Pengerasan Pengerahan Compute¶
Salah satu masalah keamanan utama dengan penyebaran OpenStack adalah keamanan dan kontrol di sekitar file sensitif, seperti file nova.conf. Biasanya terdapat di direktori /etc, file konfigurasi ini berisi banyak pilihan sensitif termasuk rincian konfigurasi dan kata sandi layanan. Semua file sensitif tersebut harus diberi hak akses tingkat file yang ketat, dan memantau perubahan melalui alat file integrity monitoring (FIM) seperti iNotify atau Samhain. Utilitas ini akan mengambil hash dari file target dalam keadaan baik yang diketahui, dan kemudian secara berkala mengambil hash baru dari file tersebut dan membandingkannya dengan hash yang diketahui. Peringatan dapat dibuat jika ditemukan telah dimodifikasi secara tidak terduga.
Perizinan sebuah file dapat diperiksa untuk pindah ke direktori file berisi dan menjalankan perintah ls -lh. Ini akan menunjukkan hak akses, pemilik, dan grup yang memiliki akses ke file, serta informasi lainnya seperti terakhir kali file tersebut dimodifikasi dan kapan dibuat.
Direktori /var/lib/nova digunakan untuk menyimpan rincian tentang instance pada compute host tertentu. Direktori ini harus dianggap sensitif juga, dengan hak akses file yang ketat. Selain itu, ini harus dicadangkan secara teratur karena berisi informasi dan metadata untuk instance yang terkait dengan host tersebut.
Jika penggelaran Anda tidak memerlukan backup mesin virtual sepenuhnya, sebaiknya tidak menyertakan direktori /var/lib/nova/instances karena akan sama besarnya dengan ruang gabungan dari setiap vm yang berjalan pada node tersebut. Jika penempatan Anda memerlukan backup VM penuh, Anda harus memastikan agar direktori ini berhasil dicadangkan dengan sukses.
Pemantauan merupakan komponen penting dari infrastruktur TI, kami merekomendasikan Compute logfiles dipantau dan dianalisis sehingga peringatan yang berarti dapat diciptakan.
Tim manajemen kerentanan OpenStack¶
Kami menyarankan agar Anda selalu mengetahui masalah keamanan dan saran saat dipublikasikan. The OpenStack Security Portal adalah portal pusat tempat nasihat, pemberitahuan, rapat, dan proses dapat dikoordinasikan. Selain itu, portal OpenStack Vulnerability Management Team (VMT) <https://security.openstack.org/#openstack-vulnerability-management-team> _ mengoordinasikan remediasi dalam proyek OpenStack, serta proses penyelidikan bug yang dilaporkan yang secara terbuka diungkapkan (secara pribadi) ke VMT, dengan menandai bug sebagai 'This bug is a security vulnerability'. Rincian lebih lanjut diuraikan dalam VMT process page <https://security.openstack.org/vmt-process.html#process> _ dan menghasilkan OpenStack Security Advisory (OSSA). OSSA ini menguraikan masalah dan perbaikannya, serta menautkan ke bug asli, dan lokasi tempat tambalan (patch) di-host.
Catatan keamanan OpenStack¶
Bug keamanan yang dilaporkan yang ditemukan sebagai akibat dari kesalahan konfigurasi, atau bukan bagian dari OpenStack yang dikonsep secara otomatis ke dalam OpenStack Security Notes (OSSNs). Ini termasuk masalah konfigurasi seperti memastikan pemetaan penyedia Identity serta non-OpenStack tetapi masalah kritis seperti kerentanan Bashbug / Ghost atau Venom yang memengaruhi platform yang digunakan OpenStack. Set OSSN saat ini ada di Security Note wiki <https://wiki.openstack.org/wiki/Security_Notes> _.
Daftar mailing OpenStack-dev¶
Semua bug, OSSA dan OSSN disebarluaskan kepada publik melalui mailinglist openstack-discuss dengan topik [security] di baris subjek. Kami menyarankan untuk berlangganan mailinglist ini serta aturan penyaringan mail yang memastikan OSSN, OSSA, dan nasihat penting lainnya tidak dilewatkan. Milis openstack-discuss dikelola melalui OpenStack Development Mailing List <http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-discuss> _. The openstack-discuss menggunakan tag sebagaimana didefinisikan dalam Project Team Guide <https://docs.openstack.org/project-team-guide/open-community.html#mailing-lists> _.
Hypervisor milis¶
Saat mengimplementasikan OpenStack, salah satu keputusan utamanya adalah hypervisor mana yang akan digunakan. Kami merekomendasikan untuk diberitahu tentang nasihat yang berkaitan dengan hypervisor yang telah Anda pilih. Beberapa daftar keamanan hypervisor yang umum ada di bawah ini:
- Xen:
- VMWare:
- Lainnya (KVM, dan lainnya):
