Liệu Nền tảng đám mây OpenStack có an ninh?

Is OpenStack Cloud Platform Secure?

Các nỗ lực về an ninh đang tăng cao khi sự áp dụng các nền tảng đám mây OpenStack gia tăng.

Security efforts are ramping up as adoption of the OpenStack cloud platform grows.

By Sean Michael Kerner | October 19, 2012

Theo: http://www.esecurityplanet.com/network-security/is-openstack-cloud-platform-secure.html

Bài được đưa lên Internet ngày: 19/10/2012

Lời người dịch: Câu hỏi thường ngày, liệu nền tảng đám mây OpenStack có an ninh hay không? Cho dù OpenStack hiện là giải pháp đám mây nguồn mở mạnh vào hàng bậc nhất hiện nay, với sự tham gia đóng góp rộng rãi từ một số nhà cung cấp CNTT lớn nhất thế giới, bao gồm IBM, Dell, HP, Intel, Cisco và AT&T, cũng như các nhà cung cấp Linux như Red Hat, SuSE và Canonical, thì mô hình an ninh của nó vẫn còn cần phải cải tiến nhiều. Một chuyên gia về an ninh đám mây thuộc Nhóm An ninh OpenStack (OSSG) - nhóm trong dự án OpenStack có nhiệm vụ xem xét về an ninh “đã xác định một rủi ro về an ninh tiềm tàng có liên quan tới thành phần lưu trữ đối tượng Swift mà có thể cho phép một cuộc tấn công của kẻ giữa đường - MiTM ( Man-in-the-Middle) dễ dàng được thực hiện”. Còn Robert Clarke, kiến trúc sưu về an ninh đám mây của HP thì cho rằng: “Khi hầu hết mọi người nói về an ninh, thì thảo luận này có xu hướng kết thúc trong chủ đề mật mã, Clarke bình luận. Ông đã nhấn mạnh rằng bằng việc mật mã, và đặc biệt hàm băm đúng, không phải là một quá trình dễ dàng. Điều quan trọng cho những người sử dụng OpenStack phải hiểu thực sự cách mà mật mã làm việc”.

SAN DIEGO: Những lo lắng về an ninh thường xuất hiện gần ở đỉnh của các khảo sát trong đó các lãnh đạo CNTT và doanh nghiệp được hỏi về các rào cản cho sự áp dụng đám mây. Biết rằng, an ninh sẽ là yếu tố trong bất kỳ thảo luận nào về đám mây.

Tại Hội nghị Thượng đỉnh OpenStack tuần này, những người chuyên nghiệp về an ninh trong cộng đồng nguồn mở đã thảo luận hiện trạng về cách mà an ninh được điều hành trong dự án nền tảng đám mây này. Trong khi OpenStack có một mô hình an ninh rồi, thì vẫn còn chỗ cho sự cải tiến.

OpenStack, là một nỗ lực của nhiều bên tham gia đóng góp với sự tham gia rộng rãi từ một số nhà cung cấp CNTT lớn nhất thế giới, bao gồm IBM, Dell, HP, Intel, Cisco và AT&T, cũng như các nhà cung cấp Linux như Red Hat, SuSE và Canonical.

Nhóm An ninh OpenStack (OSSG) là nhóm trong dự án có nhiệm vụ xem xét về an ninh. Nhóm cũng có liên quan với một Đội Quản lý Tính bị tổn thương – VMT (Vulnerability Management Team) báo cáo các lỗi để được sửa.

Vì thế nhiều thảo luận về an ninh của OpenStack đã diễn ra chỉ trong các danh sách thư điện tử đóng. Thành viên Bryan Payne của OSSG đã nói cho khán thính phòng rằng, tới nay, không có danh sách công khai của tất cả các lỗi đã từng được sửa trong OpenStack.

Các vấn đề về an ninh được biết của OpenStack

Payne đã thảo luận về một số vấn đề an ninh được biết. OpenStack có một hệ thống được xây dựng là Tích hợp Liên tục Jenkins - Jenkins Continuous Integration (CI). Payne đã lưu ý rằng trong khi không thể thực hiện được kiểm thử thâm nhập đầy đủ trong tiến trình của CI, thì có khả năng để tìm kiếm các vấn đề cơ bản.

Ông đã xác định một rủi ro về an ninh tiềm tàng có liên quan tới thành phần lưu trữ đối tượng Swift mà có thể cho phép một cuộc tấn công của kẻ giữa đường - MiTM ( Man-in-the-Middle) dễ dàng được thực hiện.

