Veri şifreleme

Uygulayıcılar, kiracı verilerini disk üzerinde saklandığı veya aşağıda açıklanan OpenStack hacim şifreleme özelliği gibi bir ağ üzerinden taşınan yerde şifrelemek için uygulayıcılar için geçerlidir. Kullanıcıların kendi verilerini sağlayıcılarına göndermeden önce şifrelemesi genel tavsiyedir.

Kiracı adına veri şifrelemenin önemi, bir sağlayıcı tarafından üstlenilen ve bir saldırganın kiracı verilere erişebileceği riski ile büyük ölçüde ilişkilidir. Burada, hükümette, politikalar başına, özel sözleşmede veya kamu mülk tedarikçileri için özel sözleşmelere ilişkin kanunlarda dahi şartlar gerekebilir. Kiracı şifreleme politikaları seçmeden önce bir risk değerlendirmesi ve yasal konsül önerilir.

Örnek başına veya nesne başına şifreleme, azalan düzende, proje başına, kiracı başına, sunucu başına ve bulut başına toplamaya göre tercih edilir. Bu öneri, uygulanmanın karmaşıklığına ve zorluğuna aykırıdır. Günümüzde bazı projelerde, şifrelemeyi, kiracı başına kadar ayrıntılı olarak uygulamak zor ya da imkânsızdır. Uygulayıcıların, kiracı verilerini şifrelemek için ellerinden geleni yapmalarını öneririz.

Genellikle, veri şifreleme, yalnızca anahtarları atarak, kiracı ve örnek verileri güvenilir bir şekilde yok etme yeteneğiyle ilgilidir. Bunu yaparken, bu anahtarları güvenilir ve güvenli bir şekilde yok etmek büyük önem taşımaktadır.

Kullanıcılar için verileri şifrelemek için fırsatlar mevcuttur:

  • Nesne Depolama nesneleri

  • Ağ verisi

Hacim şifrelemesi

OpenStack’daki bir birim şifreleme özelliği, kiracı başına kişisel gizliliği destekler. Kilo sürümünden itibaren aşağıdaki özellikler desteklenmektedir:

  • Panel veya bir komut satırı arabirimi aracılığıyla başlatılan şifreli hacim türlerinin oluşturulması ve kullanılması

    • Şifrelemeyi etkinleştirin ve şifreleme algoritması ve anahtar boyutu gibi parametreleri seçin

  • ISCSI paketleri içerisindeki hacim verileri şifrelenir

  • Orijinal hacim şifreliyse şifreli yedeklemeleri destekler

  • Hacim seviyesi şifreleme durumunun Panel göstergesi. Bir hacimin şifrelendiği ve şifre ve anahtar boyutu gibi şifreleme parametrelerini içerir

  • Güvenli bir sarmalayıcı aracılığıyla Anahtar yönetimi servisiyle arabirim

    • Hacim şifreleme, gelişmiş güvenlik için arka uç anahtar depolaması ile desteklenir (örneğin, bir Donanım Güvenlik Modülü (HSM) veya bir KMIP sunucusu barbican arka uç gizli mağaza olarak kullanılabilir)

Geçici disk şifreleme

Geçici bir disk şifreleme özelliği veri gizliliğini ele alır. Geçici disk sanal makine işletim sistemi tarafından kullanılan geçici bir çalışma alanıdır. Şifreleme olmadan bu diskte hassas kullanıcı bilgileri erişilebilir ve disk ayrıştırıldıktan sonra kestirici bilgiler kalabilir. Kilo sürümü itibariyle aşağıdaki kısa ömürlü disk şifreleme özellikleri desteklenmektedir:

  • Şifrelenmiş LVM kısa ömürlü disklerin oluşturulması ve kullanımı (Not: Şu anda OpenStack Hesaplama servisi yalnızca kısa ömürlü diskleri LVM formatında şifrelemeyi desteklemektedir)

    • Hesaplama yapılandırması olan nova.conf, “[ephemeral_storage_encryption]” bölümünde aşağıdaki varsayılan parametrelere sahiptir

      • option: ‘cipher = aes-xts-plain64’

        • This field sets the cipher and mode used to encrypt ephemeral storage. AES-XTS is recommended by NIST specifically for disk storage, and the name is shorthand for AES encryption using the XTS encryption mode. Available ciphers depend on kernel support. At the command line, type ‘cryptsetup benchmark’ to determine the available options (and see benchmark results), or go to /proc/crypto

      • option: ‘enabled = false’

        • Geçici disk şifreleme kullanmak için, option: ‘enabled = true’ ayarlayın

      • option: ‘key_size = 512’

