Liệu Nền tảng đám mây OpenStack có an ninh?

Cácnỗ lực về an ninh đang tăng cao khi sự áp dụng các nềntảng đám mây OpenStack gia tăng.

Securityefforts are ramping up as adoption of the OpenStack cloud platformgrows.

By Sean Michael Kerner | October 19, 2012

Theo:http://www.esecurityplanet.com/network-security/is-openstack-cloud-platform-secure.html

Bài được đưa lênInternet ngày: 19/10/2012

Lờingười dịch: Câu hỏi thường ngày, liệu nền tảng đámmây OpenStack có an ninh hay không? Cho dù OpenStack hiện làgiải pháp đám mây nguồn mở mạnh vào hàng bậc nhấthiện nay, với sự tham gia đóng góp rộng rãi từ mộtsố nhà cung cấp CNTT lớn nhất thế giới, bao gồm IBM,Dell, HP, Intel, Cisco và AT&T, cũng như các nhà cung cấpLinux như Red Hat, SuSE và Canonical, thì mô hình an ninhcủa nó vẫn còn cần phải cải tiến nhiều. Một chuyêngia về an ninh đám mây thuộc Nhóm An ninh OpenStack (OSSG) -nhóm trong dự án OpenStack có nhiệm vụ xem xét về an ninh“đã xác định một rủi ro về an ninh tiềm tàng cóliên quan tới thành phần lưu trữ đối tượng Swift màcó thể cho phép một cuộc tấn công của kẻ giữa đường- MiTM ( Man-in-the-Middle) dễ dàng được thực hiện”.Còn Robert Clarke, kiến trúc sưu về an ninh đám mây củaHP thì cho rằng: “Khi hầu hết mọi người nói về anninh, thì thảo luận này có xu hướng kết thúc trong chủđề mật mã, Clarke bình luận. Ông đã nhấn mạnh rằngbằng việc mật mã, và đặc biệt hàm băm đúng, khôngphải là một quá trình dễ dàng. Điều quan trọng chonhững người sử dụng OpenStack phải hiểu thực sự cáchmà mật mã làm việc”.

SAN DIEGO: Những lolắng về an ninh thường xuất hiện gần ở đỉnh củacác khảo sát trong đó các lãnh đạo CNTT và doanh nghiệpđược hỏi về các rào cản cho sự áp dụng đám mây.Biết rằng, an ninh sẽ là yếu tố trong bất kỳ thảoluận nào về đám mây.

TạiHội nghị Thượng đỉnh OpenStack tuần này, những ngườichuyên nghiệp về an ninh trong cộng đồng nguồn mở đãthảo luận hiện trạng về cách mà an ninh được điềuhành trong dự án nền tảng đám mây này. Trong khiOpenStack có một mô hình an ninh rồi, thì vẫn còn chỗcho sự cải tiến.

OpenStack,là một nỗ lực của nhiều bên tham gia đóng góp với sựtham gia rộng rãi từ một số nhà cung cấp CNTT lớn nhấtthế giới, bao gồm IBM, Dell, HP, Intel, Cisco và AT&T,cũng như các nhà cung cấp Linux như Red Hat, SuSE vàCanonical.

Nhóm An ninh OpenStack(OSSG) là nhóm trong dự án có nhiệm vụ xem xét về anninh. Nhóm cũng có liên quan với một Đội Quản lý Tínhbị tổn thương – VMT (Vulnerability Management Team) báo cáocác lỗi để được sửa.

Vì thế nhiều thảoluận về an ninh của OpenStack đã diễn ra chỉ trong cácdanh sách thư điện tử đóng. Thành viên Bryan Payne củaOSSG đã nói cho khán thính phòng rằng, tới nay, không códanh sách công khai của tất cả các lỗi đã từng đượcsửa trong OpenStack.

Các vấn đề vềan ninh được biết của OpenStack

Payne đã thảo luậnvề một số vấn đề an ninh được biết. OpenStack cómột hệ thống được xây dựng là Tích hợp Liên tụcJenkins - Jenkins Continuous Integration (CI). Payne đã lưu ýrằng trong khi không thể thực hiện được kiểm thửthâm nhập đầy đủ trong tiến trình của CI, thì có khảnăng để tìm kiếm các vấn đề cơ bản.

Ôngđã xác định một rủi ro về an ninh tiềm tàng có liênquan tới thành phần lưu trữ đối tượng Swift mà có thểcho phép một cuộc tấn công của kẻ giữa đường - MiTM( Man-in-the-Middle) dễ dàng được thực hiện.

