Financiado por: Programa de Investigación Asociativa PIA CONICYT

Transcripción

1

2 Elaborado por: Universidad Catolica del Norte Universidad de La Frontera REUNA Fecha: Enero 2010 Financiado por: Programa de Investigación Asociativa PIA CONICYT Nota: Se autoriza la reproducción total y/o parcial de este libro, por cualquier medio impreso y/o digital, para fines de investigación y ampliación y difusión del conocimiento (no comerciales), citando las respectivas fuentes.

3 PREFACIO A lo largo de su trayectoria y respondiendo al mandato de sus socios, la Corporación REUNA ha buscado promover y apoyar el desarrollo de la comunidad de educación superior, investigación e innovación del país. La gestión de una infraestructura nacional de Red Académica globalmente conectada, la incorporación y el desarrollo de tecnologías, servicios y aplicaciones de vanguardia que promueven la conexión, la comunicación y la colaboración, y la articulación de los actores que puedan ver sus investigaciones y proyectos beneficiados con éstas, son las vías que ha tomado REUNA para cumplir sus objetivos. En el año 2000 la Corporación se conecta a la red de investigación y educación norteamericana, Internet2, el 2004, a la red latinoamericana, RedCLARA, y desde el año 2006 trabaja intensamente para incentivar la discusión nacional en torno a la e-ciencia. A nivel mundial se está dando un fuerte impulso al despliegue de las e- Infraestructuras para impulsar y permitir el avance de la ciencia colaborativa. La importancia que ello ha representado para las ciencias es crucial; la explotación eficiente de centros y/o recursos de excelencia y a la existencia de nuevas formas de compartir conocimiento en todas las áreas de investigación son dos signos claros de esto y la profundidad del impacto de tan significativa evolución llevó al cambio de paradigma, a la modificación de la forma en que se desarrolla el quehacer científico desde el Polo Norte hasta la Antártica. En el presente contexto, este estudio constituye un avance complementario al ya realizado en el área de Astronomía 1, y consideramos- significativo para motivar la definición de acciones que conduzcan a la consolidación de una e- Infraestructura nacional. Más aún, las grid y los sistemas que generan y sobre los cuales operan, poseen una gran cantidad de propiedades latentes que aumentan y extienden aquellas que son propias de la computación tradicional, y están aportando grandes beneficios a la academia, la ciencia, la pequeña, mediana y gran industria, y a los gobiernos (aspectos que pudieron validarse ampliamente en el trabajo realizado en el Proyecto de Articulación Ciencia-Empresa 2, en el cual se enmarca el presente documento). La necesidad en Chile de una infraestructura tecnológica colaborativa de apoyo a la investigación astronómica, nov Estudio financiado por el Programa Kawax (PIA) Taller de Articulación para la Vinculación de Ciencia y Empresa: E-Ciencia E-Industria: Hacia una Infraestructura de Grid Nacional

4

5 AGRADECIMIENTOS Red Universitaria Nacional (REUNA) quiere agradecer a todos quienes hicieron posible la realización de este estudio; a cada uno de los autores y a quienes apostaron junto a nosotros por una propuesta integrada para evidenciar la necesidad de una e-infraestructura nacional. Nuestros reconocimientos son para el Centro de Modelamiento Matemático (CMM) - Universidad de Chile, el Centro de Excelencia de Modelación y Computación Científica (CEMCC) - Universidad de La Frontera, la Universidad de Concepción, la Universidad Católica del Norte y el Centro de Estudios Avanzados en Zonas Áridas (CEAZA) Universidad de La Serena, por aceptar y apoyar esta iniciativa, y para el Programa de Investigación Asociativa (PIA) de la Comisión Nacional Científica y Tecnológica (CONICYT) que, confiando en nuestra visión, financió este estudio. Especial mención merecen los científicos, investigadores, académicos, tanto nacionales como internacionales, que nos entregaron su visión y conocimientos para construir esta propuesta. Por último, queremos agradecer con especial énfasis al Comité Ciencia- Empresa y al equipo de profesionales de REUNA.

6

7 Índice de Contenidos 1 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Marco Conceptual Definición general de una grid Tipos de e-infraestructuras Infraestructura para la e-ciencia Elementos de una e-infraestructura Arquitectura de Seguridad en la Plataforma Grid 29 2 Capítulo II Estado del Arte Internacional Introducción Incorporación de HPC en el mundo Proyectos de e-infraestructuras APGRID ( AUSTRIAN GRID ( BalticGrid II ( The Belgian Grid for Research (Begrid) ( BiG Grid - Grid Holandesa de e-ciencia ( Recursos grid 66

8 3 Capítulo III: Estado del arte en Latinoamérica Introducción Avances en computación grid en Latinoamérica Computación grid en Colombia Computación grid en Argentina Computación grid en Brasil 85 4 Capítulo IV: Estado del Arte Nacional Iniciativa articulada por REUNA Iniciativas Centro de Modelamiento Matemático CMM, Universidad de Chile Iniciativas Universidad Católica del Norte Iniciativas CEAZA, Universidad de La Serena Iniciativas de la Universidad de La Frontera Iniciativas de la Universidad Técnica Federico Santa María Iniciativas de la Universidad de Talca Iniciativas de la Universidad del Bío-Bío Iniciativas de la Universidad Austral Iniciativas de la Universidad de Valparaíso Computación grid de apoyo a la Astronomía 96 5 Capítulo V: Estado del Arte Internacional Tendencias de investigación en clima Desafíos para el registro climático global La observación, base de la investigación climática Gestión y administración de datos derivados de la observación Otras problemáticas Los modelos matemáticos como aporte al estudio del clima y el tiempo Esfuerzos existentes en Chile Fenómenos climáticos 110

