Compute¶
Layanan OpenStack Compute (nova) berjalan di banyak lokasi di seluruh awan dan berinteraksi dengan berbagai layanan internal. Layanan OpenStack Compute menawarkan berbagai opsi konfigurasi yang mungkin spesifik untuk pemasangan.
Dalam bab ini kita akan memanggil praktik umum terbaik seputar keamanan Compute dan juga konfigurasi yang diketahui yang dapat menyebabkan masalah keamanan. File nova.conf
dan lokasi /var/lib/nova`
harus diamankan. Kontrol seperti logging terpusat, file policy.json
, dan kerangka kontrol akses wajib harus diimplementasikan.
- Seleksi hypervisor
- Hypervisors di OpenStack
- Kriteria seleksi
- Keahlian tim
- Kematangan produk atau proyek
- Sertifikasi dan pengesahan
- Kriteria umum (Common Criteria)
- Standar kriptografi
- FIPS 140-2
- Masalah perangkat keras
- Hypervisor versus bare metal
- Pengoptimalan memori hypervisor
- KVM Kernel Samepage Merging
- XEN transparent page sharing
- Pertimbangan keamanan untuk pengoptimalan memori
- Fitur keamanan tambahan
- Bibliografi
- Pengerasan lapisan virtualisasi
- Perangkat keras fisik (passthrough PCI)
- Virtual hardware (QEMU)
- Meminimalkan basis kode QEMU
- Pengerasan kompilator
- Secure Encrypted Virtualization (Virtualisasi Terenkripsi yang Aman)
- Kontrol akses wajib (Mandatory Access Control)
- sVirt: SELinux and virtualization
- Label dan kategori
- Pengguna dan peran SELinux
- Booleans
- Pengerasan Pengerahan Compute
- Kesadaran akan kerentanan
- Cara memilih konsol virtual
- Daftar periksa
- Check-Compute-01: Apakah kepemilikan user/group dari file konfigurasi diatur ke root/nova?
- Check-Compute-02: Apakah izin ketat diatur untuk file konfigurasi?
- Check-Compute-03: Apakah keystone digunakan untuk otentikasi?
- Check-Compute-04: Apakah protokol aman digunakan untuk otentikasi?
- Check-Compute-05: Apakah Nova berkomunikasi dengan Glance dengan aman?