SANDIEGO: Security concerns generally appear near the top of surveys inwhich IT and business executives are asked about barriers to cloudadoption. Given that, security should factor into any discussion ofthe cloud.

Atthe OpenStack Summit this week, security professionals within theopen source community discussed the current state of how security ishandled in the cloud platform project. While OpenStack does have asecurity model in place, there is still room for improvement.

OpenStackis a multi-stakeholder effort with broad participation f-rom some ofthe biggest IT vendors in the world including IBM, Dell, HP, Intel,Cisco and AT&T, as well as Linux vendors Red Hat, SUSE andCanonical.

TheOpenStack SecurityGroup (OSSG) is the group within the project that is tasked withlooking at security. The group is also associated with aVulnerability Management Team (VMT) that reports bugs to be fixed.

Thusfar discussions about OpenStack security have occurred only on closedmailing lists. OSSG member Bryan Payne told the audience that, todate, there is no public list of all the flaws that have already beenfixed in OpenStack.

KnownOpenStack Security Issues

Paynedid discuss some of the known security issues. OpenStack has aJenkins Continuous Integration(CI) build system. Payne noted that while it's not possible to dofull penetration testing during the CI process, it is possible tolook for basic issues.

Heidentified a potential security risk involving the Swift objectstorage component that would allow a Man-in-the-Middle (MiTM) attackto be easily executed.

"TheSwift client is not even checking the server CA certificate,"Payne said. "So basically it will connect and see there is anSSL connection, and then it will just proceed without any additionalcheck."

Headded, "Right now you're encrypting too -- who knows? It'sperhaps better than not encrypting at all, but it's not ideal."

RobertClarke, cloud security architect at HP, told the audience there are anumber of security deficiencies that need to be addressed. HP'sconcern stems f-rom the use of OpenStack as the basis for its publiccloud offering.

“Máy trạm Swift thậmchí không kiểm tra máy chủ chứng thực của nhà cung cấpchứng thực số CA”, Payne nói. “Quá cơ bản nó sẽ kếtnối và xem có một kết nối SSL, và sau đó sẽ chỉ xửlý mà không có kiểm tra bổ sung bất kỳ nào”.

Ôngbổ sung, “Ngay bây giờ bạn cũng đang mã hóa - ai biếtđược nhỉ? Có lẽ tốt hơn so với không mã hóa hoàntoàn, nhưng đó không phải là lý tưởng”.

RobertClarke, kiến trúc sưu về an ninh đám mây của HP, đã nóivới khán thính phòng có một số sự phụ thuộc về anninh mà cần phải được giải quyết. Mối lo của HP xuấtphát từ sử dụng OpenStack như là cơ sở cho việc chàođám mây công cộng.

Khihầu hết mọi người nói về an ninh, thì thảo luận nàycó xu hướng kết thúc trong chủ đề mật mã, Clarke bìnhluận. Ông đã nhấn mạnh rằng bằng việc mật mã, vàđặc biệt hàm băm đúng, không phải là một quá trìnhdễ dàng. Điều quan trọng cho những người sử dụngOpenStack phải hiểu thực sự cách mà mật mã làm việc,ông nói.

Cùng đi với OpenStack

Mộttrong những cách thức mà an ninh sẽ tiến hóa và cảithiện trong OpenStack là bằng sự tham gia được gia tăng.Payne nói OSSG bây giờ đang khẩn nài sự trợ giúp và cầncác kỹ sư về an ninh và các nhà báo kỹ thuật với kinhnghiệp triển khai OpenStack. “Chúng tôi cần nhiều ngườiquan tâm làm việc ở các mức khác nhau”, ông nói.

“OSSG là một nhómnhỏ bây giờ”, ông nói. “Khi chúng ta có đủ người,chúng ta muốn mở nó ra và làm cho nó thành một tàinguyên”. Ông bổ sung rằng “an ninh là một không gianthường xuyên của đổi mới”.

Whenmost people talk about security, the discussion tends to end up onthe topic of cryptography, Clarke commented. He stressed that doingcryptography, and especially hashing correctly, is not an easyprocess. It's important for OpenStack users to truly understand howcryptography works, he said.

OnBoard with OpenStack

Oneof the ways security will evolve and improve at OpenStack is byincreased participation. Payne said the OSSG is now soliciting helpand needs security engineers and technical writers with OpenStackdeployment experience. "We need lots of people that care workingat different levels," he said.

"OSSGis a small group now," he said. "When we have enoughpeople, we want to open it up and make it a resource." He addedthat "security is a constant space of innovation."

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com