2023學(xué)年完整公開課版openstackHAopenstack安全運(yùn)維2

openstack安全運(yùn)維22OpenStack組件的安全性O(shè)penStackCLI用戶名和密碼對于OpenStackCLI工具的使用必不可少。很多OpenStack使用手冊建議使用在OpenStackRC文件中定義的OS_USERNAME和OS_PASSWORD環(huán)境定量，但將身份證書信息保存為未加密的文件必然不是最好的安全實(shí)踐。更為安全的做法是使用OpenStackCLI工具為每個請求申請不同的戶名和密碼，或使用預(yù)定的authenticationtoken。位于DMZ中的指定節(jié)點(diǎn)或VM亦可成為OpenStackCLI工具的專屬節(jié)點(diǎn)，確保只有來自可靠網(wǎng)絡(luò)的SSH接入被允許，不必要的服務(wù)和Bash歷史記錄可被禁止；網(wǎng)絡(luò)日志被全部存放于遠(yuǎn)程、安全、高可用的存儲池。3OpenStack組件的安全性nova是OpenStack服務(wù)中最為復(fù)雜的一個，需要與諸多其他服務(wù)保持聯(lián)系且配置選擇繁復(fù)。也正因此，Nova是確保OpenStack服務(wù)安全性的首要重點(diǎn)。Nova配置文件的所有者該是root，配置文件群組該是nova；權(quán)限該是640(所有者：讀/寫權(quán)；群組：只讀權(quán))。禁用管理程序的PCIpassthrough功能，以限制VM到主機(jī)硬件，例如DMA，的直接訪問。使用sVirt或SELinux/AppArmor將管理程序放進(jìn)單獨(dú)的安全體系。一些管理程序可能帶有內(nèi)存優(yōu)化技術(shù)，為主機(jī)上的VM完成內(nèi)存頁面去重。舉例:Xen有TransparentPageSharing(TSP)功能；KVM有KernelSamepageMerging(KSM)。用戶可采用嚴(yán)格的租戶分離應(yīng)對云租戶威脅，進(jìn)而為需要的計(jì)算節(jié)點(diǎn)禁用管理程序的內(nèi)存優(yōu)化技術(shù)。將管理程序日志存放于安全的遠(yuǎn)程存儲位置。嚴(yán)格監(jiān)控管理程序的可執(zhí)行文件的完整性；基于Debian的操作系統(tǒng)可使用debsums；基于紅帽的可選擇rpm–V。為可執(zhí)行的管理程序使ASLR(AddressSpaceLayoutRandomization)和PIE(PositionIndependentExecutables)；qemu-kvm可將之支持。為VNC或SPICE會話使用TLS；確保Nova與其他OpenStack服務(wù)，例如Keystone或Glance的通訊（通過TLS）是安全可靠的。對于其他OpenStack服務(wù)亦是如此。4OpenStack組件安全運(yùn)維實(shí)踐GlanceOpenStackGlance可為發(fā)布新VM提供鏡像存儲服務(wù)。其安全性對于確保鏡像安全十分重要。不要使用來源不明的提前建好的鏡像或Docker容器。啟用Glanceimagesigning(已被Mitaka支持)。NeutronNeutron的角色是在云中為VMs提供網(wǎng)絡(luò)連接與IP地址。Neutron的架構(gòu)是基于插件的，所以了解哪些插件為必需、哪些為第三方解決方案，之后再按需完成禁用是非常必要的。為OpenStack服務(wù)使用獨(dú)立的管理網(wǎng)絡(luò)；使用VLAN或基于GRE隧道的L2隔離；在Neutron中啟用安全組，并且禁用Nova安全組(所有Nova安全組都該轉(zhuǎn)發(fā)至Neutron)；用TLS確保NeutronAPI端點(diǎn)的安全性；使用iptables和ebtables規(guī)則防止MAC和ARP欺騙攻擊；使用網(wǎng)絡(luò)配額機(jī)制預(yù)防DoS攻擊；5OpenStack組件安全運(yùn)維實(shí)踐信息隊(duì)列(RabbitMQ)消息隊(duì)列的角色在于促進(jìn)OpenStack服務(wù)間的通信，而RabbitMQ是OpenStack云最常見的解決方案。鑒于OpenStack無法支持messagesigning，消息隊(duì)列需確保OpenStack服務(wù)信息傳輸?shù)陌踩浴h除RabbitMQ的來賓賬戶；為不同的OpenStack服務(wù)提供獨(dú)立的RabbitMQ實(shí)例，使用唯一校驗(yàn)體，并設(shè)置獨(dú)立的權(quán)限。用TLS確保RabbitMQAPI的安全性；將RabbitMQ日志存放于安全的遠(yuǎn)程存儲位置；KeystoneKeystone為其他OpenStack服務(wù)提供身份服務(wù)，需妥善保護(hù)以避免欺詐及其他攻擊。利用外部認(rèn)證系統(tǒng)，例如ApacheHTTP服務(wù)器，啟用多維度認(rèn)證；默認(rèn)情況下，token的失效時間為1小時，而我們的建議是在允許OpenStack服務(wù)完成請求的情況下盡量縮短此時長。需注意，一些請求需要較長時間完成，例如需Nova的鏡像遷移操作。使用專為RESTAPI設(shè)計(jì)、比常規(guī)token更安全、占用資源更少的Fernettokens；使用Keystone域?qū)崿F(xiàn)對于租戶更細(xì)?；墓芾?；域的管理人可以創(chuàng)建用戶、群組和角色。6OpenStack組件安全運(yùn)維實(shí)踐CinderCinder的角色是為管理塊存儲設(shè)備提供高級API，主要被Nova使用。Cinder可能受到的攻擊模式包括DoS、信息泄露及篡改等。配置文件的擁有者該為root；配置文件組該為Cinder；權(quán)限該為640（擁有者權(quán)限：讀/寫；組權(quán)限：只讀）。為請求數(shù)量設(shè)定上限–默認(rèn)配置對請求數(shù)量沒有限制，因此可能受到DoS攻擊。啟用volumewiping確保Cinder卷刪除的安全性；服務(wù)質(zhì)量即服務(wù)(QualityofServiceasaService,QoSaaS)服務(wù)質(zhì)量即服務(wù)（QualityofServiceasaService,QoSaaS）目前正在開發(fā)中，將提供流量成型、按端口、網(wǎng)絡(luò)、租戶的流量限速以及流分析。防火墻即服務(wù)（FirewallasaService,FWaaS)防火墻即服務(wù)(FirewallasaService,FWaaS)目前正在開發(fā)中，其目標(biāo)是為傳統(tǒng)的L2/L3防火墻提供統(tǒng)一API；為Ope