Безопасность — главная забота во всех секторах современных ИТ, и часто она считается главным барьером на пути распространения облачных вычислений. Безопасность была в центре внимания на многих заседаниях конференции OpenStack Summit, проходившей 18–22 мая в г. Ванкувере (Канада, провинция Британская Колумбия). На некоторых заседаниях говорилось, как правильно развернуть и сконфигурировать облака OpenStack, обеспечив их безопасность. Ряд различных инициатив направлен на то, чтобы сделать средства защиты интегральной частью самой платформы OpenStack.

Нельзя обеспечить безопасность в OpenStack, просто установив брандмауэр и антивирус. Необходимо задействовать много дополнительных средств.

OpenStack используется сейчас в производственных системах некоторых крупнейших компаний США, в том числе таких как Walmart, Comcast, BestBuy, Time Warner Cable, AT&T и eBay. Недавно появившиеся эксплойты типа VENOM для взлома виртуальных машин и уязвимость протокола SSL под названием Heartbleed затронули OpenStack.

Роберт Кларк, ведущий архитектор безопасности облака HP Helion и технический руководитель проекта OpenStack Security Group (OSSG), несколько раз выступал на конференции с разъяснениями, что для обеспечения безопасности в хостовых операционных системах и в OpenStack могут использоваться различные технологии.

На протяжении нескольких лет Кларк активно участвовал в разработке OpenStack, чтобы повысить безопасность платформы. На конференции OpenStack Summit в 2013 г. в Портленде, шт. Орегон, Кларк рассказывал о работе OSSG по учету передового опыта развертывания OpenStack и подготовке руководства по развертыванию платформы.

По его словам, недавно OSSG включила в проект OpenStack группу управления уязвимостями Vulnerability Management Team (VMT), работа которой стала теперь официальным проектом OpenStack. «OSSG отвечает за предоставление OpenStack ряда различных сервисов», — сообщил Кларк.

VMT является автономной группой в рамках OSSG и должна быстро реагировать в конфиденциальном порядке на потенциальные новые эксплойты безопасности. VMT выпускает информационные бюллетени (advisories), а OSSG будет готовить записки (notes) по поводу безопасности OpenStack. Различие между бюллетенями и записками в том, что первые касаются неотложных проблем безопасности, которые можно устранить, а вторые содержат указания и рекомендации относительно передового опыта развертывания с целью снижения рисков безопасности.

OSSG разработала также OpenStack Security Guide. Это попытка создания всеобъемлющего руководства по безопасному развертыванию OpenStack. Кроме того, группа анализирует угрозы с точки зрения осуществляемых в рамках OpenStack проектов.

OSSG выпустила два инструмента, помогающие разработчикам проверить безопасность кода OpenStack: временную инфраструктуру публичных ключей (PKI) Anchor и инструмент Bandit на языке Python для выявления ошибок программирования.

«Проект Anchor имеет пассивную систему аннулирования. Это означает, что выдача сертификатов стала гораздо надежнее», — пояснил Кларк.

Передовой опыт

Для Кларка передовой опыт развертывания облака OpenStack начинается с оборудования. Он полагает, что организации важно быть уверенной в аппаратной платформе, на которой работает облако, чтобы иметь возможность проверить, не было ли оно испорчено или модифицировано.

Плоская сеть, в которой все пользуются равными правами доступа, не лучшим образом подходит для облака. Кларк рекомендует организациям, развертывающим облако OpenStack, иметь не менее четырех доменов: публичный, гостевой, управленческий и сеть данных. Первые два не являются доверенными, другие два — являются.

Нельзя обеспечить безопасность в OpenStack, просто установив брандмауэр и антивирус. Необходимо задействовать много дополнительных средств, сказал Кларк. Он отстаивает необходимость комплексной защиты из нескольких уровней с комбинированием инструментов и приемов. «В любом нашем анализе угроз или проекте (во всяком случае в HP) мы исходим из того, все виртуальные машины хотят нам навредить, — пояснил Кларк. — Мы исходим из того, что все является полностью враждебным».

Очень важно уменьшить количество потенциальных объектов атаки. В этой связи одна из главных рекомендаций Кларка заключается в развертывании в узлах OpenStack только тех приложений, которые необходимы для предоставления конкретных сервисов, а не полного дистрибутива Linux.

Остановившись специально на взломе виртуальных машин с помощью, например, недавно появившегося эксплойта VENOM, Кларк дал ряд рекомендаций по поводу технологий и конфигураций, которые можно использовать для снижения риска. «Взломы виртуальных машин — не единороги, в действительности они довольно часто случаются в реальной жизни», — заявил Кларк.

Поскольку это происходит, необходимо иметь наготове стратегии локализации последствий. Один из способов заключается в принудительном контроле доступа, включая использование Security Enhanced Linux (SELinux) и AppArmor. Принудительный контроль доступа определяет, как должен вести себя процесс, может блокировать нестандартные процессы и извещать администратора, если процесс пытается выйти за пределы политики.

Помимо рекомендаций в отношении SELinux и AppArmor Кларк также рассказал о преимуществах режима Secure Computing Mode (SECCOMP), который обеспечивает в Linux работу приложений в «песочнице». Кроме того, в Linux имеется технология изоляции, известная как пространство имен. Кларк пояснил, что при ее использовании определенное пространство имен может быть изолировано от прочих. С целью ограничения и изоляции ресурсов, используемых неким процессом Linux, можно также применять Linux Control Groups (CGroups).

Чтобы ограничить связанный с потенциальными уязвимостями риск, даже при наличии инструментов защиты важно устанавливать на сервере обновления и исправления, считает Кларк. «Инструменты бессильны против таких вещей как VENOM. Они лишь позволяют вам выиграть время, чтобы отреагировать на угрозу, не нарушая хода вашего бизнеса», — заявил он.

Хотя для обеспечения безопасности облака OpenStack можно применять несколько наборов инструментов и политик, «не используйте пароли, заданные по умолчанию», напомнил Кларк.

Версия для печати