Enkripsi data

Pilihan ada bagi pelaksana untuk mengenkripsi data penyewa dimanapun disimpan di disk atau diangkut melalui jaringan, seperti fitur enkripsi volume OpenStack yang dijelaskan di bawah ini. Ini di atas dan di luar rekomendasi umum bahwa pengguna mengenkripsi data mereka sendiri sebelum mengirimkannya ke penyedia mereka.

Pentingnya mengenkripsi data atas nama penyewa sebagian besar terkait dengan risiko yang diasumsikan oleh penyedia bahwa penyerang dapat mengakses data penyewa. Mungkin ada persyaratan di sini di pemerintahan, serta persyaratan per-kebijakan, kontrak pribadi, atau bahkan dalam kasus hukum berkaitan dengan kontrak pribadi untuk penyedia awan publik. Dianjurkan agar penilaian risiko dan konsul hukum disarankan sebelum memilih kebijakan enkripsi penyewa.

Enkripsi per-instance atau per-object lebih disukai, dalam urutan menurun, agregat per-project, per-tenant, per-host, dan per-cloud. Rekomendasi ini bertentangan dengan kompleksitas dan kesulitan pelaksanaannya. Saat ini, dalam beberapa proyek sulit atau tidak mungkin menerapkan enkripsi seperti granulasi longgar bahkan per-tenant. Sebaiknya pelaksana melakukan upaya terbaik dalam mengenkripsi data penyewa.

Seringkali, enkripsi data berhubungan secara positif dengan kemampuan untuk menghancurkan data penyewa dan per-instance dengan mudah, cukup dengan membuang kunci. Perlu dicatat bahwa dengan berbuat demikian, menjadi sangat penting untuk menghancurkan kunci tersebut dengan cara yang andal dan aman.

Kesempatan mengenkripsi data untuk pengguna sekarang:

  • Object Storage objects

  • Network data

Enkripsi volume

Fitur enkripsi volume di OpenStack mendukung privasi secara per-penyewa. Pada rilis Kilo, fitur berikut didukung:

  • Penciptaan dan penggunaan tipe volume terenkripsi, dimulai melalui dasbor atau antarmuka command line.

    • Aktifkan enkripsi dan pilih parameter seperti algoritma enkripsi dan ukuran kunci

  • Data volume yang terkandung dalam paket iSCSI dienkripsi

  • Mendukung backup terenkripsi jika volume asli dienkripsi

  • Indikasi status enkripsi volume Dashboard. Termasuk indikasi bahwa volume dienkripsi, dan termasuk parameter enkripsi seperti algoritma dan ukuran kunci

  • Interface dengan layanan manajemen Key melalui pembungkus yang aman

    • Enkripsi volume didukung oleh penyimpanan kunci back-end untuk keamanan yang ditingkatkan (misalnya, Hardware Security Module (HSM) atau server KMIP dapat digunakan sebagai penyimpanan rahasia back-end barbican)

Enkripsi disk sesaat

Fitur enkripsi disk fana (singkat) membahas privasi data. Disk fana adalah ruang kerja sementara yang digunakan oleh sistem operasi virtual host. Tanpa enkripsi, informasi pengguna yang sensitif dapat diakses pada disk ini, dan informasi sisa bisa tetap ada setelah disk tidak terpasang. Pada rilis Kilo, fitur enkripsi disk darurat berikut didukung:

  • Penciptaan dan penggunaan disk fana LVM yang dienkripsi (catatan: Saat ini layanan OpenStack Compute hanya mendukung penyandian disk fana dalam format LVM)

    • Konfigurasi komputasi, nova.conf, memiliki parameter default berikut di bagian "[ephemeral_storage_encryption]"

      • option: 'cipher = aes-xts-plain64'

        • Bidang ini mengatur cipher dan mode yang digunakan untuk mengenkripsi penyimpanan singkat. AES-XTS direkomendasikan oleh NIST khusus untuk penyimpanan disk, dan namanya adalah singkatan untuk enkripsi AES menggunakan mode enkripsi XTS. Tersedia ciphers yang bergantung pada dukungan kernel. Pada baris perintah, ketik 'benchmark cryptsetup' untuk menentukan pilihan yang tersedia (dan lihat hasil benchmark), atau masuk ke /proc/crypto

      • option: 'enabled = false'

        • Untuk menggunakan enkripsi disk fana, setel option: 'enabled = true'

      • option: 'key_size = 512'

