Veri şifreleme¶
Uygulayıcılar, kiracı verilerini disk üzerinde saklandığı veya aşağıda açıklanan OpenStack hacim şifreleme özelliği gibi bir ağ üzerinden taşınan yerde şifrelemek için uygulayıcılar için geçerlidir. Kullanıcıların kendi verilerini sağlayıcılarına göndermeden önce şifrelemesi genel tavsiyedir.
Kiracı adına veri şifrelemenin önemi, bir sağlayıcı tarafından üstlenilen ve bir saldırganın kiracı verilere erişebileceği riski ile büyük ölçüde ilişkilidir. Burada, hükümette, politikalar başına, özel sözleşmede veya kamu mülk tedarikçileri için özel sözleşmelere ilişkin kanunlarda dahi şartlar gerekebilir. Kiracı şifreleme politikaları seçmeden önce bir risk değerlendirmesi ve yasal konsül önerilir.
Örnek başına veya nesne başına şifreleme, azalan düzende, proje başına, kiracı başına, sunucu başına ve bulut başına toplamaya göre tercih edilir. Bu öneri, uygulanmanın karmaşıklığına ve zorluğuna aykırıdır. Günümüzde bazı projelerde, şifrelemeyi, kiracı başına kadar ayrıntılı olarak uygulamak zor ya da imkânsızdır. Uygulayıcıların, kiracı verilerini şifrelemek için ellerinden geleni yapmalarını öneririz.
Genellikle, veri şifreleme, yalnızca anahtarları atarak, kiracı ve örnek verileri güvenilir bir şekilde yok etme yeteneğiyle ilgilidir. Bunu yaparken, bu anahtarları güvenilir ve güvenli bir şekilde yok etmek büyük önem taşımaktadır.
Kullanıcılar için verileri şifrelemek için fırsatlar mevcuttur:
Nesne Depolama nesneleri
Ağ verisi
Hacim şifrelemesi¶
OpenStack’daki bir birim şifreleme özelliği, kiracı başına kişisel gizliliği destekler. Kilo sürümünden itibaren aşağıdaki özellikler desteklenmektedir:
Panel veya bir komut satırı arabirimi aracılığıyla başlatılan şifreli hacim türlerinin oluşturulması ve kullanılması
Şifrelemeyi etkinleştirin ve şifreleme algoritması ve anahtar boyutu gibi parametreleri seçin
ISCSI paketleri içerisindeki hacim verileri şifrelenir
Orijinal hacim şifreliyse şifreli yedeklemeleri destekler
Hacim seviyesi şifreleme durumunun Panel göstergesi. Bir hacimin şifrelendiği ve şifre ve anahtar boyutu gibi şifreleme parametrelerini içerir
Güvenli bir sarmalayıcı aracılığıyla Anahtar yönetimi servisiyle arabirim
Hacim şifreleme, gelişmiş güvenlik için arka uç anahtar depolaması ile desteklenir (örneğin, bir Donanım Güvenlik Modülü (HSM) veya bir KMIP sunucusu barbican arka uç gizli mağaza olarak kullanılabilir)
Geçici disk şifreleme¶
Geçici bir disk şifreleme özelliği veri gizliliğini ele alır. Geçici disk sanal makine işletim sistemi tarafından kullanılan geçici bir çalışma alanıdır. Şifreleme olmadan bu diskte hassas kullanıcı bilgileri erişilebilir ve disk ayrıştırıldıktan sonra kestirici bilgiler kalabilir. Kilo sürümü itibariyle aşağıdaki kısa ömürlü disk şifreleme özellikleri desteklenmektedir:
Şifrelenmiş LVM kısa ömürlü disklerin oluşturulması ve kullanımı (Not: Şu anda OpenStack Hesaplama servisi yalnızca kısa ömürlü diskleri LVM formatında şifrelemeyi desteklemektedir)
Hesaplama yapılandırması olan
nova.conf
, “[ephemeral_storage_encryption]” bölümünde aşağıdaki varsayılan parametrelere sahiptiroption: ‘cipher = aes-xts-plain64’
This field sets the cipher and mode used to encrypt ephemeral storage. AES-XTS is recommended by NIST specifically for disk storage, and the name is shorthand for AES encryption using the XTS encryption mode. Available ciphers depend on kernel support. At the command line, type ‘cryptsetup benchmark’ to determine the available options (and see benchmark results), or go to /proc/crypto
option: ‘enabled = false’
Geçici disk şifreleme kullanmak için, option: ‘enabled = true’ ayarlayın
option: ‘key_size = 512’
