Yönetim arayüzleri¶
Yöneticilerin çeşitli operasyonel işlevler için bulut üzerinde komuta ve denetim yapması gereklidir. Bu kumanda ve kontrol tesislerinin anlaşılması ve güvence altına alınması önemlidir.
OpenStack, operatörler ve kiracılar için birkaç yönetim arabirimi sağlar:
OpenStack panel (horizon)
OpenStack API
Nova-manage ve glance-manage gibi OpenStack yönetim yardımcı programları
IPMI gibi bant dışı yönetim arabirimleri
Kontrol Paneli¶
OpenStack paneli (horizon), yöneticilere ve kiracılara bulut tabanlı kaynaklar oluşturmak ve bunlara erişmek için web tabanlı bir grafik arayüz sağlar. Panel, OpenStack API çağrıları aracılığıyla arka uç servisleri ile iletişim kurar.
Yetenekler¶
Bir bulut yöneticisi olarak panel, bulutunuzun boyut ve durumunun genel bir görünümünü sağlar. Kullanıcılar ve kiracılar/projeler oluşturabilir, kullanıcıları kiracıya/projelere atayabilir ve onlar için mevcut kaynakları sınırlar koyabilirsiniz.
Panel, kiracı kullanıcılara, kendi kaynaklarını, yöneticiler tarafından belirlenen sınırlar içinde tedarik etmek için kendi kendine bir servis portalı sağlar.
Panel, yönlendiriciler ve yük dengeleyiciler için GUI desteği sağlar. Örneğin, panel artık tüm Ana Ağ özellikleri uyguluyor.
Bu, faturalandırma, izleme ve ek yönetim araçları gibi üçüncü parti ürünlerin ve hizmetlerin kolayca eklenmesine izin veren genişletilebilir bir Django web uygulamasıdır.
Panel, servis sağlayıcılar ve diğer ticari satıcılar için de markalı olabilir.
Güvenlik hususları¶
Panel, tarayıcıda çerezlerin ve JavaScript’in etkinleştirilmesini gerektirir.
Gösterge tablosunu barındıran web sunucusu, verilerin şifrelenmesini sağlamak için TLS için yapılandırılmalıdır.
Hem horizon web servisi hem de arka uçla iletişim kurmak için kullandığı OpenStack API’si, hizmet reddini gibi web saldırı vektörlerine açıktır ve izlenmesi gerekir.
Bir imaj dosyasını kullanıcının sabit diskinden doğrudan panel aracılığıyla OpenStack Image hizmetine yüklemek mümkün (çok sayıda dağıtım/güvenlik etkisi olmasına rağmen) mümkündür. Çok gigabayt imajlarda, yüklemenin
glanceCLI kullanılarak yapılması önerilir.Güvenlik tablolarını kullanarak güvenlik grupları oluşturun ve yönetin. Güvenlik grupları, güvenlik ilkeleri için sanal makineleri korumak için L3-L4 paket filtrelemesine izin verir.
Kaynakça¶
OpenStack.org, ReleaseNotes/Liberty. 2015. OpenStack Liberty Sürüm Notları
OpenStack API¶
OpenStack API, bulut tabanlı kaynaklara erişim, sağlama ve otomatikleştirme için RESTful bir web servisi uç noktasıdır. Operatörler ve kullanıcılar genellikle API’ya komut satırı araçları (örneğin, nova veya glance), dile özel kütüphaneler veya üçüncü parti araçlar yoluyla erişirler.
Yetenekler¶
Bulut yöneticisine, API, bulut dağıtımının boyut ve durumunun genel bir görünümünü sağlar ve kullanıcıların, kiracıların/projelerin oluşturulmasını, kullanıcıları kiracılara/projelere atamanın ve kiracı/proje bazında kaynak kotalarının belirlenmesini sağlar.
API, kaynaklarını sağlamak, yönetmek ve erişmek için bir kiracı arayüzü sağlar.
Güvenlik hususları¶
Verilerin şifrelenmesini sağlamak için API hizmeti TLS için yapılandırılmalıdır.
Bir web servisi olarak, OpenStack API, hizmet reddi saldırıları gibi tanıdık web sitesi saldırı vektörlerine karşı hassastır.
Güvenli kabuk (SSH)¶
Linux ve Unix sistemlerinin yönetimi için güvenli kabuk (SSH) erişimini kullanma endüstrisi uygulaması haline gelmiştir. SSH iletişim için güvenli şifreleme ilkelleri kullanır. Tipik OpenStack dağıtımlarında SSH’nin kapsamı ve önemi ile SSH’yi dağıtmak için en iyi uygulamaların anlaşılması önemlidir.