        • Perhatikan bahwa mungkin ada batasan ukuran kunci dari manajer kunci backend yang memerlukan penggunaan 'key_size = 256', yang hanya akan memberikan ukuran kunci AES 128-bit. XTS membutuhkan "tweak key" itu sendiri selain kunci enkripsi yang dibutuhkan AES. Hal ini biasanya dinyatakan sebagai satu kunci besar. Dalam kasus ini, dengan menggunakan pengaturan 512-bit, 256 bit akan digunakan oleh AES dan 256 bit oleh XTS. (lihat NIST)

  • Interface dengan layanan manajemen Key melalui pembungkus yang aman

    • Layanan manajemen Key akan mendukung isolasi data dengan menyediakan kunci enkripsi disk sesaat pada basis per-penyewa

    • Enkripsi disk ephemeral didukung oleh penyimpanan kunci back-end untuk keamanan yang ditingkatkan (misalnya, server HSM atau KMIP dapat digunakan sebagai penyimpanan rahasia back-end barbican)

    • Dengan layanan manajemen Key, ketika disk fana tidak lagi dibutuhkan, cukup hapus kunci yang mungkin menggantikan penimpaan area penyimpanan disk sementara

Object Storage objects

Object Storage (swift) mendukung enkripsi opsional data objek saat istirahat pada node penyimpanan. Enkripsi data objek dimaksudkan untuk mengurangi risiko data pengguna dibaca jika pihak yang tidak berwenang memperoleh akses fisik ke disk.

Enkripsi data saat istirahat diimplementasikan oleh middleware yang mungkin disertakan dalam pipeline WSGI server proxy. Fitur ini bersifat internal ke cluster cepat dan tidak terpapar melalui API. Klien tidak menyadari bahwa data dienkripsi oleh fitur ini secara internal ke layanan cepat; Data yang dienkripsi secara internal tidak boleh dikembalikan ke klien melalui API cepat.

Data berikut dienkripsi saat istirahat dengan cepat:

  • Isi objek. Misalnya, isi dari objek PUT request body

  • The entity tag (ETag) dari objek yang memiliki konten tidak nol

  • Semua nilai metadata objek pengguna khusus. Misalnya, metadata dikirim menggunakan header header X-Object-Meta- yang diawali dengan permintaan PUT atau POST

Data atau metadata yang tidak termasuk dalam daftar di atas tidak dienkripsi, termasuk:

  • Account, container, dan object names

  • Account dan container custom user metadata values

  • All custom user metadata names

  • Object Content-Type values

  • Object size

  • System metadata

Untuk informasi lebih lanjut tentang penerapan, pengoperasian, atau penerapan enkripsi Obyek Penyimpanan, lihat Dokumentasi Pengembang yang cepat pada Object Encryption.

Performa Block Storage dan backend

Saat mengaktifkan sistem operasi, kinerja OpenStack Volume Encryption dapat ditingkatkan dengan menggunakan fitur akselerasi perangkat keras yang saat ini tersedia di prosesor Intel dan AMD. Baik fitur OpenStack Volume Encryption dan fitur OpenStack Ephemeral Disk Encryption menggunakan dm-crypt untuk mengamankan data volume. dm-crypt adalah kemampuan enkripsi disk transparan di kernel Linux versi 2.6 dan yang lebih baru. Ketika Volume Encryption diaktifkan, data terenkripsi dikirim melalui iSCSI ke Block Storage, mengamankan data dalam transit dan data saat istirahat bersamaan. Saat menggunakan akselerasi perangkat keras, dampak kinerja kedua fitur enkripsi diminimalkan.

Meskipun kami merekomendasikan penggunaan fitur OpenStack Volume Encryption, Block Storage mendukung beragam alternatif back-end untuk memasok volume mountable, dan beberapa di antaranya juga menyediakan enkripsi volume. Karena ada begitu banyak back-ends, dan karena informasi dari masing-masing vendor harus diperoleh, di luar ruang lingkup panduan ini untuk menentukan rekomendasi untuk menerapkan enkripsi di dalamnya.

Network data

Data penyewa untuk komputasi bisa dienkripsi melalui IPsec atau tunnel lainnya. Ini bukan fungsi umum atau standar di OpenStack, namun merupakan pilihan yang tersedia bagi pelaksana yang termotivasi dan tertarik.

Demikian juga, data terenkripsi akan tetap dienkripsi saat ditransfer melalui jaringan.