[ English | 日本語 | Deutsch | Indonesia ]

影响 OpenStack 部署的因素

安全需求

在企业内部将 OpenStack 作为私有云部署时,它通常位于防火墙之后,并与现有的系统一起位于受信任的网络中。用户是受公司安全需求约束的员工。这往往会将大多数安全领域引导至更受信任的模型。但是,当将 OpenStack 部署在面向公众的角色中时,不能做任何假设,攻击向量将显著增加。

请考虑以下安全影响和需求

  • 管理公共和私有云的用户。身份服务允许 LDAP 参与身份验证过程。如果与现有系统集成,这可以简化用户管理。

  • 用户身份验证请求包含敏感信息,包括用户名、密码和身份验证令牌。强烈建议将 API 服务置于执行 SSL 终止的硬件之后。

  • 无论防火墙或安全协议如何,都会攻击或破坏部署安全的负面或敌对用户。

  • 在面向公众的 OpenStack 部署中,攻击向量会进一步增加。例如,API 端点及其背后的软件容易受到恶意实体攻击,这些实体试图获得未经授权的访问权限或阻止对服务的访问。您应该提供适当的过滤和定期的安全审计。

警告

在使用第三方云来探索身份验证选项时,请注意一致性。

有关 OpenStack 安全性的更多信息,请参阅 OpenStack 安全指南

安全域

安全域包括用户、应用程序、服务器或网络,它们在系统内共享共同的信任需求和期望。通常,它们具有相同的身份验证和授权需求和用户。

安全域包括

公共安全域

公共安全域可以指整个互联网或您没有管辖权的任何网络。该域被认为是不可信任的。例如,在混合云部署中,在云之间以及云之外传输的任何信息都属于公共域且不可信任。

客户安全域

客户安全域处理云上实例生成的数据,但不处理支持云运行的服务,例如 API 调用。公共云提供商和对实例使用没有严格控制或允许实例无限制访问互联网的私有云提供商应认为该域不可信任。如果私有云提供商对其拥有控制实例及其所有租户的权限,则可能希望将此网络视为内部网络,因此仅受信任。

管理安全域

管理安全域是服务交互的地方。有时也称为控制平面,该域中的网络传输机密数据,例如配置参数、用户名和密码。在大多数部署中,当它位于组织的防火墙之后时,该域被认为是受信任的。

数据安全域

数据安全域主要关注 OpenStack 内存储服务相关的的信息。跨此网络传输的数据具有很高的完整性和保密性要求,并且根据部署类型,也可能具有强大的可用性要求。该网络的信任级别在很大程度上取决于其他部署决策。

这些安全域可以单独或集体映射到 OpenStack 部署。云运营商应了解适当的安全问题。应根据您的特定 OpenStack 部署拓扑映射安全域。域及其信任要求取决于云实例是公共的、私有的还是混合的。

Hypervisor 安全

Hypervisor 也需要进行安全评估。在公共云中,组织通常无法控制 Hypervisor 的选择。正确保护您的 Hypervisor 非常重要。对未保护的 Hypervisor 发起的攻击称为 Hypervisor 突破。Hypervisor 突破描述了受损或恶意实例突破 Hypervisor 的资源控制,并获得对裸机操作系统和硬件资源的访问权限的事件。

如果实例的安全性不重要,Hypervisor 安全性不是问题。但是,企业可以通过避免在公共云中与他人共享硬件来最大限度地降低漏洞。

裸机安全

还有其他值得考虑的服务,它们提供裸机实例而不是云。在其他情况下,可以通过与私有云即服务部署集成来复制第二个私有云。该组织不购买硬件,但也不与他人共享。也可以使用提供商托管的裸机公共云实例,该实例的硬件仅专用于一个客户,或者提供商提供私有云即服务。

重要提示

每个云以不同的方式实现服务。了解处理组织数据或工作负载的每个云的安全要求。

网络安全

在设计物理和逻辑网络拓扑之前,请考虑安全影响和需求。确保网络得到适当的分隔,并且流量正在前往正确的目的地,而不会穿过不希望经过的位置。请考虑以下因素

  • 防火墙

  • 用于连接分离的租户网络的覆盖互连

  • 通过或避免特定网络进行路由

网络连接到 Hypervisor 的方式可能会暴露安全漏洞。为了缓解 Hypervisor 突破,将网络从其他系统分离,并将实例安排到网络的专用计算节点上。这可以防止攻击者从受损的实例访问网络。

