Authentifizierung

Authentifizierung ist ein integraler Bestandteil jeder realen Welt OpenStack-Bereitstellung und so sorgfältiger Gedanke sollte diesem Aspekt des Systemdesigns gegeben werden. Eine vollständige Behandlung dieses Themas geht über den Rahmen dieses Leitfadens hinaus, aber einige Schlüsselthemen werden in den folgenden Abschnitten dargestellt.

Grundsätzlich gilt, Authentifizierung ist der Prozess der Bestätigung der Identität - dass ein Benutzer tatsächlich ist, wer er behaupten zu sein. Ein bekanntes Beispiel ist die Bereitstellung eines Benutzernamens und Passwortes bei der Anmeldung in einem System.

Der OpenStack Identity Service (Keystone) unterstützt mehrere Authentifizierungsmethoden, einschließlich Benutzername & Passwort, LDAP und externe Authentifizierungsmethoden. Nach erfolgreicher Authentifizierung bietet der Identity-Dienst dem Benutzer ein Berechtigungs-Token, das für nachfolgende Service-Anfragen verwendet wird.

Transport Layer Security (TLS) bietet die Authentifizierung zwischen Diensten und Personen mit X.509 Zertifikaten. Obwohl der Standardmodus für TLS eine serverseitige Authentifizierung ist, können auch Zertifikate für die Clientauthentifizierung verwendet werden.

Ungültige Login-Versuche

As of the Newton release, the Identity service can limit access to accounts after repeated unsuccessful login attempts. A pattern of repetitive failed login attempts is generally an indicator of brute-force attacks (refer to Angriffstypen). This type of attack is more prevalent in public cloud deployments.

For older deployments needing this functionality, prevention is possible by using an external authentication system that locks out an account after some configured number of failed login attempts. The account then may only be unlocked with further side-channel intervention.

Wenn Prävention keine Option ist, kann die Erkennung zur Schadensbegrenzung verwendet werden. Die Erkennung beinhaltet eine häufige Überprüfung der Zugriffssteuerungsprotokolle, um nicht autorisierte Versuche zu identifizieren, auf Konten zuzugreifen. Mögliche Sanierung würde die Überprüfung der Stärke des Benutzerpassworts oder die Blockierung der Netzwerkquelle des Angriffs durch Firewall-Regeln beinhalten. Firewall-Regeln auf dem Keystone-Server, die die Anzahl der Verbindungen einschränken, könnten verwendet werden, um die Angriffseffektivität zu reduzieren und somit den Angreifer abzubringen.

Darüber hinaus ist es sinnvoll, die Kontoaktivität für ungewöhnliche Anmeldezeiten und verdächtige Aktionen zu prüfen und Korrekturmaßnahmen wie das Deaktivieren des Kontos zu ergreifen. Oftmals wird dieser Ansatz von Kreditkartenanbietern für Betrugserkennung und Alarmierung genommen.

Multi-Faktor-Authentifizierung

Verwenden Sie die Multi-Faktor-Authentifizierung für den Netzwerkzugriff auf privilegierte Benutzerkonten. Der Identity Service unterstützt externe Authentifizierungsdienste über den Apache Webserver, der diese Funktionalität bereitstellen kann. Server können auch die clientseitige Authentifizierung mit Zertifikaten durchsetzen.

Diese Empfehlung bietet Isolierung von Brute Force, Social Engineering, und sowohl Speer- und Massen-Phishing-Angriffe, die Administrator-Passwörter kompromittieren können.