Arka plan anahtarı yöneticisinden, yalnızca 128 bitlik AES anahtar boyutu sağlayacak olan ‘key_size = 256’ kullanılmasını gerektirebilecek bir anahtar boyutu sınırlaması olabileceğini unutmayın. XTS, AES’in gerektirdiği şifreleme anahtarına ek olarak kendi “ince ayar anahtarı”nın olmasını gerektirir. Bu genellikle tek bir büyük anahtar olarak ifade edilir. Bu durumda, 512 bitlik ayar kullanılarak, AES tarafından 256 bit ve XTS tarafından 256 bit kullanılacaktır. (bkz. NIST)
Güvenli bir sarmalayıcı aracılığıyla Anahtar yönetimi servisiyle arabirim
Anahtar yönetim servisi, kiracı başına geçici olarak disk şifreleme anahtarları sağlayarak veri izolasyonunu destekleyecek
Geçici disk şifreleme, gelişmiş güvenlik için arka uç anahtar depolaması ile desteklenir (örneğin, bir HSM veya bir KMIP sunucusu barbican arka uç gizli mağaza olarak kullanılabilir)
Anahtar yönetimi servisiyle, geçici bir disk gerekmediğinde, basitçe anahtarın silinmesi, kısa ömürlü disk depolama alanının üzerine yazmanın yerini alabilir
Nesne Depolama nesneleri¶
Nesne Depolama (swift), depolama düğümlerinde istirahat durumunda nesne verisinin isteğe bağlı şifrelemesini destekler. Nesne verisinin şifrelenmesi, bir yetkisiz tarafın bir diske fiziksel olarak erişmesi durumunda, kullanıcıların verilerinin okunması riskini azaltmak için tasarlanmıştır.
Dinlenme sırasındaki verilerin şifrelenmesi, vekil sunucusu WSGI kanalına dahil olabilecek ara katman yazılımları tarafından gerçekleştirilir. Bu özellik, hızlı bir kümenin iç kısmında yer alır ve API aracılığıyla görüntülenmez. Müşteriler, verilerin dahili olarak swift servisi için bu özellik tarafından şifrelendiğinden habersizdir; dahili olarak şifrelenmiş veriler, müşterilere swift API vasıtasıyla asla gönderilmemelidir.
Aşağıdaki veriler, swift’te dururken şifrelenir:
Nesne içeriği. Örneğin, bir nesnenin PUT isteğinin gövdesinin içeriği
Sıfır içeriği olmayan nesnelerin varlık etiketi (ETag)
Tüm özel kullanıcı nesne metaveri değerleri. Örneğin, metaveriler, PUT veya POST istekleri olan “X-Object-Meta-` “önekli başlıkları kullanılarak gönderildi
Yukarıdaki listede yer almayan herhangi bir veri veya metaveriler, aşağıdakiler dahil olmak üzere şifrelenmez:
Hesap, kapsayıcı, ve nesne isimleri
Hesap ve kapsayıcı özel kullanıcı metaveri değerleri
Tüm özel kullanıcı metaveri isimleri
Nesne Content-Type değerleri
Nesne boyutu
Sistem metaverisi
For more information on the deployment, operation, or implementation of Object Storage encryption, see the swift Developer Documentation on Object Encryption.
Blok Depolama performansı ve arka uçlar¶
İşletim sistemini etkinleştirirken OpenStack Hacim Şifreleme performansı hem Intel hem de AMD işlemcilerinde mevcut donanım hızlandırma özelliklerini kullanarak geliştirilebilir. Hem OpenStack Hacim Şifreleme özelliği hem de OpenStack Geçici Disk Şifreleme özelliği, hacim verilerini güvence altına almak için dm-crypt
kullanır. dm-crypt
, Linux çekirdeği 2.6 ve sonrası sürümlerinde saydam bir disk şifreleme kabiliyetidir. Hacim Şifrelemesi etkinleştirildiğinde, şifrelenmiş veriler, iSCSI üzerinden Blok Depolama Alanı’na gönderilir, böylece veri aktarımı güvenli olur ve veriler aynı anda dinlenir. Donanım hızlandırması kullanıldığında, şifreleme özelliklerinin her ikisinin de performans etkisi en aza indirgenir.
Although we recommend using the OpenStack Volume Encryption feature, Block Storage supports a large variety of alternative back-ends for supplying mountable volumes, and some of these may also provide volume encryption. Since there are so many back-ends, and since information from each vendor must be obtained, it is outside the scope of this guide to specify recommendations for implementing encryption in any of them.
Ağ verisi¶
Hesaplama için kiracı verileri IPsec veya diğer tüneller üzerinden şifrelenebilir. Bu, OpenStack’de yaygın olan veya standart olmayan bir işlevdir ancak motive olmuş ve ilgilenen uygulayıcılar için kullanılabilir bir seçenektir.
Aynı şekilde, şifreli veriler ağ üzerinden aktarıldığı haliyle şifrelenmiş olarak kalır.