Anforderungen an die Systemdokumentation¶
Systemrollen und Typen¶
Die beiden weitgehend definierten Typen von Knoten, die in der Regel eine OpenStack-Installation bilden, sind:
- Infrastrukturknoten
Die Knoten, die die Cloud-bezogenen Dienste wie den OpenStack Identity-Dienst, den Nachrichtenwarteschlangendienst, Speicher, Netzwerk und andere Dienste ausführen, die erforderlich sind, um den Betrieb der Cloud zu unterstützen.
- Compute, storage, oder andere Ressourcenknoten
Geben Sie Speicherkapazität oder virtuelle Maschinen für Ihre Cloud.
System inventory¶
Die Dokumentation sollte eine allgemeine Beschreibung der OpenStack-Umgebung geben und alle verwendeten Systeme (Produktion, Entwicklung, Test usw.) abdecken. Die Dokumentation von Systemkomponenten, Netzwerken, Diensten und Software bietet oft die Vogelperspektive, die erforderlich ist, um Sicherheitsbedenken, Angriffsvektoren und mögliche Sicherheitsüberbrückungspunkte sorgfältig abzudecken und zu berücksichtigen. Ein Systeminventory muss möglicherweise ephemeren Ressourcen wie virtuelle Maschinen oder virtuelle Datenträgerabbiler erfassen, die ansonsten persistente Ressourcen in einem herkömmlichen IT-System sein würden.
Hardware Inventory¶
Clouds ohne strenge Compliance-Anforderungen für die schriftliche Dokumentation können von einer Configuration Management Database (CMDB) profitieren. CMDBs werden normalerweise für die Hardware-Asset-Tracking und das gesamte Life-Cycle-Management verwendet. Durch die Nutzung einer CMDB kann eine Organisation schnell Cloud-Infrastruktur-Hardware wie Compute-Knoten, Speicherknoten oder Netzwerkgeräte identifizieren. Ein CMDB kann bei der Identifizierung von Vermögenswerten, die im Netzwerk vorhanden sind, helfen, die aufgrund unzureichender Wartung, unzureichendem Schutz oder Verschiebung und Vergessen von Schwachstellen auftreten können. Ein OpenStack-Provisioning-System kann einige grundlegende CMDB-Funktionen bereitstellen, wenn die zugrunde liegende Hardware die notwendigen Auto-Discovery-Funktionen unterstützt.
Software Inventory¶
Wie bei der Hardware sollten alle Softwarekomponenten innerhalb der OpenStack-Implementierung dokumentiert werden. Beispiele beinhalten:
Systemdatenbanken wie MySQL oder mongoDB
OpenStack Softwarekomponenten wie Identity oder Compute
Unterstützungskomponenten wie Load-Balancer, Reverse Proxies, DNS oder DHCP Services
Eine maßgebliche Liste von Softwarekomponenten kann bei der Bewertung der Auswirkungen eines Kompromisses oder einer Anfälligkeit in einer Bibliothek, Anwendung oder Klasse von Software kritisch sein.
Netzwerktopologie¶
Eine Netzwerktopologie sollte mit Highlights versehen werden, die ausdrücklich die Datenströme und Brückenpunkte zwischen den Sicherheitsdomänen aufruft. Netzwerk-Eingangs- und Ausgangspunkte sollten mit allen offenen logischen Systemgrenzen identifiziert werden. Es können mehrere Diagramme benötigt werden, um eine vollständige visuelle Abdeckung des Systems zu gewährleisten. Ein Netzwerk-Topologie-Dokument sollte virtuelle Netzwerke enthalten, die im Auftrag von Tenants durch das System zusammen mit virtuellen Maschineninstanzen und Gateways erstellt wurden, die von OpenStack erstellt wurden.
Dienste, Protokolle und Ports¶
Informationen über organisatorische Vermögenswerte zu kennen ist normalerweise eine beste Praxis. Eine Assettentabelle kann bei der Validierung von Sicherheitsanforderungen helfen und zur Aufrechterhaltung standardmäßiger Sicherheitskomponenten wie Firewallkonfiguration, Serviceportkonflikte, Sicherheitsmaßnahmen und Compliance beitragen. Darüber hinaus kann die Tabelle helfen, die Beziehung zwischen OpenStack-Komponenten zu verstehen. Die Tabelle könnte Folgendes enthalten:
Dienste, Protokolle und Ports, die in der OpenStack Installation benutzt werden.
Eine Übersicht aller Dienste, die in der Cloud-Infrastruktur laufen.
Es wird dringend empfohlen, dass OpenStack-Bereitstellungen über ähnliche Informationen verfügen. Die Tabelle kann aus Informationen erstellt werden, die von einer CMDB abgeleitet sind, oder kann manuell erstellt werden.
In Folgenden finden Sie ein Beispieltabelle:
Bedienung |
Protokolle |
Ports |
Zweck |
Benutzt von |
Sicherheitsdomänen |
|---|---|---|---|---|---|
beam.smp |
AMQP |
5672/tcp |
AMQP-Nachrichtendienst |
RabbitMQ |
MGMT |
tgtd |
iSCSI |
3260/tcp |
iSCSI-Initiatordienst |
iSCSI |
PRIVATE (Datennetzwerk) |
sshd |
ssh |
22/tcp |
Ermöglicht eine sichere Anmeldung an Knoten und Gast-VMs |
Verschiedene |
MGMT, GUEST und PUBLIC wie konfiguriert |
mysqld |
mysql |
3306/tcp |
MySQL-Datenbankdienst |
Verschiedene |
MGMT |
apache2 |
http |
443/tcp |
Dashboard |
Tenants |
PUBLIC |
dnsmasq |
dns |
53/tcp |
DNS-Dienste |
Gast-VMs |
GUEST |
