Häufig gestellte Fragen

  1. Was ist der empfohlene Weg, um Geheimnisse in OpenStack sicher zu speichern?

Der empfohlene Weg zum sicheren Speichern und Verwalten von Geheimnissen in OpenStack ist Barbican.

  1. Warum sollte ich Barbican benutzen?

Barbican ist ein OpenStack-Dienst, der mandantenfähig ist und Keystone-Token zur Authentifizierung verwendet. Dies bedeutet, dass der Zugriff auf Geheimnisse über OpenStack-Richtlinien für Tenants und RBAC-Rollen gesteuert wird.

Barbican verfügt über mehrere steckbare Backends, die mithilfe von PKCS # 11 oder KMIP mit Soft- und Hardware-basierten Sicherheitsmodulen kommunizieren können.

  1. Was, wenn ich Barbican nicht benutzen möchte?

In einem Openstack-Kontext gibt es zwei Arten von Geheimnissen, die verwaltet werden müssen: diejenigen, die ein Keystone-Token für den Zugriff erfordern, und solche, die dies nicht tun.

Ein Beispiel für solche Geheimnisse, die eine Keystone-Authentifizierung erfordern, sind Passwörter und Schlüssel, die bestimmten Projekten gehören. Dazu gehören beispielsweise Verschlüsselungsschlüssel für verschlüsselte Cinder-Volumes eines Projekts oder Signier-Schlüssel für die Glance-Abbilder eines Projekts.

Beispiele für Geheimnisse, für die kein Keystone-Token erforderlich ist, sind Kennwörter für Service-Benutzer in Servicekonfigurationsdateien oder Verschlüsselungsschlüssel, die nicht zu einem bestimmten Projekt gehören.

Geheimnisse, die ein Keystone-Token erfordern, sollten mit Barbican gespeichert werden.

Geheimnisse, die keine Keystone-Authentifizierung erfordern, können in jedem geheimen Speicher gespeichert werden, das die einfache Schlüssel-Speicher-API implementiert, die durch Castellan verfügbar gemacht wird. Dazu gehört auch Barbican.

  1. Wie kann ich Vault, Keywhiz, Custodia usw. verwenden?

Der Schlüsselverwalter Ihrer Wahl kann mit Openstack verwendet werden, wenn Castellan-Plugin für diesen Schlüsselverwalter geschrieben wurde. Sobald das Plugin geschrieben wurde, ist es relativ trivial, das Plugin entweder direkt oder hinter Barbican zu benutzen.

Derzeit werden Vault- und Custodia-Plugins für den Queens-Zyklus entwickelt.