9 5.2 Iniciativas Internacionales: e-infraestructuras para el desarrollo de la e-ciencia en Clima Tipos de e-infraestructura Proyectos Internacionales de e-infraestructuras para la e-ciencia en Clima Visión Futura Capítulo VI:Estado del Arte Nacional Instituciones y/o grupos de investigación a nivel nacional Proyectos a nivel nacional Capítulo VII: Estado del Arte Internacional Introducción Tendencias de investigación en Biociencias Iniciativas Internacionales: e-infraestructuras para el desarrollo de la e-ciencia Descripción tecnológica de la e-infraestructura Descripción de Iniciativas Apoyo de la e-infraestructura en la investigación Visión Futura Capítulo VIII:Estado del Arte Nacional Investigación y Colaboración Instituciones y/o grupos de investigación a nivel nacional Identificar las áreas científicas que se trabajan en Chile Productividad e impacto Científico Iniciativas en las áreas de Biociencias Proyecto UCRAV SACGRID ACTION-GRID EELA-2 220

10 9 Capítulo IX:Necesidades futuras de Tecnologías de Información en Chile Introducción Determinación de las industrias en estudio La elección de un camino El Consejo Nacional de Innovación para la Competitividad Los siete sectores elegidos Requerimientos de TIC de los siete clusters privilegiados Offshoring Requerimiento de TIC Acuicultura Requerimiento de TIC Minería del cobre Requerimiento de TIC Alimentos Procesados Requerimiento de TIC Fruticultura Requerimiento de TIC Turismo Requerimiento de TIC Servicios Financieros Requerimiento de TIC 237

11

12

13 Estado del Arte Nacional e Internacional en las áreas Clima, Biociencia y Tecnología Grid

14

15 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia 1 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia 1.1 Marco Conceptual E-Ciencia es el concepto que define a aquellas actividades científicas que se desarrollan a través de la utilización de recursos geográficamente distribuidos a los que se accede mediante Internet. Pero recursos como cálculo y almacenamiento masivo -los más frecuentemente requeridos en el ámbito de la e-ciencia-, no se satisfacen con la Internet comercial, ellos requieren de las redes de alta velocidad dedicadas a la investigación -las denominadas Redes Académicas. Éstas y las aplicaciones de trabajo colaborativo que en ellas se desarrollan, están creando un escenario ideal para la interacción entre investigadores 3. Consecuentemente, para el desarrollo e la e-ciencia se requiere de la e-infraestructura o plataforma tecnológica que la da sustento. El término e-infraestructura se refiere a un nuevo ambiente de investigación, donde investigadores trabajando en el contexto de sus instituciones base o en iniciativas científicas nacionales o multinacionales, obtienen acceso compartido a instalaciones o recursos científicos únicos o distribuidos (incluyendo datos, instrumentos, capacidad de cómputo y comunicaciones), independiente de sus características individuales o su localización en el mundo. E-Infraestructura abarca redes de computadores, grids, data centers, registros de servicios, autenticación, autoridad certificadora, capacitación, servicio helpdesk. Más importante, es la integración de todos estos elementos lo que define la e-infraestructura. 3 E-Ciencia en REUNA [ Consultado en abril 20,

16 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Un conjunto de desarrollos de e-infraestructura han alcanzado un grado de maduración; la computación grid es hoy la base estándar típicamente usada para cómputo y administración de datos requeridos en el desarrollo de investigación colaborativa. 1.2 Definición general de una grid Varios conceptos similares coexisten acerca de qué es una grid. Uno de ellos, elaborado por el Grid Computing Information Centre (asociación dedicada exclusivamente al desarrollo de esta tecnología), llama grid a un tipo de sistema paralelo y distribuido que permite compartir, seleccionar y reunir recursos autónomos geográficamente distribuidos en forma dinámica y en tiempo de ejecución, dependiendo de su disponibilidad, capacidad, desempeño, costo y calidad de servicio requerida por sus usuarios. Según esta definición, se busca aprovechar la sinergia que surge de la cooperación entre recursos computacionales y proveerlos como servicios. Otra definición más estructurada es la expuesta por Foster, Kesselman y Tuecke, precursores de la computación grid; ésta plantea la existencia de Organizaciones Virtuales (OV 45 ) como puntos de partida de su enfoque. Una Organización Virtual es un conjunto de individuos y/o instituciones definida por reglas que controlan el modo en que comparten sus recursos. Básicamente, son organizaciones unidas para lograr objetivos comunes. Ejemplos de OVs podrían ser proveedores de servicios de aplicaciones o almacenamiento, equipos de trabajo empresarial realizando análisis y planeamiento estratégico, miembros de una planta de energía evaluando trabajo de campo, universidades involucradas en un proyecto de investigación conjunto, etc. Las OVs varían enormemente en cuanto a sus objetivos, alcance, tamaño, duración, estructura, comunidad y sociología. Sin embargo, existen varios requerimientos y problemas subyacentes tales como la necesidad de relaciones flexibles para compartir recursos, niveles de control complejos y precisos, variedad de recursos compartidos (programas, archivos, datos, sensores y redes, entre otros), modos de funcionamiento (individual, multiusuario), calidad de servicio, etc. Las tecnologías actuales o bien no proveen espacio para la variedad de recursos involucrados o no aportan la flexibilidad y control de las relaciones cooperativas necesarias para establecer las OVs. Foster, I. y Kesselman, C. (eds.). The Grid: Blueprint for a New Computing Infrastructure. Morgan Kaufmann,