        • Arka plan anahtarı yöneticisinden, yalnızca 128 bitlik AES anahtar boyutu sağlayacak olan ‘key_size = 256’ kullanılmasını gerektirebilecek bir anahtar boyutu sınırlaması olabileceğini unutmayın. XTS, AES’in gerektirdiği şifreleme anahtarına ek olarak kendi “ince ayar anahtarı”nın olmasını gerektirir. Bu genellikle tek bir büyük anahtar olarak ifade edilir. Bu durumda, 512 bitlik ayar kullanılarak, AES tarafından 256 bit ve XTS tarafından 256 bit kullanılacaktır. (bkz. NIST)

  • Güvenli bir sarmalayıcı aracılığıyla Anahtar yönetimi servisiyle arabirim

    • Anahtar yönetim servisi, kiracı başına geçici olarak disk şifreleme anahtarları sağlayarak veri izolasyonunu destekleyecek

    • Geçici disk şifreleme, gelişmiş güvenlik için arka uç anahtar depolaması ile desteklenir (örneğin, bir HSM veya bir KMIP sunucusu barbican arka uç gizli mağaza olarak kullanılabilir)

    • Anahtar yönetimi servisiyle, geçici bir disk gerekmediğinde, basitçe anahtarın silinmesi, kısa ömürlü disk depolama alanının üzerine yazmanın yerini alabilir

Nesne Depolama nesneleri

Nesne Depolama (swift), depolama düğümlerinde istirahat durumunda nesne verisinin isteğe bağlı şifrelemesini destekler. Nesne verisinin şifrelenmesi, bir yetkisiz tarafın bir diske fiziksel olarak erişmesi durumunda, kullanıcıların verilerinin okunması riskini azaltmak için tasarlanmıştır.

Dinlenme sırasındaki verilerin şifrelenmesi, vekil sunucusu WSGI kanalına dahil olabilecek ara katman yazılımları tarafından gerçekleştirilir. Bu özellik, hızlı bir kümenin iç kısmında yer alır ve API aracılığıyla görüntülenmez. Müşteriler, verilerin dahili olarak swift servisi için bu özellik tarafından şifrelendiğinden habersizdir; dahili olarak şifrelenmiş veriler, müşterilere swift API vasıtasıyla asla gönderilmemelidir.

Aşağıdaki veriler, swift’te dururken şifrelenir:

  • Nesne içeriği. Örneğin, bir nesnenin PUT isteğinin gövdesinin içeriği

  • Sıfır içeriği olmayan nesnelerin varlık etiketi (ETag)

  • Tüm özel kullanıcı nesne metaveri değerleri. Örneğin, metaveriler, PUT veya POST istekleri olan “X-Object-Meta-` “önekli başlıkları kullanılarak gönderildi

Yukarıdaki listede yer almayan herhangi bir veri veya metaveriler, aşağıdakiler dahil olmak üzere şifrelenmez:

  • Hesap, kapsayıcı, ve nesne isimleri

  • Hesap ve kapsayıcı özel kullanıcı metaveri değerleri

  • Tüm özel kullanıcı metaveri isimleri

  • Nesne Content-Type değerleri

  • Nesne boyutu

  • Sistem metaverisi

For more information on the deployment, operation, or implementation of Object Storage encryption, see the swift Developer Documentation on Object Encryption.

Blok Depolama performansı ve arka uçlar

İşletim sistemini etkinleştirirken OpenStack Hacim Şifreleme performansı hem Intel hem de AMD işlemcilerinde mevcut donanım hızlandırma özelliklerini kullanarak geliştirilebilir. Hem OpenStack Hacim Şifreleme özelliği hem de OpenStack Geçici Disk Şifreleme özelliği, hacim verilerini güvence altına almak için dm-crypt kullanır. dm-crypt, Linux çekirdeği 2.6 ve sonrası sürümlerinde saydam bir disk şifreleme kabiliyetidir. Hacim Şifrelemesi etkinleştirildiğinde, şifrelenmiş veriler, iSCSI üzerinden Blok Depolama Alanı’na gönderilir, böylece veri aktarımı güvenli olur ve veriler aynı anda dinlenir. Donanım hızlandırması kullanıldığında, şifreleme özelliklerinin her ikisinin de performans etkisi en aza indirgenir.

Although we recommend using the OpenStack Volume Encryption feature, Block Storage supports a large variety of alternative back-ends for supplying mountable volumes, and some of these may also provide volume encryption. Since there are so many back-ends, and since information from each vendor must be obtained, it is outside the scope of this guide to specify recommendations for implementing encryption in any of them.

Ağ verisi

Hesaplama için kiracı verileri IPsec veya diğer tüneller üzerinden şifrelenebilir. Bu, OpenStack’de yaygın olan veya standart olmayan bir işlevdir ancak motive olmuş ve ilgilenen uygulayıcılar için kullanılabilir bir seçenektir.

Aynı şekilde, şifreli veriler ağ üzerinden aktarıldığı haliyle şifrelenmiş olarak kalır.