Pertanyaan yang Sering Diajukan

  1. Apa cara yang disarankan untuk menyimpan rahasia di OpenStack secara aman?

Cara yang disarankan untuk menyimpan dan mengelola rahasia di OpenStack dengan aman adalah dengan menggunakan Barbican.

  1. Mengapa saya harus menggunakan Barbican?

Barbican adalah layanan OpenStack yang menjaga multi-tenant dan menggunakan token Keystone untuk otentikasi. Ini berarti bahwa akses terhadap rahasia dikendalikan melalui kebijakan OpenStack untuk tenant dan peran RBAC.

Barbican memiliki beberapa pluggable back-ends yang dapat berkomunikasi dengan modul keamanan berbasis perangkat lunak dan perangkat keras menggunakan PKCS#11 atau KMIP.

  1. Bagaimana jika saya tidak ingin menggunakan Barbican?

Dalam konteks Openstack, ada dua jenis rahasia yang perlu dikelola - yang memerlukan token keystone untuk akses, dan yang tidak.

Contoh dari rahasia yang memerlukan otentikasi keystone adalah password dan kunci yang dimiliki oleh proyek tertentu. Ini termasuk, misalnya, kunci enkripsi untuk volume cinder terenkripsi proyek atau signing key untuk glance image proyek.

Contoh rahasia yang tidak memerlukan keystone token untuk diakses adalah password untuk pengguna layanan dalam file konfigurasi layanan, atau kunci enkripsi yang tidak termasuk dalam proyek tertentu.

Rahasia yang membutuhkan keystone token harus disimpan menggunakan Barbican.

Rahasia yang tidak memerlukan otentikasi keystone dapat disimpan di penyimpanan rahasia manapun yang menerapkan API penyimpanan kunci sederhana yang terpapar melalui Castellan. Ini juga termasuk Barbican.

  1. Bagaimana cara menggunakan Vault, Keywhiz, Custodia dll ...?

Key manager pilihan Anda dapat digunakan dengan Openstack jika plugin Castellan telah ditulis untuk key manager tersebut. Setelah plugin itu ditulis, relatif sepele untuk menggunakan plugin baik secara langsung maupun di belakang Barbican.

Saat ini, plugin Vault dan Custodia sedang dikembangkan untuk siklus Queens.