17 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Como solución, se propone la grid como un modelo de trabajo para compartir recursos en forma coordinada y resolver problemas en organizaciones virtuales multi-institucionales de forma dinámica. De esta manera, varias instituciones pueden formar distintas OVs e incluso formar parte de más de una al mismo tiempo, realizando diferentes roles e integrando distintos recursos como se muestra en la Figura 1 6. Organización A Organización B Organización Virtual 1 Organización Virtual 2 Organización C Figura 1. Una organización real puede participar en una o más OVs compartiendo algunos o todos sus recursos. Se muestran tres organizaciones reales (los círculos de puntos) y dos OVs (conformadas por los recursos compartidos en cada caso). Las políticas que controlan el acceso a los recursos varían de acuerdo a las organizaciones reales, los recursos y las OVs involucradas. Nótese que existen recursos que componen una o más OVs y otros que no se comparten. Idem 3. 17

18 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Para lograr este nuevo cometido, se han desarrollado varios protocolos, servicios y herramientas que intentan sustentar organizaciones virtuales escalables. Debido a su enfoque, basado en compartir recursos de manera dinámica y multiorganizacional, las tecnologías grid se complementan en vez de competir con las tecnologías de computación distribuida existentes. 1.3 Tipos de e-infraestructuras Las e-infraestructuras han ido evolucionando a medida que aumentan las comunidades de usuarios, las necesidades de herramientas administrativas y de control, el acceso a datos, las mejoras en las redes avanzadas y el procesamiento. Junto con el aumento de la cantidad de grids académicas y nacionales, han comenzado a emerger dos tipos centrados en el área de negocios grid y servicios comerciales de grid 7. Vamos a describir una tipología de e-infraestructuras que nos permita entender mejor las necesidades de seguridad y comunicación, los grupos de investigación que se benefician al reunirse en entornos grid, las comunidades que se generan para resolver problemas específicos y la extensión al área privada con sus respectivos beneficios. Esta tipología está basada en los lineamientos más generales que se observan del desarrollo del grid computing (computación grid) y es un tema en gran expansión. Cabe mencionar que en sourceforge.net se encuentran a la fecha 1150 proyectos de grid computing dedicados tanto a herramientas grid como a desarrollar soluciones específicas a problemas de investigación y desarrollo tecnológico. El deseo de compartir recursos computacionales, datos y equipamiento especializado requiere de confianza afianzada en protocolos de buen uso, cuotas de acceso, administración de la información generada, seguridad en la transferencia de información y personal administrativo dedicado al mantenimiento del equipamiento, entre otros. Esto se reduce a construir procedimientos y software que ayuden a la estandarización de las diferentes necesidades. Los grupos que se han centrado en este problema han conformado las Grid Computing Organizations. Ellas se centran en: Desarrollo de estándares y buenas prácticas Desarrollo de toolkits, frameworks y middleware 7 Aguilar, Gladys. Grid computing para cálculo intensive, Reporte de tesis. Universidad Nacional del Nordeste, Argentina. Grid Computing, IBM Press

19 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Construcción de soluciones basadas en grid Trabajo para adoptar conceptos grid en productos comerciales Se utilizará este lineamiento para describir diferentes tipos de e- Infraestructuras Infraestructura para la e-ciencia En la construcción de soluciones, el Departmento de Energía de Estados Unidos se ha centrado en desarrollar el DOE Science Grid (DOE: Department of Energy) para apoyar la investigación en el área de energía [ En Europa, EUROGrid reúne en una red a los mayores centros de cómputo y al proyecto Data Grid, que trabaja con CERN (dedicado a la investigación en física de altas energías), CNRS (en materia de imágenes biológicas y médicas) y ESA/ESRIN (observaciones geológicas). El proyecto TeraGrid de NSF (Fundación Nacional de Ciencias de los Estados Unidos), trabaja en el lanzamiento de la mayor comunidad científica distribuida. Numerosas organizaciones se han desarrollado en torno a compartir recursos de cómputo y almacenamiento en aplicaciones como: Astronomía: Astro-grid Bioinformática: BioinfoGrid, IMPACT, INSTRUCT, Mygrid Clima: C3 Grid Geociencias: Degree, NEESit Física de Partículas: GridPP, HEP Grid Medicina: MediGRID, neugrid Sin embargo, algunas se han centrado solamente en cómputo, como NW- Grid, en el Reino Unido, reuniendo alrededor de 400 nodos. Otras se han centrado solamente en datos, como GERES-med, repositorio de aplicaciones médicas con sede en Portugal. Finalmente, existen proyectos de e-ciencia centrados en el uso de instrumentación específica como los radiotelescopios ASTRON y el colisionador de partículas ATLAS, entre otros Negocios y Cloud Computing En lo referido a las organizaciones comerciales, los esfuerzos se han centrado en compartir recursos y en la virtualización. Esto se traduce en Web 19

