Datenschutzbedürfnisse

Datenresidenz

Die Privatsphäre und die Isolierung von Daten wurde in den vergangenen Jahren konsequent als die primäre Barriere für die Cloud-Adoption bezeichnet. Sorgen darüber, wer Daten in der Cloud besitzt und ob der Cloud-Operator letztlich als Depotbank dieser Daten vertraut werden kann, war in der Vergangenheit bedeutsame Themen.

Zahlreiche OpenStack-Dienste pflegen Daten und Metadaten von Tenantn oder Referenzmieterinformationen.

Tenantdaten, die in einer OpenStack-Cloud gespeichert sind, können die folgenden Elemente enthalten:

  • Objekt Speicherobjekte

  • Compute Instanz ephemeren Dateisystemspeicher

  • Compute-Instanzspeicher

  • Daten von Blockspeichermedien

  • Öffentliche Schlüssel für Compute-Zugriff

  • Abbilder von virtuellen Maschinen im Abbilddienst

  • Maschinenschattenkopien

  • Daten an die Konfigurations-Laufwerk-Erweiterung von OpenStack Compute übergeben

Metadaten, die von einer OpenStack-Cloud gespeichert werden, enthalten die folgenden nicht erschöpfenden Elemente:

  • Name der Organisation

  • Benutzer „Richtiger Name“

  • Anzahl oder Größe von laufenden Instanzen, Buckets, Objekten, Datenträger und anderen kontingentbezogenen Posten

  • Anzahl der Stunden, die Instanzen ausführen oder Daten speichern

  • IP-Adressen der Benutzer

  • Intern generierte private Schlüssel für Compute Abbildbündelung

Datenentsorgung

Die OpenStack-Betreiber sollten sich bemühen, ein gewisses Maß an Tenantdaten zur Verfügung zu stellen. Best Practices deuten darauf hin, dass der Betreiber die Cloud-System-Medien (digital und nicht-digital) vor der Entsorgung, die Freisetzung von Organisationskontrolle oder Freigabe zur Wiederverwendung reinigt. Sanitisierungsmethoden sollten ein angemessenes Maß an Stärke und Integrität bei der spezifischen Sicherheitsdomäne und der Sensitivität der Informationen implementieren.

„Der Sanierungsprozess entfernt Informationen aus den Medien, so dass die Informationen nicht abgerufen oder rekonstruiert werden können. Sanitisierungstechniken, einschließlich Löschen, Reinigen, kryptografische Löschung und Zerstörung, verhindern die Offenlegung von Informationen an nicht autorisierte Personen, wenn diese Medien wiederverwendet oder zur Entsorgung freigegeben werden.“ `NIST Spezielle Publikation 800-53 Revision 4 <http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf> `__

Allgemeine Daten Entsorgung und Sanierung Richtlinien, wie von NIST empfohlenen Sicherheitskontrollen verwendet. Cloud-Betreiber sollten:

  1. Medien-Sanierungs- und Entsorgungsmaßnahmen verfolgen, dokumentieren und verifizieren.

  2. Reagenz-Ausrüstung und Verfahren zur Überprüfung der ordnungsgemäßen Leistung.

  3. Reinigung tragbarer, herausnehmbarer Speichergeräte vor dem Verbinden solcher Geräte mit der Cloud-Infrastruktur.

  4. Zerstöre Cloud-System Medien, die nicht saniert werden können.

In einer OpenStack-Bereitstellung müssen Sie Folgendes ansprechen:

  • Sichere Datenlöschung

  • Instanz-Speicher-Scrubbing

  • Daten von Blockspeichermedien

  • Compute Instanz kurzlebiger Speicher

  • Bare metal server sanitization

Daten nicht sicher gelöscht

Innerhalb von OpenStack können einige Daten gelöscht, aber nicht sicher im Zusammenhang mit den oben beschriebenen NIST-Standards gelöscht werden. Dies gilt allgemein für die meisten oder alle oben definierten Metadaten und Informationen, die in der Datenbank gespeichert sind. Dies kann mit Datenbank- und/oder Systemkonfiguration für automatisches Vakumierung und periodisches free-space Wiping behoben werden.

Instanz-Speicher-Scrubbing

Speziell für verschiedene Hypervisor ist die Behandlung von Instanz Speicher. Dieses Verhalten ist in OpenStack Compute nicht definiert, obwohl es in der Regel von Hypervisoren erwartet wird, dass sie eine beste Anstrengung machen, um Speicher zu löschen, entweder beim Löschen einer Instanz, bei der Erstellung einer Instanz oder beides.

Xen weist explizit dedizierte Speicherbereiche auf Instanzen und scrubs Daten bei der Zerstörung von Instanzen (oder Domänen in Xen Parlance). KVM hängt stärker von der Linux-Seitenverwaltung ab. Ein komplexes Regelwerk für KVM-Paging ist in der KVM-Dokumentation definiert <http://www.linux-kvm.org/page/Memory>`__.

Es ist wichtig zu beachten, dass die Verwendung der Xen-Speicher-Ballon-Funktion wahrscheinlich zu Offenlegung von Informationen führen wird. Wir empfehlen dringend, diese Funktion zu vermeiden.

Für diese und andere Hypervisoren empfehlen wir, auf hypervisor-spezifische Dokumentation zu verweisen.