多站点安全

保护多站点 OpenStack 安装会带来一些挑战。租户可能希望租户创建的网络是安全的。在多站点安装中,站点之间的非专用连接可能是必需的。这意味着流量对第三方可见,并且在应用程序需要安全性的情况下,需要缓解此问题。在这些情况下,请在站点之间安装 VPN 或加密连接以隐藏敏感流量。

身份验证是另一个安全考虑因素。身份验证集中化为部署中的用户提供了一个身份验证点,并为传统的创建、读取、更新和删除操作提供了一个管理点。集中身份验证也有助于审计目的,因为所有身份验证令牌都来自同一来源。

多站点安装中的租户需要相互隔离。主要挑战是确保租户网络在区域之间运行,这在 OpenStack Networking (neutron) 中当前不受支持。因此,可能需要外部系统来管理映射。租户网络可能包含敏感信息,需要准确且一致的映射,以确保在一个站点中的租户不会连接到另一个站点中的不同租户。

法律要求

使用远程资源进行收集、处理、存储和检索为企业提供潜在的好处。随着组织内数据的快速增长,企业需要从合规性角度主动管理其数据存储策略。

大多数国家/地区都有管理云环境中数据存储和管理的立法和监管要求。这对于公共、社区和混合云模型尤其重要,以确保使用第三方云提供商的组织的数据隐私和保护。

常见的监管领域包括

  • 数据保留策略,确保存储持久数据和记录管理以满足数据归档要求。

  • 数据所有权策略,管理数据的占有和责任。

  • 数据主权策略,管理数据存储在外国或其他单独管辖区。

  • 数据合规性策略,管理由于监管问题而需要驻留在某些位置的特定类型的信息 - 更重要的是,出于相同的原因不能驻留在其他位置。

  • 数据位置策略,确保部署到云的服务根据适用于员工、外国子公司或第三方的法律和法规使用。

  • 灾难恢复策略,确保定期备份数据并将云应用程序重新定位到另一个供应商,在供应商破产或其数据中心无法运行的情况下。

  • 安全漏洞策略,管理通过云提供商的系统或其他方式向个人通知其个人数据以任何方式受到损害的方式。

  • 行业标准策略,管理有关可以存储哪些类型的持卡人数据以及如何保护它的其他要求。

这是一个这样的法律框架示例

欧洲的数据存储法规目前由 数据保护委员会 的规定驱动。 金融行业监管局 在美国对此进行工作。

隐私和安全分布在不同的行业特定法律和法规中

  • 健康保险可移植性和责任法案 (HIPAA)

  • 格莱姆-利奇-比利法案 (GLBA)

  • 支付卡行业数据安全标准 (PCI DSS)

  • 家庭教育权利和隐私法案 (FERPA)

云安全架构

云安全架构应认识到与安全管理相关的 问题,并使用安全控制来解决这些问题。云安全控制到位是为了保护系统中的任何弱点,并减少攻击的影响。

以下安全控制在下面描述。

威慑控制

通常通过告知潜在的攻击者,如果他们继续,将会有不利后果来降低威胁级别。

预防控制

加强系统以防止事件,通常通过减少甚至消除漏洞。

检测控制

旨在检测和适当响应发生的任何事件。通常使用系统和网络安全监控,包括入侵检测和预防安排,来检测对云系统和支持通信基础设施的攻击。

纠正控制

减少事件的后果,通常通过限制损害。它们在事件发生期间或之后生效。为了重建受损的系统,恢复系统备份是纠正控制的一个例子。

有关更多信息,请参阅 NIST 特殊出版物 800-53

软件许可

软件许可的不同形式通常是针对专用硬件编写的。该模型与云平台本身相关,包括 Hypervisor 操作系统、支持诸如数据库、RPC、备份等项目的软件。在向云的最终用户提供计算服务实例和应用程序时,必须考虑,因为该软件的许可条款可能需要进行一些调整才能在云中经济地运行。

多站点 OpenStack 部署在常规 OpenStack 云之外,还存在额外的许可考虑因素,尤其是在使用站点许可以提供对软件许可的经济访问时。需要评估主机操作系统、客户操作系统、OpenStack 发行版(如果适用)、软件定义的基础设施,包括网络控制器和存储系统,甚至单个应用程序的许可。

需要考虑的主题包括

  • 相关许可中“站点”的定义,因为该术语不一定表示地理或其他物理隔离的位置。

  • “热”(活动)站点和“冷”(非活动)站点之间的差异,在其中一个站点仅用于灾难恢复目的的情况下,可以节省大量资金。

  • 某些位置可能需要本地供应商为每个站点提供支持和服务,这可能因所使用的许可协议而异。