20 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia services, capacidades de virtualización de hardware, como clusters o blades, y capacidades de software en administración de recursos. Las empresas dedicadas a desarrollar productos son IBM Business on Demand, HP con sus centros de datos y computación utilitaria, Sun Microsystems con la tecnología N1 y Microsoft con la estrategia.net. En este contexto surge el concepto de cloud computing, donde, manteniendo el concepto de servicio de cómputo bajo demanda, la principal característica está en la propiedad centralizada de los recursos Infraestructuras Comunitarias (voluntariado) Una de las fortalezas de la computación grid es la posibilidad de reunir a diferentes actores en un trabajo conjunto para cooperar en el desarrollo de diferentes soluciones, como las grids nacionales, o, simplemente, para compartir recursos propios en función de una causa, como voluntarios de una organización benéfica. En el caso de las grid nacionales, han sido los gobiernos quienes han observado el potencial de la computación grid en el desarrollo de la investigación científica y tecnológica de sus países, por ello algunos financian proyectos de integración de universidades y centros de investigación para compartir recursos computacionales y de almacenamiento. Dentro de algunas naciones se encuentran grids de diferentes características, lo cual muestra las ventajas competitivas que aportan al desarrollo. Ejemplos de esto son casi todos los países europeos, China, India, Tailandia, Taiwan, Colombia y Brasil. Las grid nacionales han permitido que los países que las poseen se integren a proyectos mayores de investigación como EELA, entre Europa y Latinoamérica, DEISA, entre los centros de cómputo europeos, o a grids intercontinentales, como EUAsiaGrid, EUChinaGrid y EUIndiaGrid, reportando altos beneficios en términos de investigación y desarrollo. En el caso de la computación voluntaria (volunteer computing), cada voluntario ayuda a crear una grid al compartir sus recursos, esto es, donando el tiempo libre de sus PCs para que investigaciones de alto impacto social puedan desarrollarse. Uno de los primeros proyectos exitosos en este ámbito es BOINC (Berkeley Open Infraestructura for Network Computing, edu ), que en su marco lleva a cabo la famosa búsqueda de inteligencia artificial SETI@Home; esta iniciativa opera mediante un protector de pantalla que se activa en los tiempos inactivos del PC del donante/voluntario para analizar las señales

21 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia del radiotelescopio de Arecibo que busca patrones no existentes en la naturaleza. Actualmente cuenta con casi un millón de participantes y más de dos millones de computadores provenientes de 234 países. BOINC ha desarrollado otros 26 proyectos con orientación científica, reuniendo 1,6 millones de usuarios y 3,7 millones de computadores. Otras iniciativas se han desarrollado buscando mejorar las condiciones de vida de todos los habitantes del planeta. Un ejemplo calve es el World Community Grid, con proyectos en energías limpias, alimentación y salud pública. En la misma línea pero en otro ámbito, Grid4all pretende democratizar el acceso a tecnologías de información y hacer que todos quienes están en la red compartan sus recursos Servicios Comerciales En torno a la grid se han desarrollado servicios de integración de tecnologías y difusión del conocimiento para que la comunidad conozca, participe y aproveche esta tecnología en su trabajo. Grid Infoware ( es un sitio dedicado a reunir cientos de proyectos grid en diferentes áreas y documentar su uso y aplicación, mostrando ejemplos concretos de éxito, conferencias, y otros centros de información. Gridtalk se encarga de destacar los proyectos grid europeos, difundiendo los resultados del proyecto EEGE. ICEAGE se encarga de difundir y capacitar en el uso y administración de tecnologías grid a través de escuelas de verano. Otro servicio que ha destacado por su impacto, son las revistas de difusión de computación grid. Grid Computing Planet mantiene en su sitio noticias, avisos publicitarios, desarrollo e implementación de tecnologías, aportando al desarrollo comercial de las soluciones grid. isgtw - International Science Grid This Week es un semanario de promoción de la computación grid y su impacto en la ciencia; posee más de 3500 lectores en más de 100 países y está financiada por el Departmento de Energía de Estados Unidos y NSF

22 1.3.2 Elementos de una e-infraestructura Middleware Capítulo I: e-infraestructuras para el desarrollo de e-ciencia El middleware permite a las aplicaciones utilizar, de forma conjunta o coordinada, recursos disponibles en diversos centros. Las tecnologías de middleware más utilizadas en entornos científicos son Globus Toolkit, glite y Unicore, las que se describen a continuación Globus Globus Toolkit es un software de código de fuente abierta que, impulsado por Globus Alliance, permite la construcción de grids. Globus está compuesto por servicios locales para la explotación eficiente de recursos (gestores de colas batch, librerías de programación paralela, herramientas de depuración y monitorización, etc. Ver Figura 2), servicios grid básicos de autenticación y acceso a los datos, información y estructura de los recursos y ejecución de aplicaciones y seguimiento, servicios grid de alto nivel, de acceso rápido y eficiente a los servicios básicos, y herramientas grid para el desarrollo de aplicaciones. El middleware de Globus permite a las aplicaciones emplear, de forma conjunta o coordinada, recursos disponibles en diversos centros. La tecnología más utilizada en entornos científicos parte con Globus Toolkit y es complementada con otros paquetes (Ver Figura 1) Servicios locales Incluye el desarrollo de herramientas para explotar los recursos en la Intranet del centro de investigación. En este campo existen, en la actualidad, muchos servicios disponibles para realizar un uso eficiente de los recursos locales, de ellos podemos destacar las herramientas de monitorización de los diferentes recursos físicos del cluster, los gestores de colas batch, las librerías de programación paralela, y las herramientas de depuración y monitorización de aplicaciones Servicios grid básicos Global Grid Forum es el organismo encargado de definir los estándares de servicios y protocolos necesarios para crear la infraestructura o tecnología grid. Aunque existen otras tecnologías grid como Legion, Unicore o MOL, la mayoría de 22

