OpenStack Queens版本Security项目介绍

2018年2月28日,OpenStack开源社区发布了Queens 版本,该版本增加了多项新功能,也对多项旧功能进行了优化增强,包括虚拟 GPU(vGPU)支持和容器集成改进等。另外,几个新项目也在该版本首次出现,包括提供管理硬件和软件加速资源框架的Cyborg项目等 。同时,对于大家比较关注的Security项目,也进行了相应更新。

Security项目简介

OpenStack Security项目主要解决OpenStack的安全问题,提供安全工具,推进安全创新,普及安全教育,同时Security项目也是构建安全可信云平台很好的参考资料。该项目是OpenStack内部的一项横向工作,由OpenStack安全组和漏洞管理团队负责维护,并承担OpenStack Security项目的技术和管理活动,旨在提供指导、信息和代码,以增强OpenStack生态系统的总体安全性。

OpenStack的安全工具有anchor、bandit、syntribos等,安全文档有security-guide、security-notes、threat-analysis等,同时维护一个项目Blog:

http://openstack-security.github.io/

以下是简要介绍:

anchor

anchor提供轻量级的PKI服务,可以自动验证证书请求文件以及签发客户端证书,所签发证书的有效期通常比较短(一般是12-24小时)。一般的PKI系统通常存在一个严重问题——证书的撤销(如何保证一个已经被撤销的证书不再被信任),现有的两种证书撤销方法(CRL/OCSP)均无法有效解决这个问题。anchor可以通过签发短生命周期的证书,有效解决PKI系统中证书撤销的问题。

bandit

bandit是用来查找Python代码中是否存在通用安全问题的工具,可以对文件进行逐一扫描,并输出扫描报告。

syntribos

syntribos是一个开源的API安全性测试工具,可以应用于任意API安全测试。

security-guide

security-guide文档是按照各个OpenStack服务、组件进行分拆的,内容涵盖各个组件的介绍、安全问题分析和安全加固方案。

security-notes

OpenStack Security项目通过此公告来告知用户安全相关的问题,这些公告针对OpenStack部署中使用到的第三方工具的漏洞,以及可能导致不安全的操作环境的常见的错误配置提供安全指导。

threat analysis

分析OpenStack中各个组件在架构、敏感数据处理/存储、外部依赖等方面存在的安全漏洞,并提供相应的加固措施或建议,为OpenStack部署提供支持。

Security项目在Queens版本中更新内容

1.增加了密钥管理内容(Barbican/Castellan)

2.更新了Keystone/token检查项,推荐使用fernet token

3.增加了Glance服务检查项,限制V1版本的API使用”copy_from”特性的权限

4.更新了Cinder服务检查项,同步使用最新的Castellan的配置项

关于作者:

大唐高鸿信安(GohighSec)提供安全可信云数据中心一体化解决方案,是OpenStack社区的积极参与者、贡献者及实践者。

- 责任编辑:小丸子 -

- FIN -

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180311G08C6Z00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券