SAN DIEGO: Security concerns generally appear near the top of surveys in which IT and business executives are asked about barriers to cloud adoption. Given that, security should factor into any discussion of the cloud.

At the OpenStack Summit this week, security professionals within the open source community discussed the current state of how security is handled in the cloud platform project. While OpenStack does have a security model in place, there is still room for improvement.

OpenStack is a multi-stakeholder effort with broad participation from some of the biggest IT vendors in the world including IBM, Dell, HP, Intel, Cisco and AT&T, as well as Linux vendors Red Hat, SUSE and Canonical.

The OpenStack Security Group (OSSG) is the group within the project that is tasked with looking at security. The group is also associated with a Vulnerability Management Team (VMT) that reports bugs to be fixed.

Thus far discussions about OpenStack security have occurred only on closed mailing lists. OSSG member Bryan Payne told the audience that, to date, there is no public list of all the flaws that have already been fixed in OpenStack.

Known OpenStack Security Issues

Payne did discuss some of the known security issues. OpenStack has a Jenkins Continuous Integration (CI) build system. Payne noted that while it's not possible to do full penetration testing during the CI process, it is possible to look for basic issues.

He identified a potential security risk involving the Swift object storage component that would allow a Man-in-the-Middle (MiTM) attack to be easily executed.

"The Swift client is not even checking the server CA certificate," Payne said. "So basically it will connect and see there is an SSL connection, and then it will just proceed without any additional check."

He added, "Right now you're encrypting too -- who knows? It's perhaps better than not encrypting at all, but it's not ideal."

Robert Clarke, cloud security architect at HP, told the audience there are a number of security deficiencies that need to be addressed. HP's concern stems from the use of OpenStack as the basis for its public cloud offering.

“Máy trạm Swift thậm chí không kiểm tra máy chủ chứng thực của nhà cung cấp chứng thực số CA”, Payne nói. “Quá cơ bản nó sẽ kết nối và xem có một kết nối SSL, và sau đó sẽ chỉ xử lý mà không có kiểm tra bổ sung bất kỳ nào”.

Ông bổ sung, “Ngay bây giờ bạn cũng đang mã hóa - ai biết được nhỉ? Có lẽ tốt hơn so với không mã hóa hoàn toàn, nhưng đó không phải là lý tưởng”.

Robert Clarke, kiến trúc sưu về an ninh đám mây của HP, đã nói với khán thính phòng có một số sự phụ thuộc về an ninh mà cần phải được giải quyết. Mối lo của HP xuất phát từ sử dụng OpenStack như là cơ sở cho việc chào đám mây công cộng.

Khi hầu hết mọi người nói về an ninh, thì thảo luận này có xu hướng kết thúc trong chủ đề mật mã, Clarke bình luận. Ông đã nhấn mạnh rằng bằng việc mật mã, và đặc biệt hàm băm đúng, không phải là một quá trình dễ dàng. Điều quan trọng cho những người sử dụng OpenStack phải hiểu thực sự cách mà mật mã làm việc, ông nói.

Cùng đi với OpenStack

Một trong những cách thức mà an ninh sẽ tiến hóa và cải thiện trong OpenStack là bằng sự tham gia được gia tăng. Payne nói OSSG bây giờ đang khẩn nài sự trợ giúp và cần các kỹ sư về an ninh và các nhà báo kỹ thuật với kinh nghiệp triển khai OpenStack. “Chúng tôi cần nhiều người quan tâm làm việc ở các mức khác nhau”, ông nói.

“OSSG là một nhóm nhỏ bây giờ”, ông nói. “Khi chúng ta có đủ người, chúng ta muốn mở nó ra và làm cho nó thành một tài nguyên”. Ông bổ sung rằng “an ninh là một không gian thường xuyên của đổi mới”.

When most people talk about security, the discussion tends to end up on the topic of cryptography, Clarke commented. He stressed that doing cryptography, and especially hashing correctly, is not an easy process. It's important for OpenStack users to truly understand how cryptography works, he said.

On Board with OpenStack

One of the ways security will evolve and improve at OpenStack is by increased participation. Payne said the OSSG is now soliciting help and needs security engineers and technical writers with OpenStack deployment experience. "We need lots of people that care working at different levels," he said.

"OSSG is a small group now," he said. "When we have enough people, we want to open it up and make it a resource." He added that "security is a constant space of innovation."

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com