Persyaratan dokumentasi sistem¶
Peran dan tipe sistem¶
Dua jenis node yang didefinisikan secara umum yang umumnya merupakan instalasi OpenStack adalah:
- Node infrastruktur
Jalankan layanan terkait awan seperti layanan OpenStack Identity, layanan antrean pesan, penyimpanan, jaringan, dan layanan lainnya yang diperlukan untuk mendukung pengoperasian awan.
- Compute, storage, atau node sumber daya lainnya
Menyediakan kapasitas penyimpanan atau mesin virtual untuk awan Anda.
Inventarisasi sistem¶
Dokumentasi harus memberikan gambaran umum tentang lingkungan OpenStack dan mencakup semua sistem yang digunakan (misalnya, produksi, pengembangan, atau pengujian). Mendokumentasikan komponen sistem, jaringan, layanan, dan perangkat lunak sering kali memberikan pandangan bird's-eye (mata burung) untuk menutupi dan mempertimbangkan masalah keamanan, vektor serangan, dan kemungkinan poin penjembatan domain keamanan. Inventarisasi sistem mungkin perlu menangkap sumber daya singkat seperti mesin virtual atau volume disk virtual yang jika tidak, sumber daya persisten akan ada dalam sistem Teknologi Informasi tradisional.
Inventarisasi perangkat keras¶
Awan (Cloud) tanpa persyaratan kepatuhan yang ketat untuk dokumentasi tertulis mungkin akan mendapat manfaat dari memiliki Configuration Management Database (CMDB). CMDB biasanya digunakan untuk pelacakan aset perangkat keras dan pengelolaan siklus hidup secara keseluruhan. Dengan memanfaatkan CMDB, sebuah organisasi dapat dengan cepat mengidentifikasi perangkat keras infrastruktur awan seperti komputasi node, node penyimpanan, atau perangkat jaringan. CMDB dapat membantu mengidentifikasi aset yang ada pada jaringan yang mungkin memiliki kerentanan karena pemeliharaan yang tidak memadai, perlindungan yang tidak memadai, atau dipindahkan dan dilupakan. Sistem provisioning OpenStack dapat menyediakan beberapa fungsi dasar CMDB jika perangkat keras yang mendasari mendukung fitur penemuan otomatis yang diperlukan.
Inventarisasi perangkat lunak¶
Seperti perangkat keras, semua komponen perangkat lunak dalam penyebaran OpenStack harus didokumentasikan. Contohnya meliputi:
Sistem database, seperti MySQL atau mongoDB
Komponen perangkat lunak OpenStack, seperti Identity or Compute
Komponen pendukung, seperti load-balancer, reverse proxy, DNS, atau layanan DHCP
Daftar komponen perangkat lunak yang otoritatif mungkin penting saat menilai dampak kompromi atau kerentanan di perpustakaan, aplikasi atau kelas perangkat lunak.
Topologi jaringan¶
Topologi jaringan harus dilengkapi dengan highlight (sorotan) yang secara khusus memanggil arus data dan bridging point (titik penjembatan) di antara domain keamanan. Network ingress dan egress point harus diidentifikasi bersamaan dengan batasan sistem logis OpenStack manapun. Beberapa diagram mungkin diperlukan untuk menyediakan cakupan visual lengkap dari sistem. Dokumen topologi jaringan harus mencakup jaringan virtual yang dibuat atas nama penyewa oleh sistem beserta instance mesin virtual dan gateway yang dibuat oleh OpenStack.
Layanan, protokol, dan port¶
Mengetahui informasi tentang aset organisasi biasanya merupakan praktik terbaik. Tabel aset dapat membantu memvalidasi persyaratan keamanan dan membantu menjaga komponen keamanan standar seperti konfigurasi firewall, konflik port servis, area remediasi keamanan, dan kepatuhan. Selain itu, tabel dapat membantu untuk memahami hubungan antara komponen OpenStack. Table termasuk:
Layanan, protokol, dan port yang digunakan dalam pengerahan OpenStack.
Ikhtisar semua layanan yang berjalan di dalam infrastruktur awan.
Sangat disarankan agar pengerahan OpenStack memiliki informasi yang serupa dengan catatan ini. Tabel dapat dibuat dari informasi yang berasal dari CMDB atau dapat dibangun secara manual.
Contoh tabel disediakan di bawah ini:
Service |
Protocols |
Ports |
Purpose |
Used by |
Security domains(s) |
---|---|---|---|---|---|
beam.smp |
AMQP |
5672/tcp |
AMQP message service |
RabbitMQ |
MGMT |
tgtd |
iSCSI |
3260/tcp |
iSCSI initiator service |
iSCSI |
PRIVATE(data network) |
sshd |
ssh |
22/tcp |
Mengizinkan login yang aman ke node dan VM tamu |
Various |
MGMT, GUEST, and PUBLIC as configured |
mysqld |
mysql |
3306/tcp |
Layanan database MySQL |
Various |
MGMT |
apache2 |
http |
443/tcp |
Dasbor |
Tenants |
PUBLIC |
dnsmasq |
dns |
53/tcp |
DNS services |
Guest VMs |
GUEST |