Облачная платформа OpenStack включает в себя много проектов, конфигураций и кода, которые потенциально могут стать привлекательной мишенью для хакеров. На конференции OpenStack Summit в г. Остине (шт. Техас) руководитель проекта OpenStack Security Роберт Кларк детально осветил различные аспекты обеспечения безопасности OpenStack.
Кларка уже знают на OpenStack Summit, поскольку он освещает разработки по линии безопасности на многочисленных конференциях, начиная с OpenStack Summit 2013 в Портленде (шт. Орегон). Основные моменты выступления Кларка в 2016 г. не очень отличались от того, что он говорил на аналогичном мероприятии в Ванкувере в мае 2015 г., хотя он рассказал и о некоторых новых средствах, помогающих усилить безопасность кода.
Работа по проекту OpenStack Security состоит из нескольких базовых элементов. Выпускаются рекомендации по безопасности, описывающие проблемы, для которых уже имеются патчи, а также заметки с указаниями по конфигурированию системы в случае наличия еще не исправленных проблем безопасности. Одна из последних заметок по безопасности OSSN-0064 касается дефекта в сервисе аутентификации OpenStack Keynote, который потенциально позволяет использовать для атаки пароль администратора по умолчанию.
Чтобы изначально предотвращать внесение в OpenStack небезопасного кода, группа безопасности работает над оказанием помощи разработчикам. Сюда, в частности, относятся инструкции по безопасности, которые, по словам Кларка, помогают разработчикам писать безопасный код.
Также очень важен используемый инструментарий, и проект OpenStack Security реализует в этом направлении ряд инициатив. Наиболее успешным из созданных на сегодняшний день инструментов стал Bandit, движок статического анализа кода Python.
«Это очень быстрый инструмент с хорошими стандартными установками, и сегодня он помогает находить уязвимости и противодействовать их появлению в кодовой базе OpenStack», — говорит Кларк.
Одно из новейших средств, Syntribos, является фаззером кода OpenStack. Фаззер представляет собой разновидность инструментов тестирования безопасности, подсовывающих приложению заведомо некорректный код или данные, чтобы попытаться спровоцировать ошибку, которую потенциально могут использовать злоумышленники. По словам Кларка, в OpenStack надеются, что Syntribos поможет находить неизвестные дефекты безопасности.
Проект OpenStack Security в целом насчитывает 250 зарегистрированных участников, хотя, как сказал Кларк, в каждый момент времени активно работает только около 25 человек, и ему хотелось бы, чтобы активных участников было больше.
«Ряд компаний, в том числе IBM, HPE (Hewlett Packard Enterprise) и Rackspace, вкладывают деньги, чтобы повышать уровень безопасности решений, — сказал он. — Но чтобы достичь удовлетворяющих всех результатов, нужно больше участников и больше серьезной работы».