Datenverschlüsselung

Die Option existiert für Implementierer, um Tenantdaten zu verschlüsseln, wo immer sie auf einer Festplatte gespeichert oder über ein Netzwerk transportiert werden, wie z. B. die unten beschriebene OpenStack-Volume-Verschlüsselungsfunktion. Dies ist über die allgemeine Empfehlung hinaus, dass die Benutzer ihre eigenen Daten verschlüsseln, bevor sie sie an ihren Provider senden.

Die Bedeutung der Verschlüsselung von Daten im Auftrag der Tenant ist weitgehend mit dem Risiko verbunden, das von einem Anbieter angenommen wurde, dass ein Angreifer auf Tenantdaten zugreifen könnte. Es können hier Anforderungen in der Regierung, sowie Anforderungen pro-Politik, im privaten Vertrag oder sogar im Fall von Recht in Bezug auf private Verträge für öffentliche Cloud-Anbieter. Es wird empfohlen, dass eine Risikobewertung und ein Rechtsberater vor der Auswahl der Tenantverschlüsselungsrichtlinien empfohlen wurden.

Per-Instanz- oder Per-Objekt-Verschlüsselung ist über, in absteigender Reihenfolge, pro Projekt, per-tenant, per-host und per-Cloud-Aggregationen. Diese Empfehlung ist umgekehrt auf die Komplexität und Schwierigkeit der Umsetzung. Gegenwärtig ist es bei einigen Projekten schwierig oder unmöglich, die Verschlüsselung so granular wie sogar per-tenant zu implementieren. Wir empfehlen, dass die Implementierer bei der Verschlüsselung von Tenantdaten Bestmöglichstes tun.

Häufig bezieht sich die Datenverschlüsselung positiv auf die Fähigkeit, Tenant und Instanzdaten zuverlässig zu zerstören, indem man einfach die Schlüssel wegwirft. Es ist anzumerken, dass es dabei von großer Wichtigkeit ist, diese Schlüssel zuverlässig und sicher zu zerstören.

Möglichkeiten zur Verschlüsselung von Daten für Benutzer sind vorhanden:

  • Objekt Speicherobjekte

  • Netzwerkdaten

Volumenverschlüsselung

Eine Volume-Verschlüsselungsfunktion in OpenStack unterstützt die Privatsphäre auf der Basis von Mandanten. Seit der Kilo-Version werden folgende Features unterstützt:

  • Erstellung und Verwendung von verschlüsselten Datenträgern, die über das Dashboard oder eine Befehlszeilenschnittstelle initiiert werden

    • Verschlüsselung aktivieren und Parameter wie Verschlüsselungsalgorithmus und Schlüsselgröße auswählen

  • Die in iSCSI-Paketen enthaltenen Datenträgerdaten werden verschlüsselt

  • Unterstützt verschlüsselte Backups, wenn das ursprüngliche Volume verschlüsselt ist

  • Dashboard-Anzeige des Volume-Verschlüsselungsstatus. Enthält die Angabe, dass ein Volume verschlüsselt ist und die Verschlüsselungsparameter wie Algorithmus und Schlüsselgröße enthält

  • Schnittstelle mit dem Key Management Service über einen sicheren Wrapper

    • Die Volume-Verschlüsselung wird von Back-End-Schlüsselspeichern für eine verbesserte Sicherheit unterstützt (z.B. ein Hardware Security Module (HSM) oder ein KMIP-Server kann als barbican Back-End-Geheimladen verwendet werden)

Ephemeral Festplattenverschlüsselung

Eine kurzlebige Festplattenverschlüsselungsfunktion adressiert den Datenschutz. Die kurzlebige Festplatte ist ein temporärer Arbeitsbereich, der vom virtuellen Host-Betriebssystem verwendet wird. Ohne Verschlüsselung können sensible Benutzerinformationen auf dieser Festplatte abgerufen werden, und es können rastische Informationen verbleiben, nachdem die Festplatte nicht bereitgestellt wurde. Seit der Kilo-Version werden die folgenden ephemeren Festplattenverschlüsselungsfunktionen unterstützt:

  • Erstellung und Nutzung von verschlüsselten LVM-Ephemer-Festplatten (Hinweis: Zu diesem Zeitpunkt unterstützt der OpenStack Compute-Service nur die Verschlüsselung von kurzlebigen Datenträgern im LVM-Format)

    • Die Compute-Konfiguration, nova.conf, hat die folgenden Standardparameter im Abschnitt „[ephemeral_storage_encryption]“

      • option: ‚cipher = aes-xts-plain64‘

        • Dieses Feld setzt die Cipher und den Modus, um die kurzlebige Speicherung zu verschlüsseln. AES-XTS wird von NIST speziell für den Festplattenspeicher empfohlen und der Name ist eine Kurzschrift für die AES-Verschlüsselung mit dem XTS-Verschlüsselungsmodus. Verfügbare Ziffern hängen von Kernel-Unterstützung ab. Geben Sie an der Kommandozeile ‚cyrptsetup benchmark‘ ein, um die verfügbaren Optionen zu ermitteln (und die Benchmark-Ergebnisse zu sehen) oder gehen Sie zu */proc/crypto *