23 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Aplicaciones Condor- SerGHerramientas Grid MPI GridWay Nimrod G Servicios Grid alto nivel DataGrid CrossGrid GrADS GASS GridFTP Servicios Grid básicos Metacomputing Directory Service Globus Security Interface Replica Catalog GRAM I/0 Condor MPI Servicios locales TCP UDP LSF PBS SGE Linux AIX Solaris Workstations Desktops Servids. Unix Serv. Windows Recursos Cluster Linux SMFs MPPs Figura 2. Tecnología Grid: Taxonomía de Globus. los proyectos grid actuales se están construyendo basados en los servicios y protocolos proporcionados por Globus Toolkit. La tecnología Globus ha sido seleccionada como estándar de facto por las doce compañías más importantes del sector de computación de altas prestaciones (Compaq, Cray, SGI, Sun Microsystems, Entropia, IBM, Microsoft, Platform Computing y Veridian, en Estados Unidos; y Fujitsu, Hitachi y NEC, en Japón). La versión actual de Globus, basada en Open Grid Services Architecture (OGSA), muestra una clara convergencia hacia la tecnología de Web Services utilizada en el campo del e-business, a ésta apuesta Globus Toolkit (GT). Esta evolución representa una gran oportunidad para lograr una amplia aceptación y difusión de la tecnología grid, que puede extenderse, al igual que lo hizo la WWW, desde su ámbito original, en el área de la computación científica, al de las aplicaciones comerciales. 23

24 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Globus Toolkit es una colección de componentes de software de código y arquitectura abiertos, diseñados para soportar el desarrollo de aplicaciones de alto rendimiento sobre entornos distribuidos tipo grid. Realmente se trata de un conjunto de componentes autónomos que permiten al diseñador construir una grid. Cada componente proporciona un servicio básico como autenticación, asignación de recursos, información, comunicación, detección de fallos y acceso remoto a datos. Los sistemas y aplicaciones grid pueden desarrollarse empleando los siguientes servicios y protocolos como elemento básico: GT CORE: Implementa los estándares de OASIS WSRF (Web Services Resources Framework) y WSN (Web Service Notification). Seguridad, formada por dos servicios: - Grid Security Infrastructure (GSI), que permite la autenticación y comunicación segura sobre redes abiertas. - Community Authorization Service (CAS), que define a los proveedores de recursos políticas de control de acceso para comunidades. Gestión de datos (Data Management), incluye tres servicios: - GridFTP, protocolo para la transferencia segura y fiable optimizada y su API Global Access to Secondary Storage (GASS Transfer API). - Reliable File Transfer Service (RFT), un servicio OGSA que permite controlar y monitorizar transferencias que usen GridFTP. - Replica Location Service (RLS), que mantiene y provee de acceso a información de localización de datos. Gestión de recursos (Resource Management), formado por: - Grid Resource Allocation and Management (GRAM), que provee una interfaz para solicitar y usar recursos remotos para la ejecución de trabajos. - Servicios de información (Information Service). Monitoring and Discovery System (MDS3), que proporciona información sobre los recursos disponibles en el Grid y su estatus. XIO: Globus XIO es una utilidad de entrada/salida que proporciona una API para el acceso a sistemas de IO. 24

25 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Servicios Grid de alto nivel A pesar del tremendo esfuerzo realizado por la comunidad científica, la ejecución y la gestión de trabajos en una grid resulta una tarea ardua y difícil, debido principalmente a la naturaleza dinámica y compleja que caracteriza a las grid. Habitualmente el usuario ha de encargarse manualmente de todos los pasos involucrados en la ejecución de un trabajo, como descubrimiento y selección de recursos, inicialización, envío, monitorización, migración y finalización. Para facilitar el uso de esta tecnología, se están desarrollando servicios grid de alto nivel y herramientas que realicen de forma automática y eficiente los pasos que hoy debe llevar a cabo el usuario, además de adaptar la ejecución de un trabajo a las condiciones dinámicas de la grid (disponibilidad, carga, costo, etc.) y a las demandas dinámicas de la aplicación (tiempo máximo de ejecución, presupuesto, necesidad de hardware/software específico, etc.) Herramientas grid En este nivel se incluyen herramientas de más alto nivel como librerías de programación, entornos especializados para la resolución de problemas y otras herramientas de ayuda al desarrollo de aplicaciones. Éstas se basan en los componentes básicos y de alto nivel. Aunque Global Grid Forum está coordinando un gran esfuerzo colectivo de estandarización, la grid aún es una tecnología en vías de consolidación y su desarrollo está en confluencia con el de los Web Services. Dentro del mundo industrial, también se apoya a esta tecnología a través de Enterprise Grid Alliance glite Para el proyecto europeo de Habilitación de Grids para e-ciencia (EGEE), se decidió que lo mejor sería una aproximación en dos fases. Originalmente, EGEE utilizaba una capa intermedia basada en los trabajos de su predecesor, el proyecto de Grid de Datos Europeo (EDG, su sigla en inglés), luego evolucionó hacia una capa intermedia de LCG, la que empleó en sus primeras fases. EGEE ha desarrollado y reestructurado prácticamente la totalidad de esta capa intermedia, convirtiéndola en una nueva solución de middleware: glite. Ésta hoy se implanta en el servicio de preproducción. glite combina una capa intermedia básica con una gama de servicios de mayor nivel. 25

