Безопасность — главная забота во всех секторах современных ИТ, и часто она считается главным барьером на пути распространения облачных вычислений. Безопасность была в центре внимания на многих заседаниях конференции OpenStack Summit, проходившей
Нельзя обеспечить безопасность в OpenStack, просто установив брандмауэр и антивирус. Необходимо задействовать много дополнительных средств.
OpenStack используется сейчас в производственных системах некоторых крупнейших компаний США, в том числе таких как Walmart, Comcast, BestBuy, Time Warner Cable, AT&T и eBay. Недавно появившиеся эксплойты типа VENOM для взлома виртуальных машин и уязвимость протокола SSL под названием Heartbleed затронули OpenStack.
Роберт Кларк, ведущий архитектор безопасности облака HP Helion и технический руководитель проекта OpenStack Security Group (OSSG), несколько раз выступал на конференции с разъяснениями, что для обеспечения безопасности в хостовых операционных системах и в OpenStack могут использоваться различные технологии.
На протяжении нескольких лет Кларк активно участвовал в разработке OpenStack, чтобы повысить безопасность платформы. На конференции OpenStack Summit в 2013 г. в Портленде, шт. Орегон, Кларк рассказывал о работе OSSG по учету передового опыта развертывания OpenStack и подготовке руководства по развертыванию платформы.
По его словам, недавно OSSG включила в проект OpenStack группу управления уязвимостями Vulnerability Management Team (VMT), работа которой стала теперь официальным проектом OpenStack. «OSSG отвечает за предоставление OpenStack ряда различных сервисов», — сообщил Кларк.
VMT является автономной группой в рамках OSSG и должна быстро реагировать в конфиденциальном порядке на потенциальные новые эксплойты безопасности. VMT выпускает информационные бюллетени (advisories), а OSSG будет готовить записки (notes) по поводу безопасности OpenStack. Различие между бюллетенями и записками в том, что первые касаются неотложных проблем безопасности, которые можно устранить, а вторые содержат указания и рекомендации относительно передового опыта развертывания с целью снижения рисков безопасности.
OSSG разработала также OpenStack Security Guide. Это попытка создания всеобъемлющего руководства по безопасному развертыванию OpenStack. Кроме того, группа анализирует угрозы с точки зрения осуществляемых в рамках OpenStack проектов.
OSSG выпустила два инструмента, помогающие разработчикам проверить безопасность кода OpenStack: временную инфраструктуру публичных ключей (PKI) Anchor и инструмент Bandit на языке Python для выявления ошибок программирования.
«Проект Anchor имеет пассивную систему аннулирования. Это означает, что выдача сертификатов стала гораздо надежнее», — пояснил Кларк.
Передовой опыт
Для Кларка передовой опыт развертывания облака OpenStack начинается с оборудования. Он полагает, что организации важно быть уверенной в аппаратной платформе, на которой работает облако, чтобы иметь возможность проверить, не было ли оно испорчено или модифицировано.
Плоская сеть, в которой все пользуются равными правами доступа, не лучшим образом подходит для облака. Кларк рекомендует организациям, развертывающим облако OpenStack, иметь не менее четырех доменов: публичный, гостевой, управленческий и сеть данных. Первые два не являются доверенными, другие два — являются.
Нельзя обеспечить безопасность в OpenStack, просто установив брандмауэр и антивирус. Необходимо задействовать много дополнительных средств, сказал Кларк. Он отстаивает необходимость комплексной защиты из нескольких уровней с комбинированием инструментов и приемов. «В любом нашем анализе угроз или проекте (во всяком случае в HP) мы исходим из того, все виртуальные машины хотят нам навредить, — пояснил Кларк. — Мы исходим из того, что все является полностью враждебным».
Очень важно уменьшить количество потенциальных объектов атаки. В этой связи одна из главных рекомендаций Кларка заключается в развертывании в узлах OpenStack только тех приложений, которые необходимы для предоставления конкретных сервисов, а не полного дистрибутива Linux.
Остановившись специально на взломе виртуальных машин с помощью, например, недавно появившегося эксплойта VENOM, Кларк дал ряд рекомендаций по поводу технологий и конфигураций, которые можно использовать для снижения риска. «Взломы виртуальных машин — не единороги, в действительности они довольно часто случаются в реальной жизни», — заявил Кларк.
Поскольку это происходит, необходимо иметь наготове стратегии локализации последствий. Один из способов заключается в принудительном контроле доступа, включая использование Security Enhanced Linux (SELinux) и AppArmor. Принудительный контроль доступа определяет, как должен вести себя процесс, может блокировать нестандартные процессы и извещать администратора, если процесс пытается выйти за пределы политики.
Помимо рекомендаций в отношении SELinux и AppArmor Кларк также рассказал о преимуществах режима Secure Computing Mode (SECCOMP), который обеспечивает в Linux работу приложений в «песочнице». Кроме того, в Linux имеется технология изоляции, известная как пространство имен. Кларк пояснил, что при ее использовании определенное пространство имен может быть изолировано от прочих. С целью ограничения и изоляции ресурсов, используемых неким процессом Linux, можно также применять Linux Control Groups (CGroups).
Чтобы ограничить связанный с потенциальными уязвимостями риск, даже при наличии инструментов защиты важно устанавливать на сервере обновления и исправления, считает Кларк. «Инструменты бессильны против таких вещей как VENOM. Они лишь позволяют вам выиграть время, чтобы отреагировать на угрозу, не нарушая хода вашего бизнеса», — заявил он.
Хотя для обеспечения безопасности облака OpenStack можно применять несколько наборов инструментов и политик, «не используйте пароли, заданные по умолчанию», напомнил Кларк.
