云技术社区

关于安全,OpenStack都下了哪些功夫?

Posted on 2020-02-02

OpenStack是一个被广泛部署的开源云平台,但默认情况下它不一定安全。以下OpenStack专家所说的将有助于你确保云的安全。

开源的OpenStack云平台被沃尔玛等全球最大的公司和AT&T等全球最大的运营商,甚至CERN等全球最大的科学实验机构所采用。尽管有直接集成到OpenStack中的安全元素,但安全性不一定总是默认配置。
在OpenStack温哥华峰会上,OpenStack运维者和项目团队成员详细介绍了他们为进一步提高OpenStack安全性所做的工作。

漏洞管理团队

作为一个平台,OpenStack由一系列提供不同功能的开源项目组成。作为项目结构的补充,整个项目还有一个漏洞管理团队(VMT),负责处理整个OpenStack项目结构中的漏洞披露和安全问题。红帽开发者Tristan Cacqueray是三人VMT的一个。
Cacqueray表示,在他看来,每个OpenStack项目中的安全意识都很重要,因为每个小组都需要了解他们面临的风险。
”OpenStack社区在及时解决问题方面做得非常好,因为在每个项目中都有一些专门与VMT对接的人员,一起合作弄清楚如何解决问题。”

分层的安全

Clark Boylan是OpenStack Infrastructure项目的PTL,负责帮助维护用于构建OpenStack的OpenStack云。Boylan表示,他的团队最近处理的一个安全事件与Elasticserach服务器有关,该服务器被公开暴露在互联网上——“这只需要大约三分钟即可搞定。幸好它只是一个开发服务器。”
Boylan补充道,Elasticsearch事件有助于让OpenStack基础架构团队进一步意识到,他们必须时刻保持谨慎,安全层非常重要。

安全默认项

思科工程师Dave McCowan是OpenStack Barbican秘密管理项目的前PTL,也是该平台的积极参与者。在他看来,在OpenStack中使用安全的默认设置和安全文档方面,还有改进空间。
“作为工程师,我们喜欢专注于手头的任务,所以我们简化了其他任何事情。”McCowan说,“因此,我们会关闭SELinux和TLS,并让一切尽可能的简单,但在随后的执行功能测试和文档中都会有影响。”
Cacqueray认为,默认的安全性对云软件来说尤其具有挑战性,因为不同的云提供商具有不同的安全边界。像CERN这样的机构运行OpenStack来实现内部云,希望比公有云提供商提供更多的访问。
对于OpenStack的基础设施,默认的安全性也很具有挑战性。Boylan表示,对于OpenStack基础设施开发人员来说,要做的是运行来自不可信的人的不可信代码——这是一个有意思的安全问题。
“我们尽可能地将这些特定的工作负载隔离在对应的租户中。”Boylan说。
OpenStack基础设施试图确保应用程序镜像相对锁定,IP表防火墙默认启用。
“我们试图围绕OpenStack构建这些层,因为我们知道任何人都可以参与,包括你不认识的人。”

强化OpenStack安全性

归根结底,没有哪一个OpenStack项目、配置或人员能够为OpenStack云提供全面的安全性。相反,专家组一致认为,拥有多层控制对云安全至关重要。
McCowan说:“选择一个安全主题作为最高优先级是很困难的,因为黑客会发现任何薄弱环节。所以,一定要分层看安全。”
McCowan的建议是:首先,要强化硬件本身以应对潜在风险,并强化云运行的底层操作系统;其次,为基础设施和工作负载提供安全的OpenStack配置也有帮助;最后,OpenStack运维者要尽可能不给不可信的用户运行不可信代码的机会。

Posted in OpenStack 安全
咨询热线:400-100-3070

北京易捷思达科技发展有限公司:北京市海淀区西北旺东路10号院东区1号楼1层107-2号

南京子公司:江苏省南京市雨花台区软件大道168号润和创智中心B栋一楼西101

上海office:上海黄浦区西藏中路336号华旭大厦22楼2204

郑州分公司:河南省郑州市中原区西三环路大学科技园东区14号楼3层北户301

成都分公司:成都市高新区199号天府三街太平洋保险金融大厦A区8楼


邮编:100094


邮箱:

contact@easystack.cn (业务咨询)

partners@easystack.cn(合作伙伴咨询)

marketing@easystack.cn (市场合作)

training@easystack.cn (培训咨询)

hr@easystack.cn(招聘咨询)

Copyright © 2017 EasyStack Inc. All Rights Reserved. 京ICP备16000234号-1 京公网安备 11010802024994号