Sunucu anahtar parmak izleri¶
Sık sık göz ardı edilen SSH sunucular için anahtar yönetimi gereğidir. Bir OpenStack dağıtımında bulunan sunucuların çoğu veya tümü bir SSH hizmeti sağlayacağından, bu sunuculara olan bağlantılara güvenmeniz önemlidir. SSH sunucusunun anahtar parmak izlerini doğrulamak için makul derecede güvenli ve erişilebilir bir yöntem sağlamamak, istismar ve suistimal için uygun bir ortam yarattığından küçümsenmemeli.
Tüm SSH servislerinin özel sunucu anahtarları vardır ve bağlantı sırasında bir ana anahtarın parmak izi sunar. Bu ana anahtar parmak izi, imzasız bir genel anahtarın özeti gibidir. Bu ana anahtar parmak izlerinin, bu sunuculara SSH bağlantıları yapmadan önce bilinmesi önemlidir. Ana anahtar parmak izlerinin doğrulanması, ortada adam saldırılarının tespitinde etkili olur.
Genellikle, bir SSH servisi yüklendiğinde, sunucu anahtarları oluşturulur. Sunucuların ana anahtar oluşturma sırasında yeterli entropi göstermeleri gerekir. Ana anahtar oluşturma sırasında yetersiz entropi, SSH oturumlarını dinleme olasılığına neden olabilir.
SSH sunucu anahtarı oluşturulduktan sonra ana anahtar parmak izi güvenli ve sorgulanabilir bir konumda saklanmalıdır. RFC-4255’te tanımlanan SSHFP kaynak kayıtlarını kullanan DNS özellikle uygun bir çözümdür. Bunun güvenli olması için DNSSEC’in yayına alınması gerekiyor.
Yönetim yardımcı programları¶
OpenStack Yönetim Yardımcı Programları, API çağrıları yapan açık kaynaklı Python komut satırı istemcileridir. Her OpenStack servisi için bir istemci vardır (örneğin, nova, glance). Standart CLI istemcisine ek olarak, servislerin çoğunda veritabanına doğrudan çağrı yapan bir yönetim komut satırı yardımcı programı bulunur. Bu özel yönetim yardımcı programları yavaş yavaş kullanımdan kaldırılıyor.
Güvenlik hususları¶
Özel yönetim yardımcı programları (*-manage) bazı durumlarda doğrudan veritabanı bağlantısını kullanır.
Kimlik bilgileriniz olan .rc dosyasının güvenli olduğundan emin olun.
Kaynakça¶
OpenStack.org, OpenStack Son Kullanıcı Kılavuz bölümü. 2016. OpenStack komut satırı istemcileri tanıtımı
OpenStack.org, OpenStack RC dosyasını kullanarak ortam değişkenlerini ayarlayın. 2016. OpenStack RC dosyasını indirin ve kaynaklaştırın
Bant dışı yönetim arayüzü¶
OpenStack yönetimi, OpenStack bileşenlerini çalıştıran düğümlere erişmek için IPMI protokolü gibi bant dışı yönetim arabirimlerine dayanır. IPMI, işletim sisteminin çalışıp çalışmadığına veya sistem çöktüğüne bakmaksızın sunucuları uzaktan yönetmek, teşhis etmek ve yeniden başlatmak için çok popüler bir özelliktir.
Güvenlik hususları¶
Güçlü parolalar kullanın ve bunları koruyun veya istemci tarafında TLS kimlik doğrulamasını kullanın.
Ağ arabirimlerinin kendi özel (yönetim veya ayrı) bir ağda olduğundan emin olun. Yönetim alanlarını güvenlik duvarları veya diğer ağ dişli ile ayırın.
BMC / IPMI ile etkileşim kurmak için bir web arabirimi kullanıyorsanız: , her zaman HTTPS veya port 443 gibi TLS arabirimini kullanın. Bu TLS arabirimi kendiliğinden imzalanmış sertifikalar ile **kullanmayın **, varsayılan olarak gelir, ancak doğru tanımlanmış tam nitelikli alan adlarını (FQDN’ler) kullanarak güvenilir sertifikalara sahip olmalıdır.
Yönetim ağındaki trafiği izleyin. Anomalilerin, daha yoğun işleyen düğümlerden daha kolay izlenebilir.
Bant dışı yönetim arabirimleri ayrıca genellikle grafik makine konsolu erişimi içerir. Varsayılan olmamasına rağmen, bu arabirimlerin şifrelendiği sıklıkla mümkündür. Bu arabirimleri şifrelemek için sistem yazılım belgelerinize başvurun.
Kaynakça¶
SANS Teknoloji Enstitüsü, InfoSec İşleyicileri Günlüğü Bloğu. 2012. Kapatılmış sunucuları ele geçirmek
