論文の概要: Implementation of New Security Features in CMSWEB Kubernetes Cluster at CERN

• arxiv url: http://arxiv.org/abs/2405.15342v1
• Date: Fri, 24 May 2024 08:22:22 GMT
• ステータス: 処理完了
• システム内更新日: 2024-05-27 15:21:18.307717
• Title: Implementation of New Security Features in CMSWEB Kubernetes Cluster at CERN
• Title（参考訳）: CERNのCMSWEB Kubernetesクラスタにおける新しいセキュリティ機能の実装
• Authors: Aamir Ali, Muhammad Imran, Valentin Kuznetsov, Spyridon Trigazis, Aroosha Pervaiz, Andreas Pfeiffer, Marco Mascheroni,
• Abstract要約: CMSWEB(k8s)クラスタに導入された新しいセキュリティ機能について論じる。 新機能としては、ネットワークポリシの実装、Open Policy Agent(OPA)のデプロイ、OPAポリシの実施、Vaultの統合などがある。
• 参考スコア（独自算出の注目度）: 1.6804702845109005
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The CMSWEB cluster is pivotal to the activities of the Compact Muon Solenoid (CMS) experiment, as it hosts critical services required for the operational needs of the CMS experiment. The security of these services and the corresponding data is crucial to CMS. Any malicious attack can compromise the availability of our services. Therefore, it is important to construct a robust security infrastructure. In this work, we discuss new security features introduced to the CMSWEB Kubernetes ("k8s") cluster. The new features include the implementation of network policies, deployment of Open Policy Agent (OPA), enforcement of OPA policies, and the integration of Vault. The network policies act as an inside-the-cluster firewall to limit the network communication between the pods to the minimum necessary, and its dynamic nature allows us to work with microservices. The OPA validates the objects against some custom-defined policies during create, update, and delete operations to further enhance security. Without recompiling or changing the configuration of the Kubernetes API server, it can apply customized policies on Kubernetes objects and their audit functionality enabling us to detect pre-existing conflicts and issues. Although Kubernetes incorporates the concepts of secrets, they are only base64 encoded and are not dynamically configured. This is where Vault comes into play: Vault dynamically secures, stores, and tightly controls access to sensitive data. This way, the secret information is encrypted, secured, and centralized, making it more scalable and easier to manage. Thus, the implementation of these three security features corroborate the enhanced security and reliability of the CMSWEB Kubernetes infrastructure.
• Abstract（参考訳）: CMSWEBクラスタは、CMS実験の運用に必要な重要なサービスをホストしているため、CMS(Compact Muon Solenoid)実験のアクティビティに欠かせない。 これらのサービスと対応するデータのセキュリティは、CMSにとって極めて重要です。 悪意のある攻撃は、サービスの可用性を損なう可能性がある。 したがって、堅牢なセキュリティインフラを構築することが重要である。 本稿では、CMSWEB Kubernetes("k8s")クラスタに導入された新たなセキュリティ機能について論じる。 新機能としては、ネットワークポリシの実装、Open Policy Agent(OPA)のデプロイ、OPAポリシの実施、Vaultの統合などがある。 ネットワークポリシはクラスタ内のファイアウォールとして機能し、ポッド間のネットワーク通信を最小限に制限します。 OPAは、セキュリティをさらに強化するために、操作の生成、更新、削除の間、いくつかのカスタム定義ポリシーに対してオブジェクトを検証する。 Kubernetes APIサーバの設定を再コンパイルしたり変更することなく、Kubernetesオブジェクトとその監査機能にカスタマイズされたポリシーを適用することで、既存の競合や問題を検出することができます。 Kubernetesにはシークレットの概念が含まれているが、ベース64エンコードされているだけで、動的に設定されていない。 Vaultは動的に保護し、保存し、機密データへのアクセスを厳しく制御する。 これにより、秘密情報は暗号化され、保護され、中央集権化され、よりスケーラブルで管理が容易になる。 したがって、これらの3つのセキュリティ機能の実装は、CMSWEB Kubernetesインフラストラクチャのセキュリティと信頼性の強化を裏付けるものだ。