26 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Distribuida bajo una licencia de fuente abierta, glite es favorable para los negocios e integra componentes de los mejores proyectos actuales de capa intermedia, tales como las herramientas Condor y Globus Toolkit, así como componentes desarrollados para el proyecto LCG. El resultado es una óptima solución básica de capa intermedia, compatible con programadores tales como PBS, Condor y LSF; su construcción se ha llevado a cabo con el objetivo de asegurar la interoperabilidad y la provisión de servicios fundamentales que faciliten el desarrollo de aplicaciones en grid en todos los campos El desarrollo En el desarrollo del software están colaborando varios centros de investigación académica e industrial, organizados por diferentes actividades: seguridad, acceso a recursos (elementos computacionales y de almacenamiento), contabilidad, gestión de datos, gestión de cargas de trabajo, registro y mantenimiento de libros, información y monitorización, y supervisión y aprovisionamiento del trabajo en red. El desarrollo y la implantación también tienen el apoyo del programa extensivo de infraestructura-f (infraestructura de formación) de EGEE. Éste da un amplio soporte que cubre desde la documentación en línea hasta los seminarios presenciales y los tutoriales transmitidos vía Internet. La formación también está disponible en el banco de pruebas de diseminación GILDA, que cuenta con su propia Autoridad de Certificación (CA) y permite a los usuarios y a los administradores del sistema probar todos los aspectos de la implantación y el uso de glite El producto Los servicios en grid de glite están basados en una arquitectura orientada al servicio, que permite conectar fácilmente el software a otros servicios en grid, y también facilita el cumplimiento de los estándares futuros en el campo de los grid, por ejemplo el Web Service Resource Framework (WSRF) de OASIS y la Open Grid Service Architecture (OGSA) del Global Grid Forum. glite está considerado como un sistema modular que permite que los usuarios implementen diferentes servicios según sus necesidades, sin verse obligados a utilizar el sistema completo. Con esto se pretende que cada usuario adapte el sistema a su situación particular UNICORE El sistema UNICORE Uniform Interface to Computing Resources fue originalmente concebido en el año 1997 para permitir que los centros de 26

27 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia supercómputo en Alemania proveyesen a sus usuarios acceso en forma continua, segura e intuitiva a los recursos heterogéneos en los centros. Como resultado, los proyectos UNICORE 4 y UNICORE Plus 5 fueron financiados por BMBF, el Ministerio Alemán para la Educación y la Investigación, con los objetivos que se refieren a continuación. UNICORE fue diseñado para ocultar las fusiones que resultan de arquitecturas diferentes de hardware, del proveedor de sistemas operativos específicos, de sistemas incompatibles de gestión de recurso y de ambientes diferentes de aplicaciones. Un objetivo clave de UNICORE era retener la autonomía de la organización y la autonomía administrativa de los centros. Para poder utilizar la totalidad de los beneficios ed UNICORE, ninguno de los proveedores de Internet debía ser forzado a cambiar las prácticas históricas de los centros informáticos, ni las convenciones de nombres y políticas de seguridad. Desde el comienzo, la seguridad fue parte del diseño de UNICORE, siempre basándose en el estándar X.509. Los certificados son utilizados para autenticar servidores, el software, y los usuarios, así como para encriptar la comunicación a través del Internet abierto. Por último, UNICORE tenía que ser utilizable por científicos e ingenieros, sin que requiriesen estudiar la documentación del proveedor o del sitio específico. Una interfaz gráfica fue desarrollada para ayudar a los usuarios a crear y gestionar los trabajos. UNICORE soporta el acceso a recursos computadoras, datos y aplicaciones para el espectro completo de la estructura organizacional: - Consistente, utilización estandarizada de las diferentes arquitecturas y sistemas dentro de una organización. - Seguridad, acceso basado en Internet a recursos distribuidos geográficamente de una organización global. - Organizaciones virtuales, combinando los recursos de compañías independientes para el soporte de comunidades de usuarios seleccionados Seguridad y Confianza La seguridad y confianza son los criterios claves, aquellos que determinan si la tecnología grid será exitosa. UNICORE tiene una arquitectura para dar el soporte 27

28 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia a los requerimientos de seguridad más estrictos. Los certificados, de acuerdo al estándar X.509, proveen la base de la arquitectura de seguridad UNICORE; éstos sirven como identificaciones de usuario a través de la grid: son mapeados a las cuentas en diferentes sistemas. Este enfoque tiene tres ventajas significativas, especialmente para organizaciones virtuales: Los sitios participantes no tienen que cambiar sus convenciones establecidas. Los usuarios no necesitan saber los nombres de usuarios locales y contraseñas en los distintos sistemas Los proveedores de recursos pueden siempre identificar el originador de una petición y pueden así cobrar al usuario por el consumo del recurso en forma confiable. La clave privada del usuario es usada para firmar y encriptar la petición, por ejemplo para el envío de los trabajos, los cuales permiten a los componentes del servidor de UNICORE detectar cualquier manipulación que se realice con los datos mientras éste se encuentre en tránsito (a través de Internet) y mapea el certificado a la cuenta apropiada en el sistema objetivo. Los certificados también autentican los sistemas pares mutuamente en una grid UNICORE. El gateway aceptará solamente peticiones desde un cliente o un sistema par que pueda proveer un certificado de confianza. Simétricamente, el cliente se comunicará solamente con Gateways confiables. Los Gateways y otros servidores residen detrás de un firewall. El software cliente es ejecutado desde el sistema personal del usuario un equipo de escritorio que puede residir en la oficina o a través de un notebook conectado a Internet desde cualquier lugar. Los servidores UNICORE requieren que solamente un puerto y un servicio esté abierto en el firewall por sitio. El código Java que implementa el Gateway es pequeño en tamaño; más aún si éste ha sido profundamente inspeccionado por expertos de seguridad de compañías líderes en TI, tales como T-Systems; aún no se le han encontrado vulnerabilidades. Los certificados, como base para la seguridad, requieren la existencia de una Infraestructura de Clave Pública (PKI). Esencialmente, los participantes en una grid UNICORE tienen que acordar cuáles Autoridades Certificadoras (CA) serán de confianza. Sin embargo, UNICORE no está limitado a exactamente un CA. Durante la operación de una grid UNICORE varios CA pueden ser aceptados concurrentemente. 28

