关于安全，OpenStack都下了哪些功夫？

导

读

OpenStack是一个被广泛部署的开源云平台，但默认情况下它不一定安全。以下OpenStack专家所说的将有助于你确保云的安全。

开源的OpenStack云平台被沃尔玛等全球最大的公司和AT＆T等全球最大的运营商，甚至CERN等全球最大的科学实验机构所采用。尽管有直接集成到OpenStack中的安全元素，但安全性不一定总是默认配置。

在OpenStack温哥华峰会上，OpenStack运维者和项目团队成员详细介绍了他们为进一步提高OpenStack安全性所做的工作。

漏洞管理团队

作为一个平台，OpenStack由一系列提供不同功能的开源项目组成。作为项目结构的补充，整个项目还有一个漏洞管理团队（VMT），负责处理整个OpenStack项目结构中的漏洞披露和安全问题。红帽开发者Tristan Cacqueray是三人VMT的一个。

Cacqueray表示，在他看来，每个OpenStack项目中的安全意识都很重要，因为每个小组都需要了解他们面临的风险。

”OpenStack社区在及时解决问题方面做得非常好，因为在每个项目中都有一些专门与VMT对接的人员，一起合作弄清楚如何解决问题。”

分层的安全

Clark Boylan是OpenStack Infrastructure项目的PTL，负责帮助维护用于构建OpenStack的OpenStack云。Boylan表示，他的团队最近处理的一个安全事件与Elasticserach服务器有关，该服务器被公开暴露在互联网上——“这只需要大约三分钟即可搞定。幸好它只是一个开发服务器。”

Boylan补充道，Elasticsearch事件有助于让OpenStack基础架构团队进一步意识到，他们必须时刻保持谨慎，安全层非常重要。

安全默认项

思科工程师Dave McCowan是OpenStack Barbican秘密管理项目的前PTL，也是该平台的积极参与者。在他看来，在OpenStack中使用安全的默认设置和安全文档方面，还有改进空间。

“作为工程师，我们喜欢专注于手头的任务，所以我们简化了其他任何事情。”McCowan说，“因此，我们会关闭SELinux和TLS，并让一切尽可能的简单，但在随后的执行功能测试和文档中都会有影响。”

Cacqueray认为，默认的安全性对云软件来说尤其具有挑战性，因为不同的云提供商具有不同的安全边界。像CERN这样的机构运行OpenStack来实现内部云，希望比公有云提供商提供更多的访问。

对于OpenStack的基础设施，默认的安全性也很具有挑战性。Boylan表示，对于OpenStack基础设施开发人员来说，要做的是运行来自不可信的人的不可信代码——这是一个有意思的安全问题。

“我们尽可能地将这些特定的工作负载隔离在对应的租户中。”Boylan说。

OpenStack基础设施试图确保应用程序镜像相对锁定，IP表防火墙默认启用。

“我们试图围绕OpenStack构建这些层，因为我们知道任何人都可以参与，包括你不认识的人。”

强化OpenStack安全性

归根结底，没有哪一个OpenStack项目、配置或人员能够为OpenStack云提供全面的安全性。相反，专家组一致认为，拥有多层控制对云安全至关重要。

McCowan说：“选择一个安全主题作为最高优先级是很困难的，因为黑客会发现任何薄弱环节。所以，一定要分层看安全。”

McCowan的建议是：首先，要强化硬件本身以应对潜在风险，并强化云运行的底层操作系统；其次，为基础设施和工作负载提供安全的OpenStack配置也有帮助；最后，OpenStack运维者要尽可能不给不可信的用户运行不可信代码的机会。

原文链接：

https://www.esecurityplanet.com/cloud/openstack-cloud-security.html

内容覆盖主流开源领域

投稿邮箱

[email protected]