為OpenStack確保安全并不是像只要部署防火墻、啟用反病毒軟件來(lái)得這么容易，還需要部署許多傳統(tǒng)的控制機(jī)制。

安全是現(xiàn)代IT所有領(lǐng)域需要關(guān)注的一大問(wèn)題，也常常被列為是采用云計(jì)算所面臨的主要障礙。在5月中下旬于加拿大溫哥華召開(kāi)的OpenStack峰會(huì)上，安全是許多會(huì)議的主要話題。幾場(chǎng)會(huì)議探討了如何合理而安全地部署和配置OpenStack云。安全還通過(guò)許多不同的項(xiàng)目納入到OpenStack本身的開(kāi)發(fā)當(dāng)中。

OpenStack現(xiàn)在被美國(guó)一些最大的公司部署到生產(chǎn)環(huán)境，包括沃爾瑪、康卡斯特、百思買(mǎi)、時(shí)代華納有線公司、AT&T和電子港灣。最近的許多安全漏洞都影響了OpenStack，比如VENOM、虛擬機(jī)外溢（VM breakout）和Heartbleed這種與SSL有關(guān)的漏洞。

Robert Clark是惠普的Helion云首席安全架構(gòu)師，兼OpenStack安全項(xiàng)目組的項(xiàng)目技術(shù)主管（PTL）。他在最近這次峰會(huì)上的幾場(chǎng)會(huì)議作了發(fā)言，解釋了許多不同的技術(shù)可以用在主機(jī)操作系統(tǒng)上和OpenStack里面，以提供安全。

這幾年來(lái)，Clark一直積極地為OpenStack貢獻(xiàn)代碼，幫助改善安全。在2013年于俄勒岡州波特蘭召開(kāi)的OpenStack峰會(huì)上，Clark探討了OpenStack安全項(xiàng)目組（OSSG）如何著力制定OpenStack部署方面的最佳實(shí)踐和指導(dǎo)。

Clark解釋?zhuān)琌SSG最近把安全漏洞管理團(tuán)隊(duì)（VMT）納入到OpenStack旗下，現(xiàn)在它是一個(gè)官方的OpenStack項(xiàng)目。

Clark說(shuō)：“OpenStack安全項(xiàng)目負(fù)責(zé)為OpenStack提供許多不同的服務(wù)�！�

VMT是OpenStack安全項(xiàng)目下面的一個(gè)獨(dú)立部門(mén)，負(fù)責(zé)快速機(jī)密地響應(yīng)潛在的新的安全漏洞。VMT這個(gè)部門(mén)發(fā)布OpenStack安全公告，而更龐大的OpenStack安全項(xiàng)目會(huì)發(fā)布安全須知。公告與須知之間的區(qū)別在于，公告針對(duì)可以修復(fù)的當(dāng)下的安全問(wèn)題。相比之下，安全須知提供了部署最佳實(shí)踐方面的指導(dǎo)和建議，以降低安全風(fēng)險(xiǎn)。

安全項(xiàng)目組還編寫(xiě)了《OpenStack安全指南》，這項(xiàng)工作旨在為安全部署OpenStack提供一套全面而廣泛的準(zhǔn)則。該項(xiàng)目組還為OpenStack項(xiàng)目執(zhí)行威脅分析。

OpenStack安全項(xiàng)目管理一對(duì)工具，幫助開(kāi)發(fā)人員確保OpenStack代碼安全無(wú)虞：Anchor工具是一種暫時(shí)的公鑰基礎(chǔ)設(shè)施（PKI），而B(niǎo)andit是一種查找代碼錯(cuò)誤的Python安全工具。

Clark解釋?zhuān)骸癆nchor項(xiàng)目擁有一個(gè)被動(dòng)撤消系統(tǒng)，這意味著證書(shū)配置起來(lái)要安全得多�！�

最佳實(shí)踐

對(duì)Clark來(lái)說(shuō)，OpenStack云部署方面的最佳實(shí)踐從硬件開(kāi)始。他表示，企業(yè)能夠信任云運(yùn)行的硬件，以便能夠證實(shí)硬件沒(méi)有被人篡改或修改，這點(diǎn)很重要。