29 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Arquitectura de Seguridad en la Plataforma Grid En esta sección nos enfocaremos en la seguridad del servicio grid con una discusión detallada sobre los desafíos de seguridad enfrentados por la comunidad grid en general, y luego exploraremos los detalles de las soluciones de seguridad provistos por el OGSA (Open Gris Service Architecture Globus Alliance 11 ). La compartición de recursos entre los participantes de organizaciones virtuales heterogéneos es un proceso complejo debido a los desafíos enfrentados en la integración, interoperabilidad y relaciones de confianza. Podemos explicar con mayor profundidad examinando los siguientes factores: Desafíos de la Integración: Existen numerosos frameworks de seguridad, estándares e implementaciones disponibles hoy en día. La mayoría de estas organizaciones, individuos y/o recursos tienen sus propias preferencias acerca de los requerimientos de seguridad que sean más convenientes para su propio ambiente. No podemos reemplazar todos estos frameworks de seguridad ni tampoco seremos capaces de tener una alternativa común. Esto implica enfocarse en los participantes para usar los frameworks existentes e integrar en forma continua con ellos. Por tanto la arquitectura de seguridad de OGSA se basa en los mecanismos de seguridad existentes y en su extensión, de tal manera que éste pueda incorporar nuevos servicios de seguridad cuando estén disponibles y que sean capaces de integrarlos con los servicios de seguridad pre-existentes. Desafío de Interoperabilidad: La compartición de estos recursos interoperables puede extenderse en muchos dominios de reinos de seguridad y sus respectivas necesidades de interoperabilidad de seguridad en cada capa de la implementación del servicio. Examinaremos distintos niveles en los siguientes puntos: A nivel de protocolos, distintos dominios necesitan intercambiar mensajes a través de sus capas de protocolos y necesitan tener interoperabilidad en cada capa del stack de protocolos. A nivel de políticas, la interoperabilidad de seguridad requiere que cada participante especifique cualquier política que este desea decretar para poder establecer una conversación segura, y estas políticas necesitan interoperar mutuamente. Al nivel de identidad, se requieren mecanismos para identificar un usuario de un dominio a otro dominio. Para cualquier invocación a través de dominios para ser exitoso en un ambiente seguro, se requiere absolutamente de un mapeo de identidades y credenciales a la identidad del dominio objetivo

30 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Desafío de la Relación de Confianza: La confianza entre los participantes en una organización virtual dinámica es el aspecto más complejo de lograr, y ésta debe ser evaluada por cada sesión o petición. Esto requiere de una federación que asegure la existencia de una relación de confianza entre los participantes. La Figura 3 muestra las categorías de los desafíos de seguridad en un ambiente grid. Integrate Extensible architecture Using existing services Figura Implementation agnostic 3. Interoperate Secure Interoperability Protocol mapping Federation Publish QoS Trust Trust relationship Trust establishment Assertion Categorías de los desafíos de seguridad son complejas en un ambiente grid Arquitectura de Seguridad OGSA La arquitectura de seguridad OGSA enfrenta los problemas de arriba a través de mecanismos de seguridad que son plug-and-play en el lado del cliente y del servicio. El ambiente grid requiere una plataforma OGSA con el mecanismo de seguridad para dar el soporte, integrar y unificar modelos de seguridad populares, mecanismos, protocolos, plataformas y tecnologías. Elementos de Seguridad Común requeridos para un ambiente grid Autenticación Provee puntos de integración para múltiples mecanismos de autenticación y el medio para converger el mecanismo específico utilizado en cualquier operación de autenticación dada. 30

31 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Delegación Ofrece facilidades para la delegación de derechos de acceso de los solicitadores a los servicios. Estos derechos de acceso delegados deben ser transferidos a las tareas a ser realizadas, y por un tiempo limitado, para poder limitar el riesgo de mal uso. Ingreso de una sola vez Esta capacidad permite a un servicio de usuario utilizar múltiples recursos con un solo proceso de ingreso explícito y, por tanto, de ahí para adelante automáticamente delegar la misma credencial autenticada para los siguientes accesos de recursos sin la necesidad de la intervención del usuario, dentro de un periodo específico de tiempo. Estas sesiones de ingreso pueden incluir acceso de recursos en otros dominios usando una delegación de credencial de servicio. Ciclo de vida de la credencial y renovación Las credenciales tienen un tiempo de uso limitado, y la mayoría de los trabajos grid pueden tomar bastante tiempo en ejecutarse. Esto puede causar que las credenciales sean invalidadas, llevando al sistema a un estado también inválido. Para evitar esto, un sistema grid debe soportar notificaciones de no expiración de credencial y facilidades de revalidación de la misma. Autorización Este modelo permite el acceso controlado a los servicios OGSA basados en políticas de autorización (p.ej., quién puede acceder a un servicio y bajo qué condición) adjuntos a cada servicio. Además, esto permite a los solicitantes especificar políticas de invocación (p. ej., en quién confía el cliente confía para proveer el servicio pedido). La autorización debería acomodar varios modelos de control de acceso e implementaciones. Privacidad Las políticas de privacidad deben ser tratadas como un tipo de política de autorización que trae la semántica de privacidad a una sesión de uso del servicio. Similar a la autorización, la seguridad OGSA debe permitir tanto al solicitante y al servicio forzar las políticas de privacidad, por ejemplo, tomando en cuenta cosas como la información identificable personal (PII), el propósito de la invocación, etc. Confidencialidad Proteger la confidencialidad del mecanismo de comunicación subyacente (transporte de servicios de red), y la confidencialidad de los mensajes o documentos que fluyen sobre el mecanismo de transporte en una infraestructura compatible OGSA. El requerimiento de confidencialidad incluye transporte punto a punto, como también mecanismos de almacenamiento y envío. 31

