Masalah privasi data¶
Data residensi¶
Privasi dan isolasi data secara konsisten telah disebut sebagai penghalang utama untuk adopsi awan selama beberapa tahun terakhir. Kekhawatiran atas siapa yang memiliki data di awan dan apakah operator awan pada akhirnya dapat dipercaya sebagai penjaga data ini telah menjadi isu penting di masa lalu.
Sejumlah layanan OpenStack menjaga data dan metadata milik penyewa atau informasi penyewa referensi.
Data penyewa yang tersimpan dalam awan OpenStack mungkin termasuk item berikut:
Object Storage objects
Komputasi instance penyimpanan filesystem fana
Komputasi memori instance
Data volume Block Storage
Public key untuk akses Compute
Image mesin virtual dalam layanan Image
Snapshot mesin
Data dikirimkan ke ekstensi configuration-drive OpenStack Compute
Metadata yang disimpan oleh awan OpenStack mencakup item berikut yang tidak lengkap (non-exhaustive):
Nama Organisasi
"Real Name" pengguna
Jumlah atau ukuran instance yang sedang berjalan, buckets, objek, volume, dan barang terkait kuota lainnya
Jumlah jam instance yang sedang berjalan atau menyimpan data
Alamat IP pengguna
Private key yang dibuat secara internal untuk komputasi bundling image
Pembuangan data¶
Operator OpenStack harus berusaha memberikan tingkat jaminan penyewa data tingkat tertentu. Praktik terbaik menunjukkan bahwa operator membersihkan media sistem awan (digital dan non-digital) sebelum dibuang, bebas dari pengendalian organisasi atau pelepasan untuk digunakan kembali. Metode sanitasi harus menerapkan tingkat kekuatan dan integritas yang tepat mengingat domain keamanan dan kepekaan informasi yang spesifik.
"The sanitization process removes information from the media such that the information cannot be retrieved or reconstructed. Sanitization techniques, including clearing, purging, cryptographic erase, and destruction, prevent the disclosure of information to unauthorized individuals when such media is reused or released for disposal." NIST Special Publication 800-53 Revision 4
Petunjuk pembuangan dan sanitasi data umum yang diadopsi dari kontrol keamanan NIST yang direkomendasikan. Operator awan harus:
Melacak, mendokumentasikan dan memverifikasi tindakan sanitasi dan pembuangan media.
Uji peralatan dan prosedur sanitasi untuk memverifikasi kinerja yang tepat.
Sanitasi portabel, perangkat penyimpanan yang dapat dilepas sebelum menghubungkan perangkat tersebut ke infrastruktur awan.
Hancurkan media sistem cloud yang tidak bisa di sanitasi.
Dalam penyebaran OpenStack Anda harus mengatasi hal berikut:
Mengamankan penghapusan data
Instance memory scrubbing
Data volume Block Storage
Komputasi instance penyimpanan sementara
Sanitasi server Bare Metal
Data tidak terhapus secara aman¶
Dalam OpenStack beberapa data dapat dihapus, namun tidak dicabut dengan aman dalam konteks standar NIST yang diuraikan di atas. Hal ini umumnya berlaku untuk sebagian besar atau semua metadata dan informasi yang didefinisikan di atas yang tersimpan dalam database. Hal ini dapat diperbaiki dengan konfigurasi sistem dan/atau database untuk vacuuming secara otomatis dan wiping (pembersihan) ruang bebas secara periodik.
Instance memory scrubbing¶
Khusus untuk berbagai hypervisor adalah perawatan memori instance. Perilaku ini tidak didefinisikan dalam OpenStack Compute, meskipun pada umumnya diharapkan hypervisors bahwa mereka akan melakukan upaya terbaik untuk menghilangkan memori baik saat penghapusan sebuah instance, pada saat pembuatan sebuah instance, atau keduanya.
Xen secara eksplisit menetapkan area memori khusus ke instance dan data scrub saat penghancuran instance (atau domain dalam bahasa Xen). KVM sangat bergantung pada pengelolaan halaman Linux; Kumpulan aturan kompleks yang terkait dengan paging KVM didefinisikan dalam KVM documentation.
Penting untuk dicatat bahwa penggunaan fitur balon memori Xen cenderung menghasilkan keterbukaan informasi. Kami sangat disarankan untuk menghindari penggunaan fitur ini.
Untuk hypervisor ini dan lainnya, sebaiknya rujuk ke dokumentasi khusus hypervisor.
Data volume Cinder¶
Penggunaan fitur enkripsi volume OpenStack sangat dianjurkan. Ini dibahas di bawah ini di bagian Data Encryption di bawah Volume Encryption. Bila fitur ini digunakan, penghancuran data dilakukan dengan melepaskan kunci enkripsi secara aman. End user dapat memilih fitur ini saat membuat volume, namun perhatikan bahwa seorang admin harus melakukan pengaturan enkripsi volume satu kali terlebih dahulu. Petunjuk untuk penyiapan ini ada di bagian penyimpanan blok pada Configuration Reference , di bawah enkripsi volume.