每個(gè)人都有同樣訪問(wèn)權(quán)的扁平式網(wǎng)絡(luò)對(duì)云來(lái)說(shuō)不是個(gè)好主意。Clark建議，在部署OpenStack云的企業(yè)中應(yīng)該至少有四個(gè)域：公共網(wǎng)絡(luò)、訪客網(wǎng)絡(luò)、管理網(wǎng)絡(luò)和數(shù)據(jù)網(wǎng)絡(luò)。公共網(wǎng)絡(luò)和訪客網(wǎng)絡(luò)基本上是不可信任的，而管理網(wǎng)絡(luò)和數(shù)據(jù)網(wǎng)絡(luò)是可信節(jié)點(diǎn)。

Clark表示，為OpenStack確保安全并不是像只要部署防火墻、啟用反病毒軟件來(lái)得這么容易，還需要部署許多傳統(tǒng)的控制機(jī)制。他主張采用深層防御機(jī)制――采用多層體系，并結(jié)合使用工具和方法。

Clark說(shuō)：“在我們的所有威脅分析和設(shè)計(jì)中，我們假設(shè)所有虛擬機(jī)都想給我們帶來(lái)危害。我們假設(shè)，一切都完全是敵意，至少在惠普是這樣�！�

減小整個(gè)架構(gòu)當(dāng)中的攻擊面至關(guān)重要。為此，Clark建議的一個(gè)主要方法就是，在OpenStack節(jié)點(diǎn)上只部署交付特定服務(wù)所需要的應(yīng)用程序，而不是部署標(biāo)準(zhǔn)的Linux發(fā)行版。

具體拿虛擬機(jī)外溢（比如最近的VENOM安全漏洞）來(lái)說(shuō)，Clark提供了技術(shù)和配置方面的許多建議，可以用來(lái)盡量減小這種風(fēng)險(xiǎn)。

Clark說(shuō)：“虛擬機(jī)外溢并不是什么怪獸，它們?cè)谕饷鎸?shí)際上頻繁出現(xiàn)�！�

由于會(huì)發(fā)生虛擬機(jī)外溢，就需要落實(shí)虛擬機(jī)遏制策略。做好虛擬機(jī)遏制工作的一個(gè)辦法就是，借助強(qiáng)制性訪問(wèn)控制機(jī)制，包括Security Enhanced Linux（SELinux）和AppArmor。強(qiáng)制性訪問(wèn)控制機(jī)制定義了某個(gè)進(jìn)程應(yīng)該有怎樣的行為，可以阻止未授權(quán)進(jìn)程，提醒管理員某個(gè)進(jìn)程何時(shí)企圖違反政策行事。

除了SELinux和AppArmor外，Clark還探討了安全計(jì)算模式（SECCOMP）的優(yōu)點(diǎn)，這種模式在Linux里面提供了應(yīng)用程序沙箱功能。

Linux還有一項(xiàng)隔離技術(shù)，又叫命名空間。Clark解釋?zhuān)�借助Linux命名空間隔離技術(shù)，Linux里面已定義的命令空間就可以與其他命令空間隔離開(kāi)來(lái)。Linux控制組（CGroups）也可以用來(lái)限制和隔離某一個(gè)Linux進(jìn)程所使用的資源。

Clark表示，即便落實(shí)了安全控制機(jī)制以限制潛在的安全漏洞風(fēng)險(xiǎn)，但是另外更新服務(wù)器及打補(bǔ)丁的功能也很重要。他說(shuō)：“控制機(jī)制解決不了VENOM之類(lèi)的問(wèn)題。它們只是為你贏得應(yīng)對(duì)的時(shí)間，又不干擾貴公司的業(yè)務(wù)�！�

雖然多套控制機(jī)制和策略可以用來(lái)幫助為OpenStack云保駕護(hù)航，“但別犯這個(gè)低級(jí)錯(cuò)誤：使用默認(rèn)密碼，”Clark如是說(shuō)。

在不久的將來(lái)，云計(jì)算一定會(huì)徹底走入我們的生活，有興趣入行未來(lái)前沿產(chǎn)業(yè)的朋友，可以收藏云計(jì)算，及時(shí)獲取人工智能、大數(shù)據(jù)、云計(jì)算和物聯(lián)網(wǎng)的前沿資訊和基礎(chǔ)知識(shí)，讓我們一起攜手，引領(lǐng)人工智能的未來(lái)！

標(biāo)簽： linux ssl 安全 大數(shù)據(jù) 代碼 防火墻 服務(wù)器 漏洞 網(wǎng)絡(luò) 云計(jì)算

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。