关于安全,OpenStack都下了哪些功夫?
Posted on 2020-02-02
OpenStack是一个被广泛部署的开源云平台,但默认情况下它不一定安全。以下OpenStack专家所说的将有助于你确保云的安全。
开源的OpenStack云平台被沃尔玛等全球最大的公司和AT&T等全球最大的运营商,甚至CERN等全球最大的科学实验机构所采用。尽管有直接集成到OpenStack中的安全元素,但安全性不一定总是默认配置。
在OpenStack温哥华峰会上,OpenStack运维者和项目团队成员详细介绍了他们为进一步提高OpenStack安全性所做的工作。
漏洞管理团队
作为一个平台,OpenStack由一系列提供不同功能的开源项目组成。作为项目结构的补充,整个项目还有一个漏洞管理团队(VMT),负责处理整个OpenStack项目结构中的漏洞披露和安全问题。红帽开发者Tristan Cacqueray是三人VMT的一个。
Cacqueray表示,在他看来,每个OpenStack项目中的安全意识都很重要,因为每个小组都需要了解他们面临的风险。
”OpenStack社区在及时解决问题方面做得非常好,因为在每个项目中都有一些专门与VMT对接的人员,一起合作弄清楚如何解决问题。”
分层的安全
Clark Boylan是OpenStack Infrastructure项目的PTL,负责帮助维护用于构建OpenStack的OpenStack云。Boylan表示,他的团队最近处理的一个安全事件与Elasticserach服务器有关,该服务器被公开暴露在互联网上——“这只需要大约三分钟即可搞定。幸好它只是一个开发服务器。”
Boylan补充道,Elasticsearch事件有助于让OpenStack基础架构团队进一步意识到,他们必须时刻保持谨慎,安全层非常重要。
安全默认项
思科工程师Dave McCowan是OpenStack Barbican秘密管理项目的前PTL,也是该平台的积极参与者。在他看来,在OpenStack中使用安全的默认设置和安全文档方面,还有改进空间。
“作为工程师,我们喜欢专注于手头的任务,所以我们简化了其他任何事情。”McCowan说,“因此,我们会关闭SELinux和TLS,并让一切尽可能的简单,但在随后的执行功能测试和文档中都会有影响。”
Cacqueray认为,默认的安全性对云软件来说尤其具有挑战性,因为不同的云提供商具有不同的安全边界。像CERN这样的机构运行OpenStack来实现内部云,希望比公有云提供商提供更多的访问。
对于OpenStack的基础设施,默认的安全性也很具有挑战性。Boylan表示,对于OpenStack基础设施开发人员来说,要做的是运行来自不可信的人的不可信代码——这是一个有意思的安全问题。
“我们尽可能地将这些特定的工作负载隔离在对应的租户中。”Boylan说。
OpenStack基础设施试图确保应用程序镜像相对锁定,IP表防火墙默认启用。
“我们试图围绕OpenStack构建这些层,因为我们知道任何人都可以参与,包括你不认识的人。”
强化OpenStack安全性
归根结底,没有哪一个OpenStack项目、配置或人员能够为OpenStack云提供全面的安全性。相反,专家组一致认为,拥有多层控制对云安全至关重要。
McCowan说:“选择一个安全主题作为最高优先级是很困难的,因为黑客会发现任何薄弱环节。所以,一定要分层看安全。”
McCowan的建议是:首先,要强化硬件本身以应对潜在风险,并强化云运行的底层操作系统;其次,为基础设施和工作负载提供安全的OpenStack配置也有帮助;最后,OpenStack运维者要尽可能不给不可信的用户运行不可信代码的机会。
热门文章Top10
- EasyStack位列2018 OpenStack用户调研报告全球前三甲
- 金融云案例:EasyStack助兴业数金构建首个OpenStack金融行业云
- 证券私有云平台实战经验分享:海通证券金融云思考与实践
- 证券私有云案例:做科技型券商,EasyStack助光大证券构建私有云平台
- 制造私有云案例:EasyStack超融合助力可口可乐装瓶作业系统稳健升级
- 江苏农信携手易捷行云,打造业内规模最大的农信开源云平台
- 金融私有云案例| 新一代私有云OTA式赋能台州银行商业创新
- 能源云平台案例:EasyStack助国家电网山东省电力公司构建信息化云平台
- 银行金融云平台案例:EasyStack易捷行云助人民银行构建新一代征信系统生产环境云平台
- 证券私有云案例:践行三年数字化战略 国泰君安借EasyStack易捷行云打造金融云平台赋能业务创新