Datenschutzbedürfnisse¶
Datenresidenz¶
Die Privatsphäre und die Isolierung von Daten wurde in den vergangenen Jahren konsequent als die primäre Barriere für die Cloud-Adoption bezeichnet. Sorgen darüber, wer Daten in der Cloud besitzt und ob der Cloud-Operator letztlich als Depotbank dieser Daten vertraut werden kann, war in der Vergangenheit bedeutsame Themen.
Zahlreiche OpenStack-Dienste pflegen Daten und Metadaten von Tenantn oder Referenzmieterinformationen.
Tenantdaten, die in einer OpenStack-Cloud gespeichert sind, können die folgenden Elemente enthalten:
Objekt Speicherobjekte
Compute Instanz ephemeren Dateisystemspeicher
Compute-Instanzspeicher
Daten von Blockspeichermedien
Öffentliche Schlüssel für Compute-Zugriff
Abbilder von virtuellen Maschinen im Abbilddienst
Maschinenschattenkopien
Daten an die Konfigurations-Laufwerk-Erweiterung von OpenStack Compute übergeben
Metadaten, die von einer OpenStack-Cloud gespeichert werden, enthalten die folgenden nicht erschöpfenden Elemente:
Name der Organisation
Benutzer „Richtiger Name“
Anzahl oder Größe von laufenden Instanzen, Buckets, Objekten, Datenträger und anderen kontingentbezogenen Posten
Anzahl der Stunden, die Instanzen ausführen oder Daten speichern
IP-Adressen der Benutzer
Intern generierte private Schlüssel für Compute Abbildbündelung
Datenentsorgung¶
Die OpenStack-Betreiber sollten sich bemühen, ein gewisses Maß an Tenantdaten zur Verfügung zu stellen. Best Practices deuten darauf hin, dass der Betreiber die Cloud-System-Medien (digital und nicht-digital) vor der Entsorgung, die Freisetzung von Organisationskontrolle oder Freigabe zur Wiederverwendung reinigt. Sanitisierungsmethoden sollten ein angemessenes Maß an Stärke und Integrität bei der spezifischen Sicherheitsdomäne und der Sensitivität der Informationen implementieren.
„Der Sanierungsprozess entfernt Informationen aus den Medien, so dass die Informationen nicht abgerufen oder rekonstruiert werden können. Sanitisierungstechniken, einschließlich Löschen, Reinigen, kryptografische Löschung und Zerstörung, verhindern die Offenlegung von Informationen an nicht autorisierte Personen, wenn diese Medien wiederverwendet oder zur Entsorgung freigegeben werden.“ `NIST Spezielle Publikation 800-53 Revision 4 <http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf> `__
Allgemeine Daten Entsorgung und Sanierung Richtlinien, wie von NIST empfohlenen Sicherheitskontrollen verwendet. Cloud-Betreiber sollten:
Medien-Sanierungs- und Entsorgungsmaßnahmen verfolgen, dokumentieren und verifizieren.
Reagenz-Ausrüstung und Verfahren zur Überprüfung der ordnungsgemäßen Leistung.
Reinigung tragbarer, herausnehmbarer Speichergeräte vor dem Verbinden solcher Geräte mit der Cloud-Infrastruktur.
Zerstöre Cloud-System Medien, die nicht saniert werden können.
In einer OpenStack-Bereitstellung müssen Sie Folgendes ansprechen:
Sichere Datenlöschung
Instanz-Speicher-Scrubbing
Daten von Blockspeichermedien
Compute Instanz kurzlebiger Speicher
Bare metal server sanitization
Daten nicht sicher gelöscht¶
Innerhalb von OpenStack können einige Daten gelöscht, aber nicht sicher im Zusammenhang mit den oben beschriebenen NIST-Standards gelöscht werden. Dies gilt allgemein für die meisten oder alle oben definierten Metadaten und Informationen, die in der Datenbank gespeichert sind. Dies kann mit Datenbank- und/oder Systemkonfiguration für automatisches Vakumierung und periodisches free-space Wiping behoben werden.
Instanz-Speicher-Scrubbing¶
Speziell für verschiedene Hypervisor ist die Behandlung von Instanz Speicher. Dieses Verhalten ist in OpenStack Compute nicht definiert, obwohl es in der Regel von Hypervisoren erwartet wird, dass sie eine beste Anstrengung machen, um Speicher zu löschen, entweder beim Löschen einer Instanz, bei der Erstellung einer Instanz oder beides.
Xen weist explizit dedizierte Speicherbereiche auf Instanzen und scrubs Daten bei der Zerstörung von Instanzen (oder Domänen in Xen Parlance). KVM hängt stärker von der Linux-Seitenverwaltung ab. Ein komplexes Regelwerk für KVM-Paging ist in der KVM-Dokumentation definiert <http://www.linux-kvm.org/page/Memory>`__.
Es ist wichtig zu beachten, dass die Verwendung der Xen-Speicher-Ballon-Funktion wahrscheinlich zu Offenlegung von Informationen führen wird. Wir empfehlen dringend, diese Funktion zu vermeiden.
Für diese und andere Hypervisoren empfehlen wir, auf hypervisor-spezifische Dokumentation zu verweisen.