32 32 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Integridad de Mensajes Éste provee mecanismos para detectar el cambio no autorizado a los mensajes. El uso del chequeo de la integridad de los mensajes o de los documentos es determinado por una o más políticas, a su vez definidas por la Calidad de Servicio (QoS) de la prestación. Intercambio de Políticas Permite a los clientes y servicios intercambiar información de políticas en forma dinámica, para establecer un contexto de seguridad negociado entre ellos. Tal información de políticas contendrá requerimientos de autenticación, soporte de funcionalidad, restricciones, reglas de privacidad, etc. Registro Seguro Para eliminar el repudio, la notarización y auditoría, se provee facilidades de registro (logging) para que todas las conversaciones sean seguras, especialmente para el registro de negociaciones. Aseguramiento Provee un medio para calificar el nivel de aseguramiento de la seguridad que puede ser esperada desde un ambiente de hospedaje. Éste puede ser utilizado para expresar características de protección del ambiente, tales como protección de virus, utilización de firewall, acceso VPN interno, etc. Manejabilidad Provee manejabilidad de funciones de seguridad, tales como administración de identidad, administración de políticas, administración de clave secreta y otros aspectos críticos. Firewall Trasversal Los firewall de seguridad están presentes en la mayoría en la redes de sistemas distribuidos para prevenir que mensajes no deseados ingresen a un dominio respectivo. La grid, siendo una organización virtual, nota que los firewalls pueden causar desafíos en la transferencia de mensajes entre los participantes. Esto obliga al modelo de seguridad de OGSA a rodear la protección del firewall sin comprometer la seguridad del host local. Asegurando la Infraestructura de OGSA Asegurando la infraestructura de OGSA se asegura el OGSI (Open Grid Services Infrastructure). El modelo debe incluir aseguramiento de componentes como Grid HandleMap, servicio de descubrimiento, etc.

33 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia Servicios de Seguridad La arquitectura de seguridad de OGSA tiene una tarea insuperable en el establecimiento de un modelo de seguridad para capturar todos los requerimientos indicados en los párrafos anteriores. Como una progresión natural, la arquitectura de seguridad de OGSA está alineada con el modelo de seguridad de Web Services. La Figura 4 muestra el modelo de la arquitectura de seguridad de OGSA. Intrusion management Secure Conversation Credential Identity Mapping Access Control Authorization Enforcement Antivirus management Policy management privacy rules service policy authorization policy identity mapping rules User management Policy expression and exchange (WSDL, WS-SecurePolicy, WS-Policy) Key management Binding sews-ws-security) Figura 4. Arquitectura de seguridad de OGSA. La Figura 4 muestra el modelo de seguridad del núcleo utilizado en el ambiente grid. Todos los servicios grid se comunican entre sí, basados en un conjunto de lazos especificados por los servicios. Éstos deben tratar con los detalles de seguridad incluyendo confidencialidad de mensajes, integridad y autenticación. Normalmente hablando, estos lazos son inicializados en un conjunto de políticas basado en tiempo de ejecución. Estas políticas de seguridad pueden ser especificadas como documentos estáticos, tales como documentos WSDL o Política-WS, o pueden ser negociados en tiempo de ejecución basado en las capacidades del cliente y el servicio. Las políticas comunes especificadas incluyen elementos soportados tales como mecanismo de autenticación, confidencialidad/integridad requerida, políticas de confianza, políticas de privacidad, y afirmaciones de seguridad. Una vez que el cliente del servicio grid y los proveedores de servicio descubren la política 33

34 Capítulo I: e-infraestructuras para el desarrollo de e-ciencia de seguridad receptiva, ellos pueden entrar en un modo de conversación segura y establecer un canal resguardado para el intercambio de mensajes. Este canal debe también forzar todas las garantías de QoS de seguridad que fueron acordadas. A continuación se exploran los detalles de cada uno de estos componentes en más detalle, para comprender mejor las tecnologías de interés en cada capa del modelo de componentes de seguridad Elementos anexos de Seguridad La anexión de seguridad de transporte incluye SOAP, IIOP, JMS, HTTP, etc, y cada uno de estos protocolos de transporte tiene diferentes requerimientos de seguridad para la autenticación, integridad de mensajes y confidencialidad. Por ejemplo, HTTP y SSL combinados comprenden HTTPS como un canal de conversación segura, garantizando la integridad y la confidencialidad de los mensajes, aún con la limitación de un protocolo de canal punto a punto. Este protocolo de servicio de red puede también requerir servicios de coordinación de más alto nivel para flujos de extremo a extremo a través de intermediarios (p. ej., firewalls, proxy servers, etc.). En el caso de los mensajes SOAP, el modelo WS-Security provee un patrón de intercambios seguros, utilizando los encabezados SOAP como el portador de intercambio de información de seguridad. La integridad y confidencialidad de los mensajes SOAP pueden ser luego protegidas usando firmas digitales con XML y estándares de encriptación; WS-Security luego provee perfiles de seguridad para el intercambio de esta información. Otra infraestructura de ligamiento de nivel de seguridad incluye CSIv2 para la comunicación basada en IIOP adoptada por los proveedores de CORBA y el J2EE 1.4 como un estándar obligatorio para el intercambio de mensajes seguros IIOP Expresión e Intercambio de Políticas Para que pueda existir un intercambio de mensajes seguros, tanto la petición del servicio como el proveedor del mismo deben acordar ciertas políticas para que ocurran la recepción segura del mensaje y la conversación. Este acuerdo de políticas debe llevarse a cabo anticipadamente (p.ej., información estática) o en tiempo de ejecución (p. ej., dinámica), y las mejores posibles selecciones de ligamientos de seguridad deben ser realizadas tanto dellado del proveedor del servicio con en el de la petición del servicio de conversación. La grid, siendo un ambiente altamente dinámico, también requiere políticas dinámicas y decisiones que deben 34