Безопасность является настолько важным элементом открытой облачной платформы OpenStack, что существует целый отдельный проект OpenStack Security, посвященный задаче защищенности технологий OpenStack.
На конференции OpenStack Summit в Барселоне (Испания) 27 октября при большом числе участников выступил Роб Кларк, технический руководитель проекта OpenStack Security, осветивший подробности последних разработок своей группы.
Этот проектy фокусируется на создании средств безопасности, помогающих выявлять потенциальные уязвимости кода OpenStack, а также на выработке рекомендаций и принципов руководства, помогающих обеспечивать безопасность.
«Мы во многом действуем как группа консультантов в отношении более широкой организации OpenStack», — сказал Кларк.
Участники OpenStack Security занимаются анализом угроз, чтобы знать потенциальные зоны риска. Процесс анализа угроз должен прежде всего начинаться с идентификации всевозможных точек входа в систему, а также ресурсов, сказал Кларк, добавив, что при анализе угроз также необходимо уметь документировать, где перемещаются данные и какие форматы при этом используются.
«Огромное число уязвимостей возникает при изменениях одного формата на другой, когда вы не особо задумываетесь над тем, что делаете, полагая, что это так же просто, как считывание данных с диска в оперативную память», — сказал Кларк.
Процесс анализа угроз, кроме того, подразумевает идентификацию общих подходов к развертыванию, а также наилучших практик по конкретной технологии OpenStack. Вдобавок к этому, все используемые в проекте ресурсы должны документироваться в каталоге ресурсов, служащем информационным помощником при ресурсо-ориентированном анализе угроз.
Процесс анализа угроз OpenStack Security использует методологию понятных диаграмм и позволяет формулировать базовые суждения о конфиденциальности, целостности и готовности для конкретных ресурсов, говорит Кларк: «Идея в том, чтобы понять, что находится под риском, измерить этот риск и описать последствия наихудшего сценария».
Новые инструменты
Новое средство тестирования Syntribos представляет собой фреймворк API-фаззинга, созданный специально для OpenStack. При API-фаззинге генерируются неожиданные входные данные, которые затем вводятся в приложение, чтобы увидеть, что после этого произойдет, сказал Кларк. К числу проблем, которые может находить фаззинг, относятся риски межсайтового скриптинга, переполнения буфера и неправильной проверки вводимых строк.
На сегодняшний день Syntribos нашел больше 500 ошибок в проектах OpenStack Cinder (хранение данных), Glance (образы виртуальных машин), Keystone (сервисы идентификации) и Neutron (сетевые подключения).
«Проекты OpenStack уже подвергались проверке многими высококачественными коммерческими инструментами статического и динамического анализа, и ни один из них не обнаружил проблемы, найденные Syntribos», — сказал Кларк.
По его словам, OpenStack Security будет продолжать готовить рекомендации и создавать инструменты, помогающие разрабатывать проекты OpenStack. Появилась также новая идея «инкубатора безопасности», который сможет обрести форму в 2017 г. Он будет собирать малые проекты в области безопасности, приложимые к облакам OpenStack, и предоставит им общий дом и методическое руководство.
«Надеюсь, что сообщество в целом найдет полезным то, что мы делаем», — подытожил Кларк.