Aktivitas Kepatuhan¶
Ada sejumlah kegiatan standar yang akan sangat membantu proses kepatuhan. Bab ini menguraikan beberapa aktivitas kepatuhan yang paling umum. Ini tidak spesifik untuk OpenStack, namun referensi diberikan ke bagian yang relevan dalam buku ini sebagai konteks yang berguna.
Information Security Management System (ISMS)¶
An Information Security Management System (ISMS) adalah seperangkat kebijakan dan proses yang komprehensif yang diciptakan dan dikelola oleh sebuah organisasi untuk mengelola risiko terhadap aset informasi. ISMS yang paling umum untuk pengerahan awan adalah ISO/IEC 27001/2, yang menciptakan fondasi yang kuat dari kontrol keamanan dan praktik untuk mencapai sertifikasi kepatuhan yang lebih ketat. Standar ini diperbarui pada tahun 2013 untuk mencerminkan meningkatnya penggunaan layanan awan dan tempat-tempat yang lebih menekankan pada pengukuran dan evaluasi seberapa baik kinerja ISMS organisasi.
Penilaian Risiko¶
Kerangka penilaian risiko mengidentifikasi risiko di dalam organisasi atau layanan, dan menentukan kepemilikan risiko ini, bersamaan dengan strategi implementasi dan mitigasi. Risiko berlaku untuk semua area layanan, mulai dari kontrol teknis hingga skenario bencana lingkungan dan elemen manusia. Misalnya orang jahat. Resiko dapat dinilai dengan menggunakan berbagai mekanisme. Misalnya, likelihood versus impact. Penilaian risiko pengerahan OpenStack dapat mencakup kesenjangan kontrol.
Akses dan tinjauan log¶
Akses berkala dan tinjauan log diperlukan untuk memastikan otentikasi, otorisasi, dan akuntabilitas dalam penyebaran layanan. Petunjuk khusus untuk OpenStack mengenai topik ini dibahas secara mendalam di Pemantauan dan logging.
Layanan OpenStack Identity mendukung pemberitahuan Cloud Auditing Data Federation (CADF), memberikan data audit untuk mematuhi proses keamanan, operasional, dan bisnis. Untuk informasi lebih lanjut, lihat Keystone developer documentation.
Backup dan pemulihan bencana¶
Disaster Recovery (DR) dan rencana Business Continuity Planning (BCP) adalah persyaratan umum untuk ISMS dan kegiatan kepatuhan. Rencana ini harus diuji secara berkala dan juga terdokumentasi. Di OpenStack, area utama ditemukan di domain keamanan manajemen, dan di manapun single points of failure (SPOFs) dapat diidentifikasi.
Pelatihan keamanan¶
Pelatihan keamanan ,role-specific, tahunan adalah persyaratan wajib untuk hampir semua sertifikasi kepatuhan dan pengesahan. Untuk mengoptimalkan efektivitas pelatihan keamanan, metode yang umum adalah memberikan pelatihan khusus peran, misalnya kepada pengembang, personil operasional, dan pegawai non-teknis. Keamanan awan tambahan atau pelatihan keamanan OpenStack berdasarkan panduan pengerasan ini akan ideal.
Tinjauan keamanan¶
Karena OpenStack adalah proyek open source yang populer, sebagian besar basis kode dan arsitektur telah diteliti oleh kontributor, organisasi, dan perusahaan individual. Hal ini dapat menguntungkan dari perspektif keamanan, namun kebutuhan akan tinjauan keamanan masih merupakan pertimbangan penting bagi penyedia layanan, karena penerapannya berbeda-beda, dan keamanan tidak selalu menjadi perhatian utama kontributor. Proses tinjauan keamanan yang komprehensif dapat mencakup tinjauan arsitektural, pemodelan ancaman, analisis kode sumber dan pengujian penetrasi. Ada banyak teknik dan rekomendasi untuk melakukan tinjauan keamanan yang dapat ditemukan di publikasikan. Contoh yang teruji dengan baik adalah Microsoft SDL <http://www.microsoft.com/security/sdl/process/release.aspx> _, dibuat sebagai bagian dari Microsoft Trustworthy Computing Initiative.
Manajemen Kerentanan¶
Pembaruan keamanan sangat penting untuk penyebaran IaaS, baik pribadi maupun publik. Sistem yang rentan memperluas permukaan serangan, dan merupakan target yang jelas bagi penyerang. Teknologi pemindaian umum dan layanan pemberitahuan kerentanan dapat membantu mengurangi ancaman ini. Penting agar pemindaian diautentikasi dan strategi mitigasi melampaui pengerasan perimeter sederhana. Arsitektur multi-tenant seperti OpenStack sangat rentan terhadap kerentanan hypervisor, menjadikannya bagian penting dari sistem pengelolaan kerentanan.
Klasifikasi Data¶
Klasifikasi Data mendefinisikan metode untuk mengklasifikasi dan menangani informasi, seringkali untuk melindungi informasi pelanggan dari pencurian, kehilangan, atau pengungkapan yang tidak disengaja atau disengaja. Paling umum, ini mengklasifikasikan informasi sebagai informasi sensitif atau tidak sensitif, atau sebagai personally identifiable information (PII). Bergantung pada konteks penerapan berbagai kriteria klasifikasi lainnya dapat digunakan (government, health-care). Prinsip dasarnya adalah klasifikasi data didefinisikan secara jelas dan digunakan. Mekanisme perlindungan yang paling umum termasuk teknologi enkripsi standar industri.
Proses Pengecualian¶
Proses pengecualian adalah komponen penting dari ISMS. Bila tindakan tertentu tidak sesuai dengan kebijakan keamanan yang ditetapkan organisasi, mereka harus masuk log. Pembenaran yang tepat, deskripsi dan rincian mitigasi perlu disertakan, dan ditandatangani oleh pihak berwenang yang pantas. Konfigurasi default OpenStack dapat bervariasi dalam memenuhi berbagai kriteria kepatuhan, area yang gagal memenuhi persyaratan kepatuhan harus dicatat, dengan potensi perbaikan dianggap sebagai kontribusi bagi masyarakat.
