت و مجوز
طبق تعریف NIST در مورد محاسبات ابری، ابر شامل مدل های متنوع استقرار و خدمات است. ابر در محیط های چندگانه به ارائه منابع و چند مستاجری می پردازد. همچنین راه حل هایی میان مستاجران مختلف دارد که بتوانند احراز هویت از پیش تعریف شده و کنترل مجوز برای هر مستاجر داشته باشند .نویسنده در [7 ] یک مدل احراز هویت و مجوز پیشنهاد می دهد که در شکل 1 نشان داده شده است براساس طرح به اشتراک گذاشته شده که برای پایگاه داده های ابر چندگانه می باشد .شامل تگ هایی است که ستون های جدول خاصی را نشان می دهد.در اوایل روش هایی بر پایه جدول توسعه، جدول اصلی و جدول فراداده ای که جدول اصلی شامل فیلدهای tenant_id ، record_id و برخی اطلاعات دیگر که tenant_id شناسایی مستاجر ،record_id توصیف معاملات انجام شده توسط مستاجر خاص می باشد. جدول توسعه شامل اطلاعاتی درمورد record_id ، extension_id و مقادیر انها است.
Record_id در جدول اصلی برای استخراج مقادیر فیلدها به جدول توسعه لینک داده می شود ، extension_id برای هر ستون منحصر به فرد است و درباره نوع داده ستون توصیف می کند. برای یک سطر خاص در یک جدول تعدادی سطر در جدول توسعه وجود دارد بنابراین این رویکرد داراری برخی معایب است که مثلا جدول توسعه حاوی اطلاعات زائدی می باشد بعنوان نمونه اگر یک جدول مستاجر شش ستون داشته باشد و برخی انتقالات بروی جدول انجام شود بنابراین برای رکورد شش ردیف در جدول توسعه وجود دارد که فیلد record_id آنرا شش بار تکرار می کند و نقطه ضعف بزرگ دوم اینست که زمان پردازش برای انجام عملیاتی چون درج ، حذف و یا ویرایش بیشتر است . به همین دلیل نویسندگان [7 ] یک روش که در ان به معرفی مفهوم اشیاء در XML در جدول توسعه می پردازد را معرفی می کند. برای مجوز و احراز هویت از پروتکل Kerberos برای کمک به این رویکرد بطور خودکار چندین جدول میتوانند تولید شوند. نویسنده مدل پیشنهادی خود را در زیر توضیح می دهد :
.1 جدول tbl_usr شامل اطلاعات در مورد مستاجران از جمله نام کاربری و کلمات عبور می باشد . این جدول در طول روند ثبت نام از مستاجر جدید اطلاعات مورد نظر را از مستاجر می گیرد.
.2 جدول table_meta_data شامل اطلاعات از تمامی جداول است که با یک مستاجر همراه هستند. ان شامل tenant_id ، tbl_name و فیلد منحصر به فرد table_id است . اگر مستاجر برای ایجاد جدول این اطلاعات را می خواهد بایستی به table_meta_data وارد شود . جدول Meta_data_table شامل اطلاعاتی درباره انواع داده هر فیلد با نام extension_id و extension_lbl است که نام فیلد جدول را مشخص می کند .
.3 برای درج، حذف مقدار این دو جدول کاربرد دارند و مقادیر به جدول توسعه درج شده است ، اگر یک مستاجر بخواهد مقداری را در جدول درج کند ، همه فیلدهای خارجی بهمراه نام و نوع داده ها تطبیق داده می شوند و اینمقادیر بطور خوکار در جدول توسعه در قالب دستورات XML ذخیره می شوند. آنها این سیستم را روی پلتفرم .NET و SQL server 2005 اجرا می کنند ، SQL server از اشیاء XML پشتیبانی میکند و .NET کلاس رمزنگاری از رمزگذاری را پشتیبانی می کند . این سیستم برای انتخاب، درج، حذف بررسی شده است . طرح پیشنهادی مقایسه ای بین جدول محوری، جدول توسعه و جدول جهانی است و نتیجه گیری شده است که رویکرد جدید ارائه شده با XML مبتنی بر جدول توسعه شی به نظر می رسد از روش های قبلی بهتر است وچراکه فیلدهای کمتری در مقایسه با جدول جهانی دارد و جدول توسعه اولیه شامل اطلاعات زائد و رویکرد جدول جهانی شامل بسیاری از مقادیر تهی می باشد .