関連論文リスト

• K8s Pro Sentinel: Extend Secret Security in Kubernetes Cluster [0.0]
  本研究は,Secret Objectsの暗号化とアクセス制御の自動化を行うオペレータであるK8s Pro Sentinelを紹介する。 Sentinel演算子の性能と信頼性をRed Hat Operator Scorecardとカオスエンジニアリングのプラクティスを用いて評価した。
  論文  参考訳（メタデータ） (2024-11-25T18:15:37Z)
• Authentication and identity management based on zero trust security model in micro-cloud environment [0.0]
  Zero Trustフレームワークは、クラウドパラダイムにおけるインサイダー攻撃によるセキュリティ侵害を抑えながら、外部攻撃者を追跡してブロックすることができる。 本稿では,リソースへのアクセス制御の確立のために,認証機構,信頼スコアの算出,ポリシの生成に焦点をあてる。
  論文  参考訳（メタデータ） (2024-10-29T09:06:13Z)
• Uncovering Attacks and Defenses in Secure Aggregation for Federated Deep Learning [17.45950557331482]
  フェデレートラーニングは、多様なデータに対するグローバルモデルの協調学習を可能にし、データのローカリティを保ち、ユーザデータを中央サーバに転送する必要をなくす。 セキュアアグリゲーションプロトコルは、ユーザ更新をマスク/暗号化し、中央サーバがマスキングされた情報を集約できるように設計されている。 MicroSecAgg (PoPETS 2024) は,既存のアプローチの通信複雑性を緩和することを目的とした,単一のサーバセキュアアグリゲーションプロトコルを提案する。
  論文  参考訳（メタデータ） (2024-10-13T00:06:03Z)
• Distributed Symmetric Key Establishment: a Scalable Quantum-Safe Key Distribution Protocol [4.1010893028706255]
  事前共有鍵(PSK)は、ネットワークセキュリティにおいて広く使われている。 既存のPSKソリューションはスケーラブルではない。 我々は分散対称鍵確立(DSKE)と呼ばれる新しいプロトコルを提案する。
  論文  参考訳（メタデータ） (2024-07-30T16:55:17Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)
• The Power of Bamboo: On the Post-Compromise Security for Searchable Symmetric Encryption [43.669192188610964]
  動的検索可能な対称暗号(DSSE)により、ユーザは動的に更新されたデータベース上のキーワード検索を、誠実だが正確なサーバに委譲することができる。 本稿では,DSSEに対する新たな,実用的なセキュリティリスク,すなわち秘密鍵妥協について検討する。 キー更新(SEKU)による検索可能な暗号化の概念を導入し,非対話型キー更新のオプションを提供する。
  論文  参考訳（メタデータ） (2024-03-22T09:21:47Z)
• AdaShield: Safeguarding Multimodal Large Language Models from Structure-based Attack via Adaptive Shield Prompting [54.931241667414184]
  textbfAdaptive textbfShield Promptingを提案する。これは、MLLMを構造ベースのジェイルブレイク攻撃から守るための防御プロンプトで入力をプリペイドする。 我々の手法は、構造に基づくジェイルブレイク攻撃に対するMLLMの堅牢性を一貫して改善することができる。
  論文  参考訳（メタデータ） (2024-03-14T15:57:13Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)
• Exploring Security Practices in Infrastructure as Code: An Empirical Study [54.669404064111795]
  クラウドコンピューティングは、Infrastructure as Code (IaC)ツールが広く使われていることで人気を博している。 スクリプティングプロセスは、実践者が自動的に設定ミスや脆弱性、プライバシリスクを導入するのを防ぐものではない。 セキュリティの確保は、実践者が明確な方針、ガイドライン、ベストプラクティスを理解し、採用することに依存する。
  論文  参考訳（メタデータ） (2023-08-07T23:43:32Z)
• Safe RAN control: A Symbolic Reinforcement Learning Approach [62.997667081978825]
  本稿では,無線アクセスネットワーク(RAN)アプリケーションの安全管理のためのシンボル強化学習(SRL)アーキテクチャを提案する。 我々は、ユーザが所定のセルネットワークトポロジに対して高レベルの論理的安全性仕様を指定できる純粋に自動化された手順を提供する。 ユーザがシステムに意図仕様を設定するのを支援するために開発されたユーザインターフェース(UI)を導入し、提案するエージェントの動作の違いを検査する。
  論文  参考訳（メタデータ） (2021-06-03T16:45:40Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。