Otentikasi

Otentikasi adalah bagian integral dari pengerahan OpenStack dunia nyata dan pemikiran hati-hati harus diberikan pada aspek perancangan sistem ini. Perlakuan lengkap terhadap topik ini berada di luar cakupan panduan ini namun beberapa topik utama dipresentasikan pada bagian berikut.

Yang paling dasar, autentikasi adalah proses konfirmasi identitas - bahwa pengguna sebenarnya adalah orang yang mereka klaim. Contoh yang familiar adalah menyediakan username dan password saat login ke sebuah sistem.

Layanan OpenStack Identity (keystone) mendukung beberapa metode otentikasi, termasuk nama pengguna & password, LDAP, dan metode otentikasi eksternal. Setelah otentikasi berhasil, layanan Identitas memberi pengguna sebuah token otorisasi yang digunakan untuk permintaan layanan berikutnya.

Transport Layer Security (TLS) menyediakan otentikasi antara layanan dan orang-orang yang menggunakan sertifikat X.509. Meskipun mode default untuk TLS hanya otentikasi sisi server, sertifikat juga dapat digunakan untuk otentikasi klien.

Upaya login tidak valid

Pada rilis Newton, layanan Identity dapat membatasi akses ke akun setelah upaya login yang berulang kali gagal. Pola upaya masuk berulang yang gagal umumnya merupakan indikator serangan brute-force (lihat Jenis serangan). Jenis serangan ini lebih lazim dalam penyebaran cloud publik.

Untuk penerapan yang lebih lama yang membutuhkan fungsionalitas ini, pencegahan dimungkinkan dengan menggunakan sistem otentikasi eksternal yang mengunci akun setelah sejumlah upaya login gagal yang terkonfigurasi. Akun itu kemudian hanya dapat dibuka dengan intervensi side-channel lebih lanjut.

Jika pencegahan bukan pilihan, deteksi bisa digunakan untuk mengurangi kerusakan. Deteksi melibatkan tinjauan berulang terhadap log kontrol akses untuk mengidentifikasi upaya yang tidak sah untuk mengakses akun. Remediasi yang mungkin dilakukan mencakup meninjau kekuatan kata sandi pengguna, atau memblokir sumber serangan jaringan melalui peraturan firewall. Aturan firewall pada server keystone yang membatasi jumlah koneksi dapat digunakan untuk mengurangi efektivitas serangan, dan dengan demikian mencegah penyerang.

Selain itu, hal itu berguna untuk memeriksa aktivitas akun untuk waktu masuk yang tidak biasa dan tindakan mencurigakan, dan melakukan tindakan perbaikan seperti menonaktifkan akun. Seringkali pendekatan ini diambil oleh penyedia kartu kredit untuk deteksi dan kewaspadaan penipuan.

Autentikasi mult-faktor

Mempekerjakan otentikasi multi-faktor untuk akses jaringan ke akun pengguna istimewa. Layanan Identitas mendukung layanan otentikasi eksternal melalui server web Apache yang dapat menyediakan fungsionalitas ini. Server juga dapat menegakkan otentikasi sisi klien menggunakan sertifikat.

Rekomendasi ini memberikan isolasi dari kekerasan (brute force), rekayasa sosial, dan serangan tusukan (spear) dan massa phishing yang dapat membahayakan passwords administrator.