第3章 アイデンティティーおよびアクセス管理
3.1. アイデンティティー
このセクションには、ID に関する概念情報が含まれています。
3.1.1. 認証
認証は、あらゆる実際の OpenStack デプロイメントの不可欠な要素です。システム設計のこの側面に注意を払う必要があります。このトピックの完全な取り扱いについては、本書では扱いませんが、以下の主要なトピックについて記載します。
最も基本的な認証は、アイデンティティーを確認するプロセスです。システムにログインする際に、使い慣れている例は、ユーザー名とパスワードを提供します。
OpenStack Identity サービス (keystone) は、ユーザー名とパスワード、LDAP、およびその他の外部認証方法など、複数の認証メソッドをサポートしています。認証に成功すると、Identity サービスは、後続のサービスリクエストに使用される承認トークンを提供します。
TLS (Transport Layer Security) は、X.509 証明書を使用してサービスとユーザーの間の認証を提供します。TLS のデフォルトモードはサーバー側の認証のみですが、米国の政府標準で義務付けられているため、クライアント認証に証明書を使用することを検討する必要があります。
3.1.1.1. 無効なログイン試行
Identity Service (keystone) は、ログイン試行が繰り返し失敗した後にアカウントへのアクセスを制限する方法を提供していません。ログイン試行の失敗のパターンは、一般的にブルートフォース攻撃の指標です。このタイプの攻撃は、パブリッククラウドのデプロイメントでさらに複雑になります。設定された回数のログイン試行の失敗後にアカウントをブロックする外部認証システムを使用することで、これを軽減するのに役立ちます。その後、アカウントは他の管理者の介入でのみロックを解除できます。
検出技術を使用して、破損を軽減することもできます。検出では、アクセス制御ログの頻繁にレビューが行われ、承認されていないアカウントへのアクセス試行を特定します。修復には、ユーザーのパスワードの強度の確認やファイアウォールルールによる攻撃のネットワークソースのブロックなどが含まれます。接続の数を制限する keystone サーバーにファイアウォールルールを追加することができます。これにより、攻撃の効果を減らすことができます。
さらに、ログイン時間や疑わしいアクションについてアカウントアクティビティーを調べたり、アカウントを無効にするなどの修正措置を取ると役に立ちます。
3.1.1.2. マルチファクター認証
特権ユーザーアカウントへのネットワークアクセスに多要素認証を採用します。Identity サービスは、この機能を提供できる外部認証サービスと統合できます。たとえば、keystone は、Active Directory、Red Hat Identity Manager、Free IPA、または汎用 LDAP サーバーと統合でき、これらのいずれかによって多要素認証が適用されます。
この推奨事項は、パスワードを危険にさらす可能性のあるさまざまなブルートフォース、ソーシャルエンジニアリング、およびスピアフィッシングと大量フィッシング攻撃の両方を軽減するのに役立ちます。Red Hat Identity Management と統合するデプロイメントについては、Configuring and managing Identity Management ガイドを参照してください。