      • option: ‚enabled = false‘

        • Um die ephemeren Datenträgerverschlüsselung zu verwenden, setzen Sie pption: ‚enabled = true‘

      • option: ‚key_size = 512‘

        • Beachten Sie, dass es eine Schlüsselgrößenbeschränkung vom Backend Key Manager gibt, die die Verwendung von ‚key_size = 256‘ erfordern könnte, die nur eine AES-Schlüsselgröße von 128 Bits liefern würde. XTS erfordert seinen eigenen „Tweak Key“ zusätzlich zu den Verschlüsselungsschlüssel AES erfordert. Dies wird typischerweise als ein einzelner Schlüssel ausgedrückt. In diesem Fall werden unter Verwendung der 512-Bit-Einstellung 256 Bits von AES und 256 Bits von XTS verwendet. (siehe NIST)

  • Schnittstelle mit dem Key Management Service über einen sicheren Wrapper

    • Key-Management-Service wird die Daten-Isolation durch die Bereitstellung von kurzlebigen Festplatten-Verschlüsselung Schlüssel auf einer Tenant-Basis zu unterstützen

    • Die ephemeren Festplattenverschlüsselung wird unterstützt durch Back-End-Schlüsselspeicher für verbesserte Sicherheit (z. B. ein HSM oder ein KMIP-Server kann als barbican back-end secret store verwendet werden)

    • Mit dem Key Management Service, wenn eine kurzlebige Festplatte nicht mehr benötigt wird, kann das Löschen des Schlüssels an die Stelle des Überschreibens des kurzlebigen Plattenspeicherbereichs treten

Objekt Speicherobjekte

Object Storage (swift) unterstützt die optionale Verschlüsselung von Objektdaten in Ruhe auf Speicherknoten. Die Verschlüsselung von Objektdaten soll das Risiko verringern, dass Benutzerdaten gelesen werden, wenn eine nicht autorisierte Partei physischen Zugriff auf eine Festplatte erhalten würde.

Die Verschlüsselung von Daten in Ruhe erfolgt durch Middleware, die in der Proxy-Server-WSGI-Pipeline enthalten sein kann. Das Feature ist intern in einem schnellen Cluster und nicht durch die API ausgesetzt. Die Kunden sind sich nicht bewusst, dass die Daten von dieser Funktion intern an den schnellen Service verschlüsselt werden. intern verschlüsselte Daten sollten niemals über die schnelle API an Clients zurückgegeben werden.

Die folgenden Daten werden verschlüsselt, während sie in Ruhe sind:

  • Objektinhalt Zum Beispiel der Inhalt eines Objekts PUT Anforderung der Körper

  • Das Entity-Tag (ETag) von Objekten, die keinen Inhalt haben

  • Alle benutzerdefinierten Benutzerobjekt-Metadatenwerte. Zum Beispiel werden Metadaten, die mit ``X-Object-Meta-``vorangestellten Headern mit PUT- oder

Alle Daten oder Metadaten, die nicht in der obigen Liste enthalten sind, sind nicht verschlüsselt, einschließlich:

  • Konto-, Container- und Objektnamen

  • Konto- und Container-benutzerdefinierte Benutzer-Metadatenwerte

  • Alle benutzerdefinierten Benutzer Metadaten Namen

  • Objekt Inhalt-Typ Werte

  • Objektgröße

  • Systemmetadaten

Weitere Informationen über die Bereitstellung, den Betrieb oder die Implementierung der Objektspeicher-Verschlüsselung finden Sie in der ausführlichen Entwicklerdokumentation zu Objektverschlüsselung.

Blockspeicherleistung und Backends

When enabling the operating system, OpenStack Volume Encryption performance can be enhanced by using the hardware acceleration features currently available in both Intel and AMD processors. Both the OpenStack Volume Encryption feature and the OpenStack Ephemeral Disk Encryption feature use dm-crypt to secure volume data. dm-crypt is a transparent disk encryption capability in Linux kernel versions 2.6 and later. When the Volume Encryption is enabled, encrypted data is sent over iSCSI to Block Storage, securing data in transit and data at rest simultaneously. When using hardware acceleration, the performance impact of both of the encryption features is minimized.

Obwohl wir die OpenStack Volume Encryption-Funktion verwenden, unterstützt Block Storage eine Vielzahl von alternativen Backends für die Bereitstellung

Netzwerkdaten

Tenantdaten für Compute können über IPsec oder andere Tunnel verschlüsselt werden. Dies ist keine Funktionalität oder Standard in OpenStack, sondern ist eine Option für motivierte und interessierte Enduktoren.

Ebenso bleiben verschlüsselte Daten verschlüsselt, während sie über das Netzwerk übertragen werden.