OpenStack安全問題:缺乏自衛武器
大家可能還記得Alexander Adamov在2015年5月的一篇關于“云端檢測針對性的網絡攻擊”的文章,現在他給我們帶來了OpenStack東京安全峰會的一些內容。
漏洞管理和安全測試
漏洞郵件列表可以有效防止更多信息曝光,但漏洞管理流程將變得形式化,因此郵件列表并不是向下游利益相關者提供信息的唯一手段,我們可以從etherpad上獲得更多的信息。一款新的名為Syntribos的Python API安全測試工具在會上提出來,在未來它可以用作滲透測試工具,Syntribos設計的初衷是自動檢測常見的潛在安全漏洞,如SQL注入、LDAP注入,緩沖區溢出等等。此外,Syntribos還可以通過模糊HTTP請求的方式確定新的安全缺陷,我們可以從etherpad或者查看Syntribos工具獲得更多相關信息。Identity Federation in focus
會上討論了使用Barbican服務來進行身份驗證的問題,當存儲圖像或者運行解密圖像的加密秘鑰時云服務提供商的信任問題就暴露出來。由Barbican提供的存儲秘鑰和解密圖像應該被刪除后使用,但是假如云服務提供商留下了解密數據或者無意間暴露了秘鑰呢?IBM的Steve Martinelli、Rackspace公司的Joe Savak、Douglas Mendizábal,CERN(歐洲核子研究中心)的Marek Dennis以及Cisco的Klaas Wierenga介紹了不同領域的驗證應用。在panel discussion中,驗證被認為會越來越受歡迎,并且在學術領域中被廣泛使用。Dennis介紹了認證工作是如何幫助CERN(歐洲核子研究中心)的研究人員專注于發現宇宙的基本結構:不用刻意去管理提供給科學家訪問的PB級大型強子對撞機的傳感器收集的數據權限賬戶。FWaaS
我們看一下FWaaS的線路圖,防火墻作為服務插件的發展是持續的。包括以下一些重要內容:我們應該考慮設置FWaaS區域、服務鏈、容器、虛擬端口,而不是當前形勢下只適用于路由器。例如,一個基于zone的防火墻在不需要設置多個ACI的基礎上可以過濾任何給定的網絡流量,提高服務的抽象層次。通過這種方式,用戶只需要在安全區域設置一個適當的節點。Mitaka重新設計的自由FWaaS API,實現以下目標:基于端口的功能、增加安全組、基于IPTables的參考實現、服務團隊我們在N-cycle的工作重心將放在可伸縮性,HA以及基于zone的防火墻。在O-cycle的工作重心將放在防火墻和安全組上。Mirantis貢獻FWaaS文檔確保OpenStack和私有云之間的流量安全(英特爾、Midokura)
英特爾公司在Midokura公司的幫助下,給出了基于英特爾平臺安全控制器的掃描網絡流量的安全措施(他們承諾在未來合適的時機開放源碼)。這種實現方式是全新的,至少在目前看來還不成熟,但是我認為這種方法很有前途。云提供商遲早會開始考慮部署一個一體化的安全解決方案,通過API方式可以自動部署云。這使得配置、調整、規模等在面對威脅時能夠得到保護,此外,因為與Intel TXT集成在同樣的硬件層面,它的安全解決方案是極為可靠的。這個會議中有以下幾個熱點:80%的云端流量是東西向的英特爾安全控制(ISC)平臺包括McAfee虛擬網絡安全平臺、防火墻、通過開放API編程的第三方安全應用程序。ISC使用VLAN標記來綁定安全策略,并且進出服務虛擬機的包都被重新定向掃描。基本上,英特爾安全控制平臺將掃描所有的進出網絡的流量和通過API部署的安全解決方案;他們還從PLUMgrid引入了虛擬域的概念,包括來自外部網絡虛擬機的網絡流量。這些虛擬域增加了靈活性,例如減少了來自互聯網和私有網絡的損害。保障OpenStack基礎設施安全(Awnix、PLUMgrid)
前美國國防部工程師、Awnix CEO Rick Kundiger表示:防火墻、VLAN和ACI并不能保證云安全。他提出的解決方案是利用SDN創建一個安全租戶防火墻,安全組,IDS,IPS,UTM等等。通過這種方式,一旦哪個租戶被盜用,網關IP就可能被更改連接到內部網絡。還討論了自動檢測和補救的問題。比較可取的安全建議是高粒度的防火墻規則,即使攻擊者進入了一個服務器,他們也無法在同樣的項目下傳播。由PLUMgrid跨計算域提供的Linux網絡項目IOVisor,在虛擬機和容器之間采取同樣的工作方式。這種方式統一管理網絡安全,它是Linux內核的一部分,IOVisor還可以根據用戶發送的可疑數據包進行追蹤調查。保護混合云(FlawCheck)
在初創公司FlawCheck的演講中,他們用自帶的惡意軟件/漏洞靜態簽名引擎來檢測Docker容器。根據他們的報告,大多數的預定義容器都是極為脆弱的。事實上42%的用戶表示,在Docker容器上運行的應用程序是“惡意軟件和漏洞”。難怪Docker沒有安全檢測,事實證明30%的容器都有漏洞。整體看OpenStack東京安全峰會
在東京我們可以看到更多的話題,我們可以從英特爾和Midokura,Awnix PLUMGrid,FlawCheck、Vulnerability Management Team在嘗試對“如何保護云免受網絡攻擊”這一問題的回答。他們的工作是OpenStack安全項目的一部分,在揭露和修復漏洞上游代碼并將之交付下游利益相關者的工作上作出重大貢獻。例如Bandit工具和全新的安全測試工具Syntribos發布的這個版本,可以在這方面得到應用。然而修復安全漏洞并不足以保護云免受黑客的攻擊,Intel和PLUMgrid公司意識到這一點并提出了旨在提高云安全架構的解決方案。在容器方面,我們看到了極為嚴重的情況,但是我們也看到了開源的Linux內核模塊IOVisor正在試圖解決這個問題。綜上所述,我們看到接口統一和集中安全編排的趨勢,這將為安全策略的實施和數字取證帶來更多的靈活性和簡單性。
