OpenStack峰会专门举办了许多会议来保护开源云平台

2019-12-20 10:43:51 来源: INeng财经

亚特兰大—在这里举行的OpenStack峰会的多个会议上,开发人员和安全研究人员提供了有关正确保护OpenStack云部署的见解和详细信息。安全是最常被引用的采用云的障碍之一,但是在峰会上发表的专家并不认为这是障碍。

Nebula安全研究主管Bryan Payne说,企业确实应该从相反的角度看待云安全。佩恩说:“云计算是一个很好的机会,可以很好地完成安全工作。” “云具有编排工具,使您能够推出一致的配置并一致地更新软件。

Payne说,在云部署中,还存在已知的硬件和软件,并且通过具有已知的基础,企业可以更容易地采取正确的步骤来保护云基础架构。他说:“在部署云基础架构时,企业可以控制已部署的内容,这是安全的梦想。”

典型的安全功能是查看系统,以了解与预期有何不同。因此,组织对系统的了解越多,就越能检测到任何差异。

佩恩说:“因此,如果您拥有一个编排系统,并且知道您的硬件和软件是什么,那么您将拥有一个很好的安全平台。”

为确保OpenStack云平台的安全性,Payne提倡确保将关注点分开,以使云外部和内部云网络具有不同的逻辑网络。

Payne还建议为所有OpenStack部署配置传输层安全性(TLS)。TLS为网络中的移动数据提供加密。

在云部署中,除了提供计算的实际基础架构之外,还有来宾在虚拟机(VM)中的云之上运行。

Payne概述的潜在云安全风险之一被称为VM突破。Payne说:“ VM突破意味着我可以在实例中运行代码,该实例将利用虚拟化层中的某些东西,然后让我在主机操作系统本身上运行代码。”

在VM突破情况下,攻击者可能会访问云中运行的其他VM。Payne强调组织可以采取一些措施来限制VM突破的风险。这些步骤包括正确使用SELinux或Security Enhanced Linux,它为系统上的进程和应用程序提供了强制性的访问控制规则。

佩恩说:“建立和运行云是第一步。” “保护云是第二步,通常比第一步难。”

Keystone身份服务

Keystone身份服务是OpenStack云中安全性的主要控制点。

赛门铁克云服务架构师Keith Newstadt在峰会上解释说,组织应采取措施保护Keystone。

他解释说,作为身份提供者,Keystone可能会成为暴力攻击的目标,在这种攻击中,犯罪分子试图使用自动的用户名和密码列表来强制进入系统,以试图获得访问权限。

Newstadt说,保护Keystone免受暴力攻击的一种方法是为用户登录引入速率限制。使用速率限制,在给定的时间段内只能有一定数量的用户登录请求进入系统。

他说,组织还需要能够将恶意IP地址列入黑名单,以及检测并阻止异常模式和用户行为。

Newstadt说:“ Keystone是OpenStack的守门人。” “证书是王国的钥匙,所以要保护它们。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。