Cinder Volumen Daten¶
Die Verwendung der OpenStack-Volume-Verschlüsselungsfunktion ist sehr fortschrittlich. Dies wird im Abschnitt Datenverschlüsselung unter Volume Encryption beschrieben. Wenn diese Funktion verwendet wird, wird die Zerstörung von Daten durch sicheres Löschen des Verschlüsselungsschlüssels erreicht. Der Endbenutzer kann diese Funktion beim Erstellen eines Datenträgers auswählen, aber beachten Sie, dass ein Administrator eine einmalige Einrichtung der Volume-Verschlüsselungsfunktion zuerst durchführen muss. Anleitungen für dieses Setup befinden sich im Blockspeicherabschnitt der Configuration Reference, unter Volumenverschlüsselung.
Wenn die OpenStack-Volume-Verschlüsselungsfunktion nicht verwendet wird, dann sind andere Ansätze im Allgemeinen schwieriger zu aktivieren. Wenn ein Back-End-Plug-In verwendet wird, kann es unabhängige Möglichkeiten geben, Verschlüsselungs- oder Nicht-Standard-Überschreiblösungen durchzuführen. Plug-Ins zu OpenStack Block Storage speichert Daten auf vielfältige Weise. Viele Plug-Ins sind spezifisch für einen Anbieter oder eine Technologie, während andere mehr DIY-Lösungen rund um Dateisysteme wie LVM oder ZFS sind. Methoden, um Daten sicher zu zerstören, variieren von einem Plug-In zum anderen, von der Lösung eines Lieferanten zu einem anderen und von einem Dateisystem zum anderen.
Einige Back-Ends wie zFS unterstützen Kopie-zu-Schreiben, um Datenexposition zu verhindern. In diesen Fällen liest man aus ungeschriebenen Blöcken immer Null. Andere Backends wie LVM können dies nicht nativ unterstützen, so dass das Block Storage Plug-in die Verantwortung übernimmt, zuvor geschriebene Blöcke zu überschreiben, bevor sie an Benutzer weitergegeben werden. Es ist wichtig zu überprüfen, welche Zusicherungen Ihr ausgewähltes Volumen-Back-End bietet und um zu sehen, welche Vermittlungen für die nicht vorgesehenen Zusicherungen verfügbar sein können.
Funktion Abbilddienst verzögertes Löschen¶
Der OpenStack Abbilddienst verfügt über eine verzögerte Löschfunktion, die das Löschen eines Abbildes für einen definierten Zeitraum beendet. Es empfiehlt sich, diese Funktion zu deaktivieren, wenn es sich um eine Sicherheitsbedeutung handelt, indem Sie die ``etc/glance/glance- api.conf``Datei bearbeiten und die Option ``delayed_delete``als False einstellen.
Funktion Compute Soft-Delete¶
OpenStack Compute verfügt über eine Soft-Delete-Funktion, die eine Instanz
ermöglicht, die für einen definierten Zeitraum in einem Soft-Delete-Zustand
gelöscht wird. Die Instanz kann während dieses Zeitraums wiederhergestellt
werden. Um die Soft-Delete-Funktion zu deaktivieren, bearbeiten Sie die ``
etc/nova/nova.conf``Datei und lassen die reclaim_instance_interval
Compute Instanz kurzlebiger Speicher¶
Beachten Sie, dass die OpenStack `Ephemeral Disk Verschlüsselung <https://docs.openstack.org/security-guide/tenant-data/data-encryption.html> `__ Feature bietet ein Mittel zur Verbesserung der kurzlebigen Speicher Privatsphäre und Isolation, sowohl bei der aktiven Nutzung als auch wenn die Daten zu zerstören sind. Wie im Fall des verschlüsselten Blockspeichers kann man einfach den Verschlüsselungsschlüssel löschen, um die Daten effektiv zu zerstören.
Alternative Maßnahmen zur Bereitstellung von Datenschutz, bei der Erstellung und Zerstörung von kurzlebigen Speicherung, werden von dem gewählten Hypervisor und dem OpenStack Compute Plug-In etwas abhängig sein.
Das libvirt-Plug-in für compute kann eine kurzlebige Speicherung direkt auf einem Dateisystem oder in LVM aufrechterhalten. Dateispeicherspeicherung wird im Allgemeinen keine Daten überschreiben, wenn es entfernt wird, obwohl es eine Garantie gibt, dass verschmutzte Extents nicht für Benutzer bereitgestellt werden.
Bei der Verwendung von LVM-unterstützten, kurzlebigen Speicher, der blockbasiert ist, ist es notwendig, dass die OpenStack Compute Software die Blöcke sicher löscht, um die Offenlegung von Informationen zu verhindern. Es gab in der Vergangenheit Informationen Offenlegung Schwachstellen im Zusammenhang mit unsachgemäß gelöschten Ephemer-Block-Speichergeräte.
Filesystem Storage ist eine sicherere Lösung für kurzlebige Blockspeichergeräte als LVM, da verschmutzte Extents nicht für Benutzer bereitgestellt werden können. Allerdings ist es wichtig zu beachten, dass Benutzerdaten nicht zerstört werden, so dass es vorgeschlagen wird, das Backing-Dateisystem zu verschlüsseln.
Bare metal server sanitization¶
Ein Bare-Metal-Server-Treiber für Compute war in der Entwicklung und hat sich seitdem in ein separates Projekt namens ironic verschoben <https://wiki.openstack.org/wiki/Ironic>`__. Zum Zeitpunkt dieses Schreibens scheint Ironie nicht die Sanierung von Tenantdaten, die die physikalische Hardware resident sind, zu adressieren.
Zusätzlich ist es Mandanten auf Bare-Metal-Systemen möglich die Firmware zu ändern. TPM Technology, wie beschrieben unter Sicheres Bootstrapping bietet eine Lösung zum Erkennen nicht autorisierter Firmwareänderungen.