Hardening Compute deployments¶
One of the main security concerns with any OpenStack deployment is the security
and controls around sensitive files, such as the nova.conf
file.
Normally contained in the /etc
directory, this configuration file
contains many sensitive options including configuration details and service
passwords. All such sensitive files should be given strict file level
permissions, and monitored for changes through file integrity monitoring (FIM)
tools such as iNotify or Samhain. These utilities will take a hash of the
target file in a known good state, and then periodically take a new hash of the
file and compare it to the known good hash. An alert can be created if it was
found to have been modified unexpectedly.
Die Berechtigungen einer Datei können untersucht werden, wenn sie in das Verzeichnis verschoben wird, in der die Datei enthalten ist und man ls -lh ausführt. Dies zeigt die Berechtigungen, Besitzer und Gruppen, die Zugriff auf die Datei haben, sowie andere Informationen wie das letzte Mal, wenn die Datei geändert wurde und wann sie erstellt wurde.
Das /var/lib/nova
-Verzeichnis wird verwendet, um Details über die
Instanzen auf einem gegebenen Compute-Host zu halten. Dieses Verzeichnis
sollte auch als sensibel betrachtet werden, mit streng erzwungenen
Dateiberechtigungen. Darüber hinaus sollte es regelmäßig gesichert werden,
da es Informationen und Metadaten für die Instanzen enthält, die mit diesem
Host verbunden sind.
Wenn Ihre Bereitstellung keine vollständigen Sicherungen für virtuelle
Maschinen erfordert, empfehlen wir, das /var/lib/nova/
instances
-Verzeichnis auszuschließen, da es so groß ist wie der
kombinierte Speicherplatz für jede VM, die auf diesem Knoten läuft. Wenn
Ihre Bereitstellung vollständige VM-Sicherungen erfordert, müssen Sie
sicherstellen, dass dieses Verzeichnis erfolgreich gesichert wird.
Monitoring ist ein wichtiger Bestandteil der IT-Infrastruktur, wir empfehlen die Compute Log-Dateien zu überwachen und zu analysieren, so dass sinnvolle Alarme erstellt werden können.
OpenStack Vulnerability Management Team¶
Wir empfehlen Ihnen, sich über Sicherheitsfragen und Advisorien zu informieren, sobald sie veröffentlicht werden. Das OpenStack Security Portal <https://security.openstack.org>`_ ist das zentrale Portal, in dem Advisories, Notizen, Meetings und Prozesse koordiniert werden können. Darüber hinaus koordiniert das OpenStack Vulnerability Management Team (VMT) Portal <https://security.openstack.org/#openstack-vulnerability-management-team>`_ die Sanierung innerhalb von OpenStack sowie den Prozess der Untersuchung von gemeldeten Bugs, die verantwortungsvoll (privat) an die VMT offenbart werden, indem sie den Bug als ‚This bug is a security vulnerability‘ markiert. Weitere Details werden in der VMT-Prozessseite beschrieben und führt zu einem OpenStack Security Advisory (OSSA). Diese OSSA skizziert das Problem und das Update, sowie die Verknüpfung sowohl mit dem ursprünglichen Fehler als auch mit dem Ort, an dem der Patch gehostet wird.
OpenStack Sicherheitshinweise¶
Berichtete Sicherheitsfehler, die das Ergebnis einer Fehlkonfiguration sind oder nicht strikt Teil von OpenStack sind, werden in OpenStack Security Notes (OSSNs) verfasst. Dazu gehören Konfigurationsprobleme wie die Gewährleistung von Identity Provider-Zuordnungen sowie Nicht-OpenStack, aber kritische Probleme wie die Bashbug/Ghost- oder Venom-Schwachstellen, die die Plattform beeinflussen, die OpenStack nutzt. Der aktuelle Satz von OSSNs befindet sich im Security Note Wiki.
OpenStack-dev Mailingliste¶
Alle Bugs, OSSAs und OSSNs werden öffentlich über die openstack-discuss Mailingliste mit dem Thema [security] in der Betreffzeile verbreitet. Wir empfehlen Ihnen, diese Liste sowie Mail-Filter-Regeln zu verwenden, damit Sie die OSSNs, OSSAs und andere wichtige Hinweise nicht verpassen. Die openstack-discuss Mailingliste wird über die OpenStack Entwickler Mailingliste. Die openstack-discuss-Liste verwendet Tags wie im Project Team Guide beschrieben.
Hypervisor Mailinglisten¶
Bei der Implementierung von OpenStack ist eine der Kernentscheidungen welcher Hypervisor genutzt wird. Wir empfehlen Ihnen, sich über die von Ihnen gewählten Hypervisoren zu informieren. Mehrere gemeinsame Hypervisor Sicherheitslisten sind unten:
- Xen:
- VMWare:
- Andere (KVM und mehr):