Anwendungsfälle¶
Abbildsignaturprüfung¶
Die Überprüfung von Abbild-Signaturen stellt sicher, dass ein Abbild seit dem Zeitpunkt des ursprünglichen Uploads nicht ersetzt oder geändert wird. Die Abbildsignaturüberprüfungsfunktion verwendet Castellan als Schlüsselmanager zum Speichern kryptografischer Signaturen. Eine Abbildsignatur und eine Zertifikat-UUID werden zusammen mit dem Abbild in den Image-Dienst (glance) hochgeladen. Glance überprüft die Signatur nach dem Abrufen des Zertifikats vom Schlüsselmanager. Beim Starten des Abbildes überprüft der Compute-Dienst (nova) die Signatur, nachdem das Zertifikat vom Schlüsselmanager abgerufen wurde.
Für mehr Details, schauen Sie die Trusted Images documentation.
Volumenverschlüsselung¶
Die Volume-Verschlüsselungsfunktion ermöglicht die Verschlüsselung von Daten in Ruhe mithilfe von Castellan. Wenn ein Benutzer einen verschlüsselten Datenträgertyp erstellt und ein Datenträger mit diesem Datentyp erstellt, fordert der Dienst Block Storage (cinder) den Schlüsselverwalter auf, einen Schlüssel zu erstellen, der diesem Datenträger zugeordnet werden soll. Wenn der Datenträger an eine Instanz angehängt ist, ruft nova den Schlüssel ab.
Für mehr Details, schauen Sie die Data Encryption section. and Volume encryption.
Ephemeral Festplattenverschlüsselung¶
Die Funktion zur flüchtigen Festplattenverschlüsselung berücksichtigt den Datenschutz. Bei der ephemeren Festplatte handelt es sich um einen temporären Arbeitsbereich, der vom Betriebssystem des virtuellen Hosts verwendet wird. Ohne Verschlüsselung kann auf diese Festplatte auf vertrauliche Benutzerinformationen zugegriffen werden, und Restdaten können nach dem Abhängen der Festplatte verbleiben.
Die Funktion zur flüchtigen Festplattenverschlüsselung kann über einen sicheren Wrapper mit einem Schlüsselverwaltungsdienst verbunden werden und die Datenisolierung durch die Bereitstellung ephemerer Festplattenverschlüsselungsschlüssel auf Mandantenbasis unterstützen. Der Back-End-Schlüsselspeicher wird für erhöhte Sicherheit empfohlen (ein HSM- oder KMIP-Server kann beispielsweise als Backbone-Geheimspeicher verwendet werden).
Für mehr Details, schauen Sie die Ephemeral disk encryption documentation.
Sahara¶
Sahara erzeugt und speichert während des Betriebs mehrere Passwörter. Um die Verwendung von Passwörtern durch sahara auszuschließen, kann ein externer Schlüsselmanager für das Speichern und Abrufen dieser Geheimnisse verwendet werden. Um diese Funktion zu aktivieren, muss zunächst ein OpenStack Key Manager-Dienst im Stack bereitgestellt werden.
Mit einem Schlüssel-Manager-Dienst, der auf dem Stack bereitgestellt wird, muss Sahara so konfiguriert werden, dass er die externe Speicherung von Geheimnissen ermöglicht. Sahara verwendet die Castellan-Bibliothek, um sich mit dem OpenStack Schlüssel-Manager-Dienst zu verbinden. Diese Bibliothek bietet konfigurierbaren Zugriff auf einen Schlüssel-Manager.
Für mehr Information, schauen Sie Sahara advanced configuration guide.
Magnum¶
Um Zugriff auf einen Docker Swarm oder Kubernetes zur Verfügung zu stellen, benutzen Sie native Clients (docker oder kubectl). Magnum benutzt TLS Zertifikate. Zur Speicherung der Zertifikate wird Barbican empfohlen, oder die Magnum Datenbank (x590keypair).
Es kann auch ein lokales Verzeichnis benutzt werden (local), aber das ist für Produktionseinsätze nicht zweckdienlich.
Für mehr Details zu den Einstellungen des Zertifikatsmanagers in Magnum, schauen Sie doe Container Infrastructure Management service Dokumentation.
Octavia/LBaaS¶
Die Funktion LBaaS (Load-Balancer-as-a-Service) in Neutron und das Octavia Projekt brauchen Zertifikate und privaten Schlüssel, um Lastverteilung für TLS Verbindungen zur Verfügung zu stellen. Barbican kann zum Speichern der sensitiven Daten benutzt werden.
Für mehr Details, schauen Sie How to create a TLS Loadbalancer und Deploy a TLS-terminated HTTPS load balancer.
Swift¶
Symetrische Schlüssel können zur Verschlüsselung von Swift Containern benutzt werden, um das Risiko zu minimieren, dass Benutzer unauthorisiert Teile lesen können, wenn sie physikalischen Zugriff auf die Festplatte bekommen.
Für mehr Details, schauen Sie Object Encryption in der offiziellen Swift Dokumentation.
Passwörter in Konfigurationsdateien¶
DIe Konfigurationsdateien von OpenStack beinhalten eine Nummer von Passwörtern in Klartext. Dies beinhaltet zum Beispiel Passwörter von Dienstekonten zur Authentifizierung bei Keystone zur Validierung von Keystone Token.
Es gibt keine aktuelle Lösung, um diese Passwörter zu verschleiern. Es wird empfohlen, dass diese Dateien durch Dateiberechtigungen ordnungsgemäß gesichert werden.
Es gibt derzeit eine Anstrengung, diese Geheimnisse in einem Castellan-Back-End zu speichern, und dann kann oslo.config Castellan verwendet, um diese Geheimnisse abzurufen.
