DuEPublico 2

Dies ist unser neues Repositorium, derzeit für E-Dissertationen und ausgewählte weitere Publikationen. Weitere Informationen...

Laufzeitmodellbasierte Prüfung von Cloud-Applikationen gegen Geolokationsvorgaben

Schmieders, Eric GND

Zur Umsetzung des Rechts auf informationelle Selbstbestimmung enthalten Datenschutzrichtlinien Angaben zu Geolokationen, in die personenbezogene Daten übertragen werden dürfen (sog. „Geolokationsvorgaben“). Die Betreiber von Cloud-Applikationen deployen ihre Applikationen auf Cloud-Infrastrukturen. In der Rolle des Cloud-Nutzers müssen die Betreiber die Geolokationsvorgaben einhalten. Der Einsatz von Cloud-Applikationen kann zur Verletzung von Geolokationsvorgaben führen. Cloud-Infrastrukturen deployen die Komponenten von Cloud-Applikationen dynamisch auf physikalischen Rechnern, um dadurch z.B. die Applikationsperformanz zu verbessern oder um Betriebskosten einzusparen. Eine Verletzung von Geolokationsvorgaben droht dann, wenn Komponenten auf Rechnern in verbotene Geolokationen deployt werden und diese Komponenten personenbezogene Daten potentiell empfangen können. Der geforderten Einhaltung von Geolokationsvorgaben stehen daher die dynamischen Komponenten-Deployments gegenüber, die Cloud-Nutzer nur eingeschränkt beeinflussen können. Das führt zur Problemstellung dieser Arbeit: Wie erkennen Cloud-Nutzer die potentiellen Datenübertragungen einer Cloud-Applikation, die zu drohenden Geolokationsvorgaben führen? Cloud-Nutzer müssen auf die drohenden Verletzungen von Geolokationsvorgaben reagieren, was das Erkennen der potentiellen Übertragungen voraussetzt. Die Geolokationen dynamisch deployter Komponenten sind erst zur Laufzeit bekannt. Analysen zur Designzeit reichen daher zur Erkennung drohender Verletzungen von Geolokationsvorgaben nicht aus. Existierende Techniken, die zur Laufzeit eingesetzt werden, wie Sticky-Policies und Zugriffskontrollen, erkennen zwar drohende Verletzungen von Geolokationsvorgaben, die beispielsweise ausgehend von einer Datenbank zu zugreifenden Komponenten entstehen können. Diese Ansätze erkennen aber keine drohenden Verletzungen, die durch die weitere Datenübertragung ausgehend von der zugreifenden Komponente entstehen können. In dieser Arbeit wird ein laufzeitmodellbasierter Prüfansatz mit dem Ziel entwickelt, drohende Verletzungen von Geolokationsvorgaben aus der Cloud-Nutzerperspektive zu erkennen. Der Ansatz besteht aus drei Lösungsbeiträgen: (1) zur formalen Beschreibung von Datenübertragungen und Komponenten-Deployments, werden existierende, grundlegende Architekturmodellierungskonstrukte um geeignete Sprachkonstrukte erweitert; (2) zwecks Berücksichtigung von dynamischen Deployments, wird eine Technik zur Aktualisierung von Architekturmodellinstanzen, den sog. Laufzeitmodellen, vorgestellt; (3) um Cloud-Applikation auf Basis der aktualisierten Modellinstanzen performant zu prüfen, wird eine Prüfheuristik entwickelt, die für die Anwendung auf die Modellinstanzen optimiert ist. Die technische Umsetzbarkeit des Ansatzes wird anhand einer prototypischen Realisierung und einer Cloud-Applikation gezeigt, die auf Amazon EC2 deployt wurde. Die Performanz des Ansatzes wird in einer Skalierbarkeitsuntersuchung und in einem Experiment untersucht. Die Performanzmessungen zeigen, dass die Prüfung auch bei 1000 zeitgleich deployten Komponenten nach maximal einer Millisekunde terminiert, was ein zeitnahes Reagieren auf drohende Geolokationsvorgabenverletzungen unterstützt.

Data privacy aims at protecting the right for informational self-determination. To this end, geo location policies include the specification of geo locations in which personal data is allowed to be transferred. The operators of cloud applications deploy their applications on cloud infrastructures and, thus, take the role of the cloud user. Cloud-users are responsible for their cloud-applications' compliance to geo location policies. The utilization of cloud applications may lead to the violation of geo location policies. Cloud infrastructures deploy the components of cloud applications (e.g., components for data storage or data analysis) to hardware resources dynamically during runtime. The dynamic deployment aims at improving the application's performance or reducing the costs of operation. However, the deployment of cloud application components may lead to the violation of geo location policies. A violation may occur, when at least one component is deployed at an excluded geo location and this components may receive personal data. Based on the required compliance to geo location polices opposed by dynamic component deployments the problem of this thesis is determined: how cloud users are able to identify possible data transfers that may lead to geo location policy violations? Cloud users have to react to component deployments that may violate geo location polices. The reaction depends on the identification of possible transfers of personal data to the deployed components. The analyses during design time are not sufficient for identifying impending geo location violations, since the geo locations of dynamically deployed components are only known during runtime. Existing runtime techniques, such as Sticky Policies and data access controls, identify impending geo location violations that result from transferring data from a protected component to an accessing component. Though, the accessing component may transfer the data to further components deployed at excluded geo locations. This thesis aims at developing a runtime-model-based approach for checking cloud applications with respect to impending geo location policy violations from the perspective of cloud users. The developed approach includes three contributions: (1) in order to allow the formal specification of data transfers and component deployments an existing modeling language is extended; (2) in order to reflect dynamic component deployments, this thesis introduces an update mechanism for the architectural model instances, i.e., the runtime-models; (3) for checking cloud applications against geo location policies based on the model instances an optimized checking heuristics is developed. The technical feasibility of the approach is shown by means of a prototypical implementation and Amazon EC2 utilized as cloud infrastructure. The performance is investigated in a scalability analysis and an experiment. The experiment supports the results of the theoretical analysis, i.e., the approach scales linear to a growing input size given by the model instances. The performance measurements show that with 1000 simultaneously deployed components the checking result of the approach is available within a millisecond. This allows a timely reaction to impending geo location violations.

Share and cite

Citation style:

Schmieders, Eric: Laufzeitmodellbasierte Prüfung von Cloud-Applikationen gegen Geolokationsvorgaben. 2019.

Rights

Use and reproduction:
All rights reserved

Export