Monday, October 19, 2015

My PhD Thesis - Client-Centric Identity and Access Management in Cloud Computing

You can find a version of my PhD thesis on the JKU website. My PhD thesis is titled Client-Centric Identity and Access Management in Cloud Computing. I will post both the English and German Abstracts before linking the embedded version of the thesis.


Abstract

The adoption of cloud computing technologies has seen a great growth in recent years.
Cloud computing-based infrastructures present many advantages over traditional infrastructures
(reduced costs, higher flexibility, on-demand services, rapid elasticity, etc.).
While cloud computing boasts other advantages it should be noted that the adoption of
cloud-based services comes with disadvantages, such as: loss of governance, provider
lock-in, technical and legal issues, security and privacy issues.

The purpose of this thesis is to investigate the Identity and Access Management
(IAM) interactions between clients and cloud providers from a client-centric perspective
and to propose solutions that would aid clients in using cloud-based services. With
respect to IAM several issues were discovered: loss of control (the client no longer
has control over where the data is stored and what the service provider does with it),
the provider’s need to control the customer experience (leading them to ask for more
information than required), the competitive cloud markets and threat of provider lock-in
(leading clients to use multiple providers), user provisioning and de-provisioning across
several providers, managing sensitive data and password fatigue across multiple service
providers and the increased thread of social engineering attacks.

The problems presented above can be mitigated by adopting a client-centric approach
to IAM in cloud computing. To achieve this, the client-to-cloud interactions
with respect to all aspects of IAM were studied and three distinct scenarios proposed:
the direct interaction scenario (where the user is restricted to using the cloud provider’s
IAM system), the obfuscated interaction scenario (where the client can choose between
real identities and obfuscated or partially obfuscated ones which help protect sensitive
identity information) and the protocol-based interaction scenario (which makes use of
existing Federated Identity Management protocols to aid in authentication and authorization).
With these detailed interaction scenarios a client-centric IAM meta-system
will be introduced.

The Identity Management Machine (IdMM) represents the main contribution of
the thesis. The IdMM is a client-centric IAM meta-system, based on Abstract State
Machines (ASMs). The system acts as a middleware between a client (represented by
a company hosting a private identity directory) and the various cloud providers used.
The IdMM is a Single Sign-On (SSO) service that automatically authenticates and authorizes
a user to a given service. The advantage of the SSO approach is that users are
not aware of their credentials to the cloud services thus diminishing the risk of phishing
attacks. In the protocol-based interaction the IdMM acts as an identity provider while
in the direct case the IdMM synchronizes the information stored on cloud services with
the data stored in the client’s directory. User provisioning and de-provisioning (both on
the cloud and on the client’s side) is handled automatically by the system. Periodically the cloud-based credentials are reset for a more secure interaction. Clients can also retrieve
log activities for audit purposes. The IdMM is composed of several agents each
responsible with the interaction between the system and the actors involved (users, the
client’s directory, the cloud’s IAM system).

While the adoption of the IdMM will help clients with the IAM related aspects of
using cloud services other aspects must also be taken into account. A more detailed look
at the generic interaction between client and clouds has to be specified. Other issues,
such as legal and contracting issues with respect to Service-Level Agreements (SLAs),
adaptation to end devices and security monitoring must also be mitigated. As such, the
IdMM functions as both an stand-alone system and as a system within a Client-Cloud
Interaction Middleware (CCIM) solution. In the CCIM solution the IdMM represents
one of the key components next to security and SLA monitoring components as well as
content adaptation and service negotiation components.

Kurzfassung

Der Einsatz von Cloud-Computing-Technologien ist in den letzten Jahren stark gewachsen,
da Cloud-Computing-basierte Infrastrukturen viele Vorteile gegenüber traditionellen
Infrastrukturen bieten (niedrigere Kosten, höhere Flexibilität, Services auf Abruf,
rasche Anpassungsfähigkeit, etc.). Trotz der vielen Vorteile birgt die Einführung von
Cloud-basierten Services auch Nachteile, wie etwa: Verlust der Kontrolle, Bindung
an den Serviceanbieter, technische und rechtliche Fragen, und Sicherheits- und Datenschutzprobleme.