.2.1.2کنترل دسترسی
کنترل دسترسی بدان معناست که تنها افراد مجاز به داده های ابر دسترسی خواهند داشت. چند مستاجری ویژگی اصلی محاسبات ابری است که در ان چندین مستاجر تنها به منابعی دسترسی دارند که با توجه به نیاز مستاجران حریم خصوصی داده ها و امنیت حفظ خواهد شد. یانگ و همکاران [8] سیستم کنترل دسترسی چند اجاره ای مبتنی بر نقش را پیشنهاد داده و طراحی کردن که در ان با کمک هویت و دسترسی های مختلف محیط های چند مستاجری کنترل می شوند . نویسنده توضیح داد که سیستم های چند مستاجری مبتنی بر نقش چگونه کار می کنند [8] در ادامه: هر مستاجر یا کاربر میتواند بوسیله شماره حساب و رمز عبور وارد سیستم شود .احراز هویت توسط مدیریت حویت و بوسیله شماره حساب و رمز عبور و سایر اطلاعات احراز هویت تایید می شود. برای جلوگیری از دسترسی های غیر مجاز ،حداکثر سه تلاش برای هر مستاجر واگذار شده است .
اگر کاربر ،کاربر مجاز باشد لیست کنترل دسترسی تولید شده و بر پایه نقش ها همراه با امتیازات عملکردی است ،از اینرو کاربر فعالیتش را براساس توابع دسترسی و منابع محاسباتی در سیستم انجام می دهد . نویسنده [8] این مدل را بااستفاده از جاواشبیه سازی کرده است. آنها سیستم RBMTAC را تجزیه و تحلیل کردن و روش های موثر و کارامد برای دسترسی براساس نقش ها و امتیازات کاربردی فراهم کردند و امنیت نرم افزار و حفظ حریم خصوصی داده را تقویت کردند. مدل RBMTAC می تواند در مقایسه با مدل قبلی که بر پایه کاربران استوار بود به آسانی اداره شود بعنوان مثال تعدادی از نقش ها همیشه کمتر از تعداد کاربران بود از اینرو نتیجه گیری شده که سیستم پیشنهادی توان عملیاتی ،زمان پاسخ را بالا می برد .مدیر تغییر در امتیازات کاربر را بجای هویت آن تغییر می دهد بنابراین خطاهای دستی کاهش می یابد .
.2.2الیه میان مفهومی
این لایه در درجه اول به قابلیت همکاری و مسائل مجازی سازی می پردازد .در ابر ،یکی از مشکلات عمده قابلیت همکاری است بعنوان نمونه مشتریان نمی توانند داده های خود را از یک DaaSبه DaaS دیگر مهاجرت دهند و ممکن است داده های خود را از دست بدهند چراکه تنظیمات متفاوت بوده یا نمی توانند مهاجرت ساده ای داشته باشند ،بنابراین کاربران وابسته به یک ارائه دهنده خدمات می باشند .مساله دیگر برای ابر کاملا مربوط به مجازی سازی است که در ان بسیاری از ماشین های مجازی به اشتراک گذاری می شوند . بنابراین امنیت ماشین مجازی و هایپروایزر نگرانی اصلی این لایه است .
.2.2.1تهدیدات امنیتی ماشین مجازی و امنیت هایپروایزر
در مجازی سازی دو نو ع از حملات می تواند امکان پذیر باشد یکی حملات DoS که در آن پهنای باند شبکه با بسته های غیرضروری بجای انجام کارهای مفید اشغال می شود و ماشین های مجازی به هم حمله می کنند که در این حملات یکی از ماشین های مجازی توسط مهاجم هک می شود . صباحی [9] مجازی سازی براساس هایپروایزر را با جزئیات بیشتر توضیح داده است. هایپروایزر تمام ماشین های مجازی را کنترل می کند. نویسنده [9] یک معماری مجازی سازی که شامل افزودن ماژول های VSEM، - VREM واحد نظارت بر امنیت و قابلیت اطمینان مجازی سازی - ، HSEM و - HREM واحد امنیتی هایپروایزر و نظارت قابلیت اطمینان - برای تامین امنیت بیشتر را پیشنهاد کرده است .
طبق اظهارات نویسنده ، ماشین های مجازی شامل VSEM و VREM و هایپروایزرها شامل HSEM و HREM هستند. VSEM شامل اطلاعاتی است که توسط HSEM مورد نیاز است و در دو سطح برای رزرو و منابع کار می کند. در سطح 1 آنرا متوجه ماشین های مجازی براساس تاریخچه ماشین های مجازی آنرا نظارت می کند که آیا ماشین مجازی بدرستی کار میکند یا نه سپس به سطح 2 می رود اگر هریک از شرایط غیرطبیعی باشد بعد از مقایسه با مقدار آستانه محاسبه می شود . در سطح دو ماشین های مجازی با جزئیات بیشتری مورد بررسی قرار می گیرند تا روشن شود که ماشین مجازی قربانی می شود یا نه . بطور مشابه اطلاعات VREM برای اهداف امنیتی ضروری است و وضعیت حجم کار را برای دیدن به HREM می دهد تا مشخص شود که افزایش منابع انجام شود یا خیر . این نتیجه گیری حاصل می شود که تامین امنیت توزیع بسیار موثرتر نسبت به امنیت متمرکز است.
.2.3 الیه مفهومی