Jika fitur enkripsi volume OpenStack tidak digunakan, maka pendekatan lain pada umumnya akan lebih sulit untuk diaktifkan. Jika plug-in back-end digunakan, mungkin ada cara independen untuk melakukan solusi enkripsi atau non-standar akan menimpa. Plug-in ke OpenStack Block Storage akan menyimpan data dengan berbagai cara. Banyak plug-in khusus untuk vendor atau teknologi, sedangkan yang lain akan lebih banyak solusi DIY seputar filesystem seperti LVM atau ZFS. Metode untuk menghancurkan data dengan aman akan bervariasi dari satu plug-in ke yang lain, dari satu solusi vendor ke yang lain, dan dari satu sistem berkas ke file lainnya.
Beberapa back-end seperti ZFS akan mendukung copy-on-write untuk mencegah pemaparan data. Dalam kasus ini, pembacaan dari blok tidak tertulis akan selalu kembali nol. Back-end lainnya seperti LVM mungkin tidak mendukungnya secara native, sehingga plug-in Block Storage bertanggung jawab untuk mengganti blok yang sebelumnya ditulis sebelum menyerahkannya kepada pengguna. Penting untuk meninjau kembali pilihan Anda jaminan (assurance) yang tersedia untuk back-end volume dan untuk melihat mediasi apa yang mungkin tersedia untuk jaminan yang tidak diberikan.
Fitur penghapusan penundaan layanan Image¶
Layanan OpenStack Image memiliki fitur hapus tertunda, yang akan menunggu penghapusan image untuk jangka waktu yang ditentukan. Dianjurkan untuk menonaktifkan fitur ini jika ini adalah masalah keamanan, dengan mengedit file etc/glance/glance-api.conf dan menetapkan opsi delayed_delete ke False.
Komputasi fitur penghapusan soft¶
OpenStack Compute memiliki fitur soft-delete, yang memungkinkan sebuah instance yang dihapus berada dalam keadaan soft-delete untuk jangka waktu yang ditentukan. Instance dapat dipulihkan selama periode ini. Untuk menonaktifkan fitur soft-delete, edit file etc/nova/nova.conf dan biarkan opsi reclaim_instance_interval` kosong.
Komputasi instance penyimpanan sementara¶
Perhatikan bahwa OpenStack fitur Ephemeral disk encryption menyediakan sarana untuk meningkatkan privasi penyimpanan sementara dan isolasi, selama penggunaan aktif maupun saat data dihancurkan. Seperti dalam kasus penyimpanan blok terenkripsi, seseorang dapat dengan mudah menghapus kunci enkripsi untuk menghancurkan data secara efektif.
Langkah alternatif untuk memberikan privasi data, dalam penciptaan dan penghancuran penyimpanan sementara, akan tergantung pada hypervisor yang dipilih dan plug-in OpenStack Compute.
Plugin libvirt untuk menghitung dapat menyimpan penyimpanan sesaat secara langsung pada filesystem, atau di LVM. Penyimpanan filesystem umumnya tidak akan menimpa data saat dilepas, meski ada jaminan bahwa luapan limbah (dirty extent) tidak tersedia bagi pengguna.
Bila menggunakan penyimpanan sementara yang didukung LVM, yang berbasis blok, perlu perangkat lunak OpenStack Compute menghapus blokir dengan aman untuk mencegah pengungkapan informasi. Sebelumnya ada kerentanan pengungkapan informasi terkait dengan perangkat penyimpan blok sementara yang terhapus secara tidak benar.
Penyimpanan filesystem adalah solusi yang lebih aman untuk perangkat penyimpanan blok sementara daripada LVM karena luapan limbah (dirty extent) tidak dapat disediakan oleh pengguna. Namun, penting untuk diperhatikan bahwa data pengguna tidak dihancurkan, jadi disarankan untuk mengenkripsi filesystem backing.
Sanitasi server Bare Metal¶
Driver server bare metal untuk Compute sedang dalam pengembangan dan sejak pindah ke proyek terpisah yang disebut 'ironis <https://wiki.openstack.org/wiki/Ironic> `__. Pada saat penulisan ini, ironis nampaknya tidak membahas sanitasi data penyewa yang menampung perangkat keras fisik.
Selain itu, dimungkinkan bagi penyewa sistem bare metal untuk memodifikasi firmware sistem. Teknologi TPM, dijelaskan dalam :ref: manajemen-aman-bootstrapping, menyediakan solusi untuk mendeteksi perubahan firmware yang tidak sah.
