Doğrulama

Kimlik doğrulama, gerçek dünyadaki herhangi bir OpenStack dağıtımının ayrılmaz bir parçasıdır ve sistem tasarımının bu yönüne dikkatli düşünülmelidir. Bu konunun eksiksiz bir tedavisi bu rehberin kapsamı dışındadır, ancak bazı temel konular aşağıdaki bölümlerde sunulmaktadır.

En temelde, kimlik doğrulama, kimliği doğrulama süreci - bir kullanıcının gerçekte iddia ettiği kişidir. Bilinen bir örnek, bir sisteme giriş yaparken bir kullanıcı adı ve parola sağlamaktır.

OpenStack Kimlik servisi (keystone), kullanıcı adı ve parola, LDAP ve harici kimlik doğrulama yöntemleri de dahil olmak üzere birden çok kimlik doğrulama yöntemini desteklemektedir. Kimlik doğrulama işlemi başarıyla tamamlandıktan sonra, Kimlik servisi kullanıcıya sonraki hizmet talepleri için kullanılan bir yetkilendirme belirteci sunar.

Aktarım Katmanı Güvenliği (TLS), X.509 sertifikalarını kullanan kişiler ve kişiler arasında kimlik doğrulama sağlar. TLS için varsayılan kip sunucu tarafında yalnızca kimlik doğrulaması olmasına rağmen, istemciler kimlik doğrulaması için de sertifika kullanılabilir.

Geçersiz oturum açma girişimleri

As of the Newton release, the Identity service can limit access to accounts after repeated unsuccessful login attempts. A pattern of repetitive failed login attempts is generally an indicator of brute-force attacks (refer to Saldırı türleri). This type of attack is more prevalent in public cloud deployments.

For older deployments needing this functionality, prevention is possible by using an external authentication system that locks out an account after some configured number of failed login attempts. The account then may only be unlocked with further side-channel intervention.

Eğer önleme bir seçenek değilse, hasarın hafifletilmesi için tespit kullanılabilir. Algılama, hesaplara erişmek için yetkisiz girişimleri tanımlamak için erişim denetim günlüklerinin sık gözden geçirilmesini içerir. Olası düzeltme, kullanıcı parolasının gücünü incelemek veya güvenlik duvarı kuralları aracılığıyla saldırının ağ kaynağını engellemek olabilir. Bağlantı sayısını kısıtlayan keystone sunucusundaki güvenlik duvarı kuralları, saldırı etkinliğini azaltmak ve böylece saldırganı caydırmak için kullanılabilir.

Buna ek olarak, olağandışı giriş saatleri ve şüpheli eylemler için hesap etkinliğini incelemek ve hesabı devre dışı bırakmak gibi düzeltici önlemler almak yararlı olacaktır. Çoğu zaman bu yaklaşım dolandırıcılık algılama ve uyarı için kredi kartı sağlayıcıları tarafından alınmaktadır.

Çok etmenli kimlik doğrulama

Ayrıcalıklı kullanıcı hesaplarına ağ erişimi için çok faktörlü kimlik doğrulama kullanın. Kimlik servisi, bu işlevselliği sağlayabilen Apache web sunucusu aracılığıyla harici kimlik doğrulama servislerini desteklemektedir. Sunucular ayrıca sertifika kullanarak istemci tarafında kimlik doğrulamasını zorlayabilir.

Bu öneri, kaba kuvvet, sosyal mühendislik ve yönetici parolalarını tehlikeye atabilecek hem e-dolandırıcılık hem de toplu kimlik avı saldırılarından yalıtımı sağlar.