Cinder Volumen Daten

Die Verwendung der OpenStack-Volume-Verschlüsselungsfunktion ist sehr fortschrittlich. Dies wird im Abschnitt Datenverschlüsselung unter Volume Encryption beschrieben. Wenn diese Funktion verwendet wird, wird die Zerstörung von Daten durch sicheres Löschen des Verschlüsselungsschlüssels erreicht. Der Endbenutzer kann diese Funktion beim Erstellen eines Datenträgers auswählen, aber beachten Sie, dass ein Administrator eine einmalige Einrichtung der Volume-Verschlüsselungsfunktion zuerst durchführen muss. Anleitungen für dieses Setup befinden sich im Blockspeicherabschnitt der Configuration Reference, unter Volumenverschlüsselung.

Wenn die OpenStack-Volume-Verschlüsselungsfunktion nicht verwendet wird, dann sind andere Ansätze im Allgemeinen schwieriger zu aktivieren. Wenn ein Back-End-Plug-In verwendet wird, kann es unabhängige Möglichkeiten geben, Verschlüsselungs- oder Nicht-Standard-Überschreiblösungen durchzuführen. Plug-Ins zu OpenStack Block Storage speichert Daten auf vielfältige Weise. Viele Plug-Ins sind spezifisch für einen Anbieter oder eine Technologie, während andere mehr DIY-Lösungen rund um Dateisysteme wie LVM oder ZFS sind. Methoden, um Daten sicher zu zerstören, variieren von einem Plug-In zum anderen, von der Lösung eines Lieferanten zu einem anderen und von einem Dateisystem zum anderen.

Einige Back-Ends wie zFS unterstützen Kopie-zu-Schreiben, um Datenexposition zu verhindern. In diesen Fällen liest man aus ungeschriebenen Blöcken immer Null. Andere Backends wie LVM können dies nicht nativ unterstützen, so dass das Block Storage Plug-in die Verantwortung übernimmt, zuvor geschriebene Blöcke zu überschreiben, bevor sie an Benutzer weitergegeben werden. Es ist wichtig zu überprüfen, welche Zusicherungen Ihr ausgewähltes Volumen-Back-End bietet und um zu sehen, welche Vermittlungen für die nicht vorgesehenen Zusicherungen verfügbar sein können.

Funktion Abbilddienst verzögertes Löschen

Der OpenStack Abbilddienst verfügt über eine verzögerte Löschfunktion, die das Löschen eines Abbildes für einen definierten Zeitraum beendet. Es empfiehlt sich, diese Funktion zu deaktivieren, wenn es sich um eine Sicherheitsbedeutung handelt, indem Sie die ``etc/glance/glance- api.conf``Datei bearbeiten und die Option ``delayed_delete``als False einstellen.

Funktion Compute Soft-Delete

OpenStack Compute verfügt über eine Soft-Delete-Funktion, die eine Instanz ermöglicht, die für einen definierten Zeitraum in einem Soft-Delete-Zustand gelöscht wird. Die Instanz kann während dieses Zeitraums wiederhergestellt werden. Um die Soft-Delete-Funktion zu deaktivieren, bearbeiten Sie die `` etc/nova/nova.conf``Datei und lassen die reclaim_instance_interval

Compute Instanz kurzlebiger Speicher

Beachten Sie, dass die OpenStack `Ephemeral Disk Verschlüsselung <https://docs.openstack.org/security-guide/tenant-data/data-encryption.html> `__ Feature bietet ein Mittel zur Verbesserung der kurzlebigen Speicher Privatsphäre und Isolation, sowohl bei der aktiven Nutzung als auch wenn die Daten zu zerstören sind. Wie im Fall des verschlüsselten Blockspeichers kann man einfach den Verschlüsselungsschlüssel löschen, um die Daten effektiv zu zerstören.

Alternative Maßnahmen zur Bereitstellung von Datenschutz, bei der Erstellung und Zerstörung von kurzlebigen Speicherung, werden von dem gewählten Hypervisor und dem OpenStack Compute Plug-In etwas abhängig sein.

Das libvirt-Plug-in für compute kann eine kurzlebige Speicherung direkt auf einem Dateisystem oder in LVM aufrechterhalten. Dateispeicherspeicherung wird im Allgemeinen keine Daten überschreiben, wenn es entfernt wird, obwohl es eine Garantie gibt, dass verschmutzte Extents nicht für Benutzer bereitgestellt werden.

Bei der Verwendung von LVM-unterstützten, kurzlebigen Speicher, der blockbasiert ist, ist es notwendig, dass die OpenStack Compute Software die Blöcke sicher löscht, um die Offenlegung von Informationen zu verhindern. Es gab in der Vergangenheit Informationen Offenlegung Schwachstellen im Zusammenhang mit unsachgemäß gelöschten Ephemer-Block-Speichergeräte.

Filesystem Storage ist eine sicherere Lösung für kurzlebige Blockspeichergeräte als LVM, da verschmutzte Extents nicht für Benutzer bereitgestellt werden können. Allerdings ist es wichtig zu beachten, dass Benutzerdaten nicht zerstört werden, so dass es vorgeschlagen wird, das Backing-Dateisystem zu verschlüsseln.

Bare metal server sanitization

Ein Bare-Metal-Server-Treiber für Compute war in der Entwicklung und hat sich seitdem in ein separates Projekt namens ironic verschoben <https://wiki.openstack.org/wiki/Ironic>`__. Zum Zeitpunkt dieses Schreibens scheint Ironie nicht die Sanierung von Tenantdaten, die die physikalische Hardware resident sind, zu adressieren.

Zusätzlich ist es Mandanten auf Bare-Metal-Systemen möglich die Firmware zu ändern. TPM Technology, wie beschrieben unter Sicheres Bootstrapping bietet eine Lösung zum Erkennen nicht autorisierter Firmwareänderungen.