openstack平臺安全措施

Openstack平臺安全措施目錄2Openstack平臺安全措施Openstack平臺安全問題Openstack平臺安全問題3缺少功能：項目中面臨的風(fēng)險由于發(fā)展時間較短，還缺乏很多必要的功能。比如OpenStack在系統(tǒng)監(jiān)控方面的功能還不夠完善，當(dāng)用于公有云時，其計費系統(tǒng)還有待開發(fā)和完善。DNS管理、LVS負載管理、Swift的CDN服務(wù)以及EBS塊設(shè)備存儲方面功能也不成熟。Openstack平臺安全問題4廠商之間的利益沖突問題：Openstack成長勢頭強勁，吸引了眾多IT廠商的支持和參與，但正是眾多廠商的參與，導(dǎo)致其混亂、缺乏協(xié)調(diào)的現(xiàn)狀。廠商之間存在利益沖突，他們都想用自己基于OpenStack所開發(fā)的產(chǎn)品來替代開源產(chǎn)品以此獲利。Openstack平臺安全問題5兼容性與開發(fā)成本問題：OpenStack是一個可以建立公有云和私有云的基礎(chǔ)架構(gòu)。但它并不是一個現(xiàn)成的產(chǎn)品，要想開展基礎(chǔ)架構(gòu)方面的工作，企業(yè)需要顧問和開發(fā)人員，很多時候還需要第三方的集成工具。此外，新版本的發(fā)布過于頻繁，平均半年就發(fā)布一個新版本，如此快的更新頻率難免就存在新老版本兼容性的問題。Openstack平臺安全措施6身份認(rèn)證密碼強度儲存密碼身份驗證令牌認(rèn)證數(shù)據(jù)敏感性惡意數(shù)據(jù)一、身份認(rèn)證7用戶配置是注冊新用戶到一個給定系統(tǒng)的過程，用戶取消供應(yīng)的過程是從系統(tǒng)中刪除用戶的過程。Openstack對象存儲Swit通過稱為TempAuth和SwAuth的認(rèn)證授權(quán)系統(tǒng)提供用戶數(shù)據(jù)管理任務(wù)的自動化。一、身份認(rèn)證8TempAuth和SwAuth之間的差別在于用戶數(shù)據(jù)的后端存儲。TempAuth使用戶數(shù)據(jù)以純文本形式保存在配置文件中。SwAuth是使用Swift本身提供的可擴展的認(rèn)證和授權(quán)系統(tǒng)。一個Swift帳戶是在Swift集群上創(chuàng)建的，用戶信息以JSON編碼的形式存儲在文本文件中。SwAuth和tempAuth都允許按需進行用戶配置和解除。用戶管理的特點都是基于OpenStack對象存儲Swift。二、密碼強度9Openstack項目對用戶進行身份驗證所使用的都是用戶名和密碼。密碼強度要求應(yīng)接受更嚴(yán)格的審查。例如依據(jù)常用密碼口令字典對密碼進行檢查，規(guī)定最小密碼長度和必須使用某些特殊字符。然而，這些要求在OpenStack規(guī)范中并不存在。三、存儲密碼10密碼存儲是使用密碼驗證的所有信息系統(tǒng)中共有的一個問題。在信息安全中的一個常見做法是要求管理員保證密碼是被加密的，而不是以明文存儲。同樣重要的是要限制訪問存儲密碼的位置。TempAuth將用戶名和密碼存儲在一個配置文件中，所有密碼都記錄在普通文本格式中。四、身份驗證令牌11成功的認(rèn)證生成用于授權(quán)服務(wù)請求的令牌。密碼和用戶名作為輸入提供給API。如果認(rèn)證成功，由此產(chǎn)生的信息包括身份驗證令牌和服務(wù)類別。令牌保持12小時有效。發(fā)出的令牌失效有兩種情況：令牌已經(jīng)過期或令牌被取消。五、認(rèn)證數(shù)據(jù)敏感性12將OpenStack的認(rèn)證數(shù)據(jù)從一個服務(wù)器轉(zhuǎn)移到另一個服務(wù)器是不安全的。SwAuth存在的安全問題是，允許供應(yīng)商管理員查看屬于此管理員管理的所有用戶數(shù)據(jù)。惡意用戶還可以獲得其他用戶訪問密碼。六、惡意數(shù)據(jù)13大多數(shù)云供應(yīng)商在將數(shù)據(jù)上傳到集群之