2023學年完整公開課版openstackHAopenstack安全運維1

openstack安全運維12一、背景OpenStack項目本質復雜，常由許多獨立的子項目組成。當下，OpenStack逐漸成熟、被愈發(fā)廣泛采用，這讓如何加強OpenStack在生產環(huán)境中的安全性隨之成為備受關注的話題。同時，OpenStack每半年發(fā)布一次的新功能也是安全隱患的一大來源。近期在glibc和OpenSSL發(fā)現(xiàn)的安全隱患顯示，一個組件可以影響整個系統(tǒng)的安全性和可靠性。其實安全威脅是IT產業(yè)中所不能避免的–無論怎樣的架構、技術，都會涉及到。鑒于此，如何化解安全隱患，確保云的安全可靠，是值得探討的話題針對OpenStack云，一些高效、高可用的工具和實踐將可有效的防御安全攻擊，確保其行業(yè)合規(guī)性。3二、OpenStack云可能面臨的安全威脅針對軟件，根據(jù)攻擊媒介，安全威脅可分為以下幾類：欺詐–偽裝成自身真實身份以外的體積。篡改–修改磁盤內容、網絡或內存里的內容否認（Repudiation）–否定某個行為或聲稱無責信息泄露–向無授權人員泄露敏感信息拒絕服務（DoS）–吸收、占用正常提供服務所需的資源權限升級–允許訪問人完成無權限完成的行為，安全威脅可來自外部、云提供商，亦可來自某個租戶，同時攻擊云租戶與云提供商的基礎架構。以下是一些較常見的威脅：外部威脅–攻擊者利用用戶虛擬機中的安全隱患將之控制，之后橫移至云中的其他虛擬機，直到攻擊者得其所望。來自云提供商–攻擊者可利用云中的錯誤配置實現(xiàn)權限升級或信息泄露。舉例:攻擊者可發(fā)布新的虛擬機，附帶被已在運行中的用戶VM使用的存儲卷以獲取敏感用戶數(shù)據(jù)。來自其他租戶–攻擊者可以運行權限升級，脫離其自身VM，控制主機或其他租戶。這里，攻擊者將可接入共享的資源，例如存儲或網絡資源等；4三、OpenStack云安全建議（1）防御欺詐攻擊：使用公鑰基礎架構（PKI，PublicKeyInfrastructure）實現(xiàn)身份驗證；使用認證完善的SSL/TLS作為HTTP會話保護；在結點部署時修改廠商的初始密碼；對于云用戶亦是如此使用OpenStackKeystone與LDAP/ActiveDirectory的整合，確保驗證系統(tǒng)、密碼政策及賬戶的安全性。防御惡意篡改：使用數(shù)字化簽名確保數(shù)據(jù)安全。OpenStackAlgorithm。Mitaka版本將對此做出改善；使用強制訪問控制（MandatoryAccessControl,MAC）以及基于角色的訪問控制（RoleBasedAccessControl,RBAC）保護OpenStack服務；防御惡意否定：起用登錄及安全審計；使用集中化日志管理機制；將日志內容盡可能實時發(fā)送至安全的遠程高可用SIEM系統(tǒng)；監(jiān)控租戶網絡，及時發(fā)現(xiàn)異常狀況–最好的方式是針對已知漏洞使用基于網絡的入侵檢測及防御系統(tǒng)（IDS/IPS）;針對zero-day漏洞使用沙盒系統(tǒng)防御信息泄露：使用存儲加密（OpenStackCinder與libvirt都可支持存儲卷加密）；為用戶的工作負載使用OpenStack許可、域、租戶及組實施MAC/RBAC；5三、OpenStack云安全建議（2）防御DoS攻擊:為域、項目及用戶設定配額，實施OpenStackHA最佳實踐。HA架構以冗余為基礎，所以運維人員可以安全的隔離、關閉受影響的實例，而剩下的實例依舊可正常運轉。使用OpenStackavailabilityzones實現(xiàn)物理隔離或冗余；HTTP可反轉RESTAPI端點的代理服務以及在DMZ中可用來從直接訪問中隔離OpenStack服務的HTTP應用。每個代理服務由一臺Linux服務器+盡量小的程序包組成，可被輕易維護，亦可用作HTTP負載均衡器、已加密的連接的HTTP加速器及安全網關來高效防御DoS/DDoS攻擊。防御惡意權限升級用SELinux/AppArmor為管理程序及OpenStack服務實施MAC/RBAC；將OpenStack服務放于DMZ內，只允許對API端點的訪問。防御來自云租戶的威脅為租戶采用單獨的云采用perVM或per租戶存儲加密OpenStackNova為FilterScheduler設有TrustedFilter功能，用來將工作負載只分配給可信的計算資源。對執(zhí)行資源沒有特殊要求的工作負載可根據(jù)使用率被分配到任意結點，而對此有特定要求的工作負載將只會被安排到可信的結點。防御來自云提供商的威脅監(jiān)控東西向（服務器間）的流量異常6三、OpenStack云安全建議（3）云加密OpenStack支持多種加密算法，可用于身份識別和授權、確保數(shù)據(jù)傳輸?shù)陌踩?、保護數(shù)據(jù)。一些常用加密算法包括：針對密碼的加鹽加密：具有唯一性，隨機產生；用橢圓曲線密碼（EllipticCurveCryptography，ECC）代替RSA/DSA–ECC可以使用相對更小的密鑰提供同等加密，所以基于ECC的算法速度更快。使用Diffie-Hellman密鑰交換協(xié)議/算法作為在公共渠道交換密鑰的方式主機安全性以下清單可用來確保OpenStack主機的物理安全：及時完成固件的安全更新–近期發(fā)現(xiàn)的AMD安全隱患(http://www.theregister.co.uk/2016/03/06/amd_microcode_6000836_fix/)顯示，CPU中的微代碼亦可存在隱患；及時安裝來自操作系統(tǒng)廠商的安全更新（完成測試后）;管理員功能需根據(jù)具體網絡及工作站受限–管理員應該只能從特定網絡或工作站接入；為更改服務器配置建立嚴格的管理流程，保存全部配置信息，在上線前全面測試；定期根據(jù)最后應用的配置核實系統(tǒng)文件；使用按服務器分配的iptable過濾進入及輸出連接及協(xié)議，通過流量限速（例如SSH協(xié)議）完成簡單的進入鏈接節(jié)流至服務；在設置中限制SSH協(xié)議：只使用推薦的密碼，禁用第一版本的SSH協(xié)議；僅允