OpenStack安全问题：缺乏自卫武器

作者：崔佰贵 2015-11-23 17:38:11

安全

云安全

云计算

OpenStack 笔者为我们带来了OpenStack东京安全峰会的一些内容。会上讨论了使用Barbican服务来进行身份验证的问题，当存储图像或者运行解密图像的加密秘钥时云服务提供商的信任问题就暴露出来。

大家可能还记得Alexander Adamov在2015年5月的一篇关于“云端检测针对性的网络攻击”的文章，现在他给我们带来了OpenStack东京安全峰会的一些内容。

[[156919]]

漏洞管理和安全测试

漏洞邮件列表可以有效防止更多信息曝光，但漏洞管理流程将变得形式化，因此邮件列表并不是向下游利益相关者提供信息的唯一手段，我们可以从etherpad上获得更多的信息。一款新的名为Syntribos的Python API安全测试工具在会上提出来，在未来它可以用作渗透测试工具，Syntribos设计的初衷是自动检测常见的潜在安全漏洞，如SQL注入、LDAP注入，缓冲区溢出等等。此外，Syntribos还可以通过模糊HTTP请求的方式确定新的安全缺陷，我们可以从etherpad或者查看Syntribos工具获得更多相关信息。Identity Federation in focus

会上讨论了使用Barbican服务来进行身份验证的问题，当存储图像或者运行解密图像的加密秘钥时云服务提供商的信任问题就暴露出来。由Barbican提供的存储秘钥和解密图像应该被删除后使用，但是假如云服务提供商留下了解密数据或者无意间暴露了秘钥呢?IBM的Steve Martinelli、Rackspace公司的Joe Savak、Douglas Mendizábal，CERN(欧洲核子研究中心)的Marek Dennis以及Cisco的Klaas Wierenga介绍了不同领域的验证应用。在panel discussion中，验证被认为会越来越受欢迎，并且在学术领域中被广泛使用。Dennis介绍了认证工作是如何帮助CERN(欧洲核子研究中心)的研究人员专注于发现宇宙的基本结构：不用刻意去管理提供给科学家访问的PB级大型强子对撞机的传感器收集的数据权限账户。FWaaS

我们看一下FWaaS的线路图，防火墙作为服务插件的发展是持续的。包括以下一些重要内容：我们应该考虑设置FWaaS区域、服务链、容器、虚拟端口，而不是当前形势下只适用于路由器。例如，一个基于zone的防火墙在不需要设置多个ACI的基础上可以过滤任何给定的网络流量，提高服务的抽象层次。通过这种方式，用户只需要在安全区域设置一个适当的节点。Mitaka重新设计的自由FWaaS API，实现以下目标：基于端口的功能、增加安全组、基于IPTables的参考实现、服务团队我们在N-cycle的工作重心将放在可伸缩性，HA以及基于zone的防火墙。在O-cycle的工作重心将放在防火墙和安全组上。Mirantis贡献FWaaS文档确保OpenStack和私有云之间的流量安全(英特尔、Midokura)

英特尔公司在Midokura公司的帮助下，给出了基于英特尔平台安全控制器的扫描网络流量的安全措施(他们承诺在未来合适的时机开放源码)。这种实现方式是全新的，至少在目前看来还不成熟，但是我认为这种方法很有前途。云提供商迟早会开始考虑部署一个一体化的安全解决方案，通过API方式可以自动部署云。这使得配置、调整、规模等在面对威胁时能够得到保护，此外，因为与Intel TXT集成在同样的硬件层面，它的安全解决方案是极为可靠的。这个会议中有以下几个热点：80%的云端流量是东西向的英特尔安全控制(ISC)平台包括McAfee虚拟网络安全平台、防火墙、通过开放API编程的第三方安全应用程序。ISC使用VLAN标记来绑定安全策略，并且进出服务虚拟机的包都被重新定向扫描。基本上，英特尔安全控制平台将扫描所有的进出网络的流量和通过API部署的安全解决方案;他们还从PLUMgrid引入了虚拟域的概念，包括来自外部网络虚拟机的网络流量。这些虚拟域增加了灵活性，例如减少了来自互联网和私有网络的损害。保障OpenStack基础设施安全(Awnix、PLUMgrid)

前美国国防部工程师、Awnix CEO Rick Kundiger表示：防火墙、VLAN和ACI并不能保证云安全。他提出的解决方案是利用SDN创建一个安全租户防火墙，安全组，IDS,IPS,UTM等等。通过这种方式，一旦哪个租户被盗用，网关IP就可能被更改连接到内部网络。还讨论了自动检测和补救的问题。比较可取的安全建议是高粒度的防火墙规则，即使攻击者进入了一个服务器，他们也无法在同样的项目下传播。由PLUMgrid跨计算域提供的Linux网络项目IOVisor，在虚拟机和容器之间采取同样的工作方式。这种方式统一管理网络安全，它是Linux内核的一部分，IOVisor还可以根据用户发送的可疑数据包进行追踪调查。保护混合云(FlawCheck)

在初创公司FlawCheck的演讲中，他们用自带的恶意软件/漏洞静态签名引擎来检测Docker容器。根据他们的报告，大多数的预定义容器都是极为脆弱的。事实上42%的用户表示，在Docker容器上运行的应用程序是“恶意软件和漏洞”。难怪Docker没有安全检测，事实证明30%的容器都有漏洞。整体看OpenStack东京安全峰会

在东京我们可以看到更多的话题，我们可以从英特尔和Midokura,Awnix PLUMGrid,FlawCheck、Vulnerability Management Team在尝试对“如何保护云免受网络攻击”这一问题的回答。他们的工作是OpenStack安全项目的一部分，在揭露和修复漏洞上游代码并将之交付下游利益相关者的工作上作出重大贡献。例如Bandit工具和全新的安全测试工具Syntribos发布的这个版本，可以在这方面得到应用。然而修复安全漏洞并不足以保护云免受黑客的攻击，Intel和PLUMgrid公司意识到这一点并提出了旨在提高云安全架构的解决方案。在容器方面，我们看到了极为严重的情况，但是我们也看到了开源的Linux内核模块IOVisor正在试图解决这个问题。综上所述，我们看到接口统一和集中安全编排的趋势，这将为安全策略的实施和数字取证带来更多的灵活性和简单性。

原文链接：http://www.sdnlab.com/14943.html