Gunakan Kasus¶
Verifikasi tanda tangan (signature) image¶
Verifikasi image signature memastikan bahwa image tidak diganti atau diganti sejak saat upload asli. Fitur verifikasi image signature menggunakan Castellan sebagai manajer kunci untuk menyimpan cryptographic signature. Image signature dan certificate UUID diunggah bersamaan dengan image ke layanan Image (glance). Glance memverifikasi signature setelah mengambil sertifikat dari manajer kunci. Saat image di-boot, layanan Compute (nova) memverifikasi signature setelah mengambil sertifikat dari manajer kunci.
Untuk lebih jelasnya, lihat Trusted Images documentation.
Enkripsi volume¶
Fitur enkripsi volume memberikan enkripsi data saat beristirahat menggunakan Castellan. Saat pengguna membuat jenis volume terenkripsi, dan membuat volume menggunakan jenis itu, layanan Block Storage (cinder) meminta manajer kunci untuk membuat kunci yang terkait dengan volume tersebut. Bila volume terpasang pada sebuah instance, nova mengambil kuncinya.
Untuk lebih jelasnya, lihat Data Encryption section. and Volume encryption.
Enkripsi disk sesaat¶
Fitur enkripsi disk sesaat membahas privasi data. Disk fana adalah ruang kerja sementara yang digunakan oleh sistem operasi virtual host. Tanpa enkripsi, informasi pengguna yang sensitif dapat diakses pada disk ini, dan informasi sisa bisa tetap ada setelah disk tidak terpasang.
Fitur enkripsi disk sesaat, dapat berinteraksi dengan layanan manajemen kunci melalui pembungkus yang aman dan mendukung isolasi data dengan menyediakan kunci enkripsi disk sesaat pada basis per-penyewa. Penyimpanan kunci back-end direkomendasikan untuk keamanan yang ditingkatkan (misalnya, server HSM atau KMIP dapat digunakan sebagai penyimpanan rahasia back-end barbican).
Untuk lebih jelasnya, lihat Ephemeral disk encryption documentation.
Sahara¶
Sahara membuat dan menyimpan beberapa password selama operasi berlangsung. Untuk mengeras penggunaan password sahara, hal itu dapat diinstruksikan untuk menggunakan manajer kunci eksternal untuk penyimpanan dan pengambilan kembali rahasia ini. Untuk mengaktifkan fitur ini, pertama-tama harus ada layanan OpenStack Key Manager yang ditempatkan di dalam stack.
Dengan layanan Key Manager yang ditempatkan di stack, sahara harus dikonfigurasi untuk memungkinkan penyimpanan rahasia eksternal. Sahara menggunakan perpustakaan Castellan untuk berinteraksi dengan layanan OpenStack Key Manager. Perpustakaan ini menyediakan akses yang dapat dikonfigurasi ke manajer kunci.
Untuk informasi lebih lanjut, lihat Sahara advanced configuration guide.
Magnum¶
Untuk menyediakan akses ke Docker Swarm atau Kubernetes menggunakan klien asli (docker atau kubectl masing-masing) magnum menggunakan sertifikat TLS. Untuk menyimpan sertifikat, disarankan untuk menggunakan Barbican, atau Database Magnum (x590keypair).
Direktori lokal juga dapat digunakan (local), tetapi dianggap tidak aman dan tidak cocok untuk lingkungan produksi.
Untuk rincian lebih lanjut tentang membuat manajer sertifikat untuk Magnum, lihat dokumentasi Container Infrastructure Management service.
Octavia/LBaaS¶
Fitur LBaaS (Load-Balancer-as-a-Service) dari Neutron dan proyek Octavia memerlukan sertifikat dan private key mereka untuk memberikan load balancing untuk koneksi TLS. Barbican bisa digunakan untuk menyimpan informasi sensitif ini.
Untuk lebih jelasnya, lihat How to create a TLS Loadbalancer dan Deploy a TLS-terminated HTTPS load balancer.
Swift¶
Kunci simetris dapat digunakan untuk mengenkripsi kontainer Swift untuk mengurangi risiko data pengguna dibaca jika pihak yang tidak berwenang memperoleh akses fisik ke disk.
Untuk lebih jelasnya, lihat Object Encryption dalam dokumentasi swift resmi.
Password di File Config¶
File konfigurasi untuk layanan OpenStack berisi sejumlah password yang ada dalam teks biasa. Ini termasuk, misalnya, password yang digunakan oleh pengguna layanan untuk melakukan otentikasi ke keystone untuk memvalidasi token keystone.
Tidak ada solusi saat ini untuk mengaburkan password ini. Disarankan agar file-file ini sesuai dengan hak akses file.
Saat ini ada usaha untuk menyimpan rahasia ini di Castellan back-end dan kemudian menggunakan oslo.config menggunakan Castellan untuk mengambil kembali rahasia ini.
