OpenStack平臺(tái)安全威脅場(chǎng)景

OpenStack平臺(tái)安全威脅場(chǎng)景目錄OpenStack平臺(tái)的安全問題2回顧OpenStack平臺(tái)架構(gòu)Openstack平臺(tái)架構(gòu)如圖所示為OpenStack平臺(tái)的基礎(chǔ)架構(gòu)3OpenStack平臺(tái)的安全問題一般來說，OpenStack平臺(tái)的主要安全問題主要包含以下幾個(gè)方面4身份認(rèn)證密碼強(qiáng)度存儲(chǔ)密碼身份驗(yàn)證令牌認(rèn)證數(shù)據(jù)敏感性惡意數(shù)據(jù)安全問題——身份認(rèn)證4由于用戶管理的機(jī)制問題，會(huì)造成用戶在訪問系統(tǒng)時(shí)，訪問時(shí)間過長(zhǎng)，以至于帶來安全隱患。推薦解決辦法：TempAuth和SwAuth通常使用用戶名和密碼進(jìn)行認(rèn)證。當(dāng)成功進(jìn)行身份驗(yàn)證，時(shí)用戶會(huì)收到一個(gè)令牌，此令牌可以使用戶在一段時(shí)間內(nèi)有權(quán)訪問系統(tǒng)。提供的令牌具有可配置的到期時(shí)間，默認(rèn)設(shè)置為4~6h。身份認(rèn)證安全問題——密碼強(qiáng)度由于用戶的安全意識(shí)薄弱，對(duì)密碼設(shè)置的安全強(qiáng)度方面不夠重視，容易設(shè)置弱密碼，帶來安全隱患。推薦解決辦法：OpenStack項(xiàng)目對(duì)用戶進(jìn)行身份驗(yàn)證所使用的都是用戶名和密碼。密碼強(qiáng)度要求應(yīng)接受更嚴(yán)格的審查。例如依據(jù)常用密碼口令字典對(duì)密碼進(jìn)行檢查，規(guī)定最小密碼長(zhǎng)度和必須使用某些特殊字符。4密碼強(qiáng)度安全問題——存儲(chǔ)密碼在OpenStack平臺(tái)的管理過程中，如果管理者沒有經(jīng)受過規(guī)范的培訓(xùn)，在存儲(chǔ)重要信息時(shí)，容易采取易被黑客攻擊的方式。推薦解決辦法：要求管理員保證密碼是被加密的，而不是以明文存儲(chǔ)。同樣重要的是要限制訪問存儲(chǔ)密碼的位置。TempAuth將用戶名和密碼存儲(chǔ)在一個(gè)配置文件中，所有密碼都記錄在普通文本格式中。4存儲(chǔ)密碼安全問題——身份驗(yàn)證令牌身份的令牌的驗(yàn)證，如果不規(guī)范化，不流程化，容易導(dǎo)致被不法分子乘虛而入。推薦解決辦法：成功的認(rèn)證生成用于授權(quán)服務(wù)請(qǐng)求的令牌。密碼和用戶名作為輸入提供A給PI。如果認(rèn)證成功，由此產(chǎn)生的信息包括身份驗(yàn)證令牌和服務(wù)類別。令牌保持12小時(shí)有效。4身份驗(yàn)證令牌安全問題——認(rèn)證數(shù)據(jù)敏感性在安全意識(shí)薄弱的情況下，轉(zhuǎn)移認(rèn)證數(shù)據(jù)是極度不安全的，如果管理員操作的問題，易導(dǎo)致供應(yīng)商管理員查看屬于此管理員管理的所有用戶數(shù)據(jù)，其中，惡意用戶有可能能獲得其他用戶訪問密碼。推薦解決辦法：禁止在未取得應(yīng)有的管理權(quán)限時(shí)，將OpenStack的認(rèn)證數(shù)據(jù)從一個(gè)服務(wù)器轉(zhuǎn)移到另一個(gè)服務(wù)器。4認(rèn)證數(shù)據(jù)敏感性安全問題——惡意數(shù)據(jù)出于數(shù)據(jù)處理的方便，大多數(shù)的云供應(yīng)商在將數(shù)據(jù)上傳到集群之前不加密數(shù)據(jù)，事實(shí)上OpenStack本身也并未提供任何數(shù)據(jù)