Das Forschungsziel dieser Dissertation ist das Untersuchen der Interaktionen für
Identitäts- und Zugriffsmanagement (IAM) zwischen Klienten und Services aus einer
klientenzentrierten Perspektive und das Entwerfen von Lösungen, die den Klienten in
der Verwendung von Cloud-basierten Services unterstützen. In Bezug auf IAM wurden
mehrere Probleme identifiziert: Verlust der Kontrolle (ein Klient kann nicht mehr
bestimmen, wo Daten gespeichert werden und wie der Serviceanbieter diese Daten
verarbeitet), Optimierung des Kundenerlebnisses durch den Serviceanbieter (dadurch
werden mehr Informationen als nötig erhoben), konkurrierende Cloud-Märkte und Gefährdung
durch Anbieterbindung (die Klienten werden zur Nutzung mehrerer Anbieter
gezwungen), Bereitstellung und Löschung von serviceanbieterübergreifenden Benutzerkonten,
Verwaltung von sensitiven Daten und damit verbundener Passwortmüdigkeit
über mehrere Serviceanbieter, und die verstärkte Bedrohung durch Social-Engineering-
Angriffe.

Die angeführten Probleme können durch eine klientenzentrierte Herangehensweise
für IAM in Cloud Computing behandelt werden. Klient-Cloud Interaktion wurde
in Bezug auf IAM untersucht, und drei Szenarien wurden erarbeitet: das direkte Interaktionsszenario
(wo der Benutzer auf das IAM-System des Serviceanbieters beschränkt
ist), das verschleierte Interaktionsszenario (wo der Benutzer zusätzlich aus echten, verschleierten
und teils-verschleierten Identitäten auswählen kann) und das protokollbasierte
Interaktionsszenario (wo auf bestehende Protokolle aus föderationsbasiertem
Identitätsmanagement für Authentisierung und Autorisierung zurückgegriffen wird).
Basierend auf diesen detaillierten Szenarien wird ein IAM Metasystem vorgestellt.

Die zentrale Forschungsleistung dieser Dissertation ist die sogenannte Identity
Management Machine (IdMM). Die IdMM ist ein klientzentriertes Metasystem modelliert
mittels Abstract State Machines (ASM). Das System agiert als Middleware zwischen
dem Klienten (repräsentiert durch ein Unternehmen, welches ein privates Identitätsverzeichnis
betreibt) und den unterschiedlichen genutzten Serviceanbietern. Die
IdMM ist ein Single Sign-On (SSO) Service, welches einen Benutzer für ein gegebenes
Service automatisch authentisiert und autorisiert. Der SSO-Ansatz hat den Vorteil, dass
die Benutzer ihre Zugangsdaten für Cloud-Services nicht kennen müssen und dadurch das Risiko von Phishing-Angriffen vermindert wird. In der protokollbasierten Interaktion
agiert die IdMM als Identitätsprovider, und im direkten Interaktionsszenario synchronisiert
die IdMM die Benutzerinformationen in der Cloud mit den lokal-gespeicherten
Daten im Identitätsverzeichnis des Klienten. Bereitstellung und Löschung von Benutzern
(in der Cloud und auf Seite des Klienten) wird automatisch durch das System
durchgeführt. Periodisch werden die Cloud-basierten Zugangsdaten zurückgesetzt, um
eine sichere Interaktion zu gewährleisten, und Klienten können protokollierte Aktivitäten
für Auditierungszwecke abfragen. Die IdMM besteht aus mehreren Agenten,
wobei jeder für eine bestimmte Interaktion zwischen dem System und den involvierten
Aktoren (Benutzer, das Identitätsverzeichnis des Klienten, das IAM-System der Cloud)
zuständig ist.

Während die Einführung der IdMM den Klienten in den IAM-spezifischen Aspekten
der Benutzung von Cloud-Services unterstützt, müssen weitere Aspekte berücksichtigt
werden. Eine detailliertere Betrachtung der generischen Interaktion zwischen
Klient und Clouds muss spezifiziert werden. Problematiken, wie etwa rechtliche und
vertragliche Fragen in Bezug auf Service-Level-Vereinbarungen, Adaption an Endgeräte
und Sicherheitsmonitoring müssen entsprechend behandelt werden. Daher funktioniert
die IdMM sowohl als eigenständiges System als auch als Teilsystem einer
Middleware-Lösung. In der Middleware-Lösung repräsentiert die IdMM eine Schlüsselkomponente
neben Komponenten für Sicherheits- und Service-Level-Monitoring, Inhaltsaufbereitung
und Serviceverhandlung.


No comments:

Post a Comment