安全与强化指南

为了了解云部署本身的安全风险，提取提取为具有通用功能、用户和共享安全问题的组件集合会很有帮助。威胁者和向量会按照其动机和对资源的访问进行分类。其目的是让您了解每种区域的安全顾虑，具体取决于您的目标。

必须仔细配置跨多个安全区（具有不同信任级别或身份验证要求）的组件。这些连接通常是网络架构的弱点，并且应始终配置为满足所连接任何区域的最高信任级别。在很多情况下，安全控制所连接的区域应该是一个主要关注，因为攻击的可能性。区域满足点会产生额外的攻击服务，并为攻击者添加对部署更敏感部分的攻击机会。

在某些情况下，OpenStack 操作员可能需要考虑保护集成点比它所在的任何区域更高的标准。根据上述 API 端点示例，一个 adversary 可能会将公共 API 端点从 public 区域为目标，利用此 foot 代表在管理区中破坏或获取对管理区内内部或管理 API 的访问权限（如果这些区没有被完全隔离）。

OpenStack 的设计是很难分离安全区。由于核心服务通常至少跨越两个区域，因此在将安全控制应用到它们时，必须考虑特殊考虑。

大多数类型的云部署、公共、私有或混合云都暴露于某种形式的攻击。本节对攻击者进行分类，并总结每个安全区中潜在的攻击类型。

支持整个红帽解决方案堆栈是安全的软件供应链。红帽安全战略的基石是，这种战略性重要的实践和流程旨在交付具有安全内置前期和支持的解决方案。红帽采取的具体步骤包括：

此外，红帽还维护了一个专门的安全团队，针对我们的产品分析威胁和漏洞，并通过客户门户网站提供相关建议和更新。这个团队决定哪些问题很重要，而不是与大多数理论问题相关的问题。红帽产品安全团队在维护了专业技术方面，并对与订阅产品关联的上游社区做出了大量贡献。红帽安全公告 （红帽安全公告）的一个主要部分提供了影响红帽解决方案的安全缺陷通知 - 通常会在漏洞首次发布之日提供相关的补丁程序。

在某些情况下，需要确保 OpenStack 部署中网络流量的保密性或完整性。您通常使用加密措施（如 TLS 协议）进行配置。在典型的部署中，通过公共网络传输的所有流量都应强化，但安全良好的实践要求内部流量也必须受到保护。它不足而无法依赖安全区分离来保护。如果攻击者可以获得虚拟机监控程序或主机资源的访问权限，请危害 API 端点或任何其他服务，他们必须能够轻松地注入或捕获消息、命令或以其他方式影响云的管理功能。

您应该安全强化使用 TLS 的所有区域，包括管理区域服务和内部服务通信。TLS 提供了相应的机制，可确保身份验证、非对 OpenStack 服务的用户通信以及 OpenStack 服务本身之间的保密性、保密性和完整性。

由于安全套接字层(SSL)协议中发布的漏洞，请考虑使用 TLS 1.2 或更高版本到 SSL，且所有情况下都禁用了 SSL，除非您需要与过时的浏览器或库兼容。

$ ./cipherscan https://openstack.lab.local
..............................
Target: openstack.lab.local:443

prio  ciphersuite                  protocols  pfs                 curves
1     ECDHE-RSA-AES128-GCM-SHA256  TLSv1.2    ECDH,P-256,256bits  prime256v1
2     ECDHE-RSA-AES256-GCM-SHA384  TLSv1.2    ECDH,P-256,256bits  prime256v1
3     DHE-RSA-AES128-GCM-SHA256    TLSv1.2    DH,1024bits         None
4     DHE-RSA-AES256-GCM-SHA384    TLSv1.2    DH,1024bits         None
5     ECDHE-RSA-AES128-SHA256      TLSv1.2    ECDH,P-256,256bits  prime256v1
6     ECDHE-RSA-AES256-SHA384      TLSv1.2    ECDH,P-256,256bits  prime256v1
7     ECDHE-RSA-AES128-SHA         TLSv1.2    ECDH,P-256,256bits  prime256v1
8     ECDHE-RSA-AES256-SHA         TLSv1.2    ECDH,P-256,256bits  prime256v1
9     DHE-RSA-AES128-SHA256        TLSv1.2    DH,1024bits         None
10    DHE-RSA-AES128-SHA           TLSv1.2    DH,1024bits         None
11    DHE-RSA-AES256-SHA256        TLSv1.2    DH,1024bits         None
12    DHE-RSA-AES256-SHA           TLSv1.2    DH,1024bits         None
13    ECDHE-RSA-DES-CBC3-SHA       TLSv1.2    ECDH,P-256,256bits  prime256v1
14    EDH-RSA-DES-CBC3-SHA         TLSv1.2    DH,1024bits         None
15    AES128-GCM-SHA256            TLSv1.2    None                None
16    AES256-GCM-SHA384            TLSv1.2    None                None
17    AES128-SHA256                TLSv1.2    None                None
18    AES256-SHA256                TLSv1.2    None                None
19    AES128-SHA                   TLSv1.2    None                None
20    AES256-SHA                   TLSv1.2    None                None
21    DES-CBC3-SHA                 TLSv1.2    None                None

Certificate: trusted, 2048 bits, sha256WithRSAEncryption signature
TLS ticket lifetime hint: None
NPN protocols: None
OCSP stapling: not supported
Cipher ordering: server
Curves ordering: server - fallback: no
Server supports secure renegotiation
Server supported compression methods: NONE
TLS Tolerance: yes

Intolerance to:
 SSL 3.254           : absent
 TLS 1.0             : PRESENT
 TLS 1.1             : PRESENT
 TLS 1.2             : absent
 TLS 1.3             : absent
 TLS 1.4             : absent

Intolerance to:
 SSL 3.254           : absent
 TLS 1.0             : PRESENT
 TLS 1.1             : PRESENT
 TLS 1.2             : absent
 TLS 1.3             : absent
 TLS 1.4             : absent

OpenStack 端点是 HTTP 服务，为公共网络上的最终用户提供 API，以及管理网络上的其他 OpenStack 服务。目前，您可以使用 TLS 加密外部请求。要在 Red Hat OpenStack Platform 中配置此功能，您可以在 HAproxy 后部署 API 服务，该服务能够建立和终止 TLS 会话。

如果软件终止提供性能不足，则可能需要探索硬件加速器作为替代选项。此方法需要在平台上进行额外的配置，而并非所有硬件负载均衡器都可能与红帽 OpenStack 平台兼容。请记住，任何选择的 TLS 代理将处理的请求大小非常重要。

OpenStack Key Manager (barbican)是 Red Hat OpenStack Platform 的 secret Manager。您可以使用 barbican API 和命令行集中管理 OpenStack 服务使用的证书、密钥和密码。Barbican 目前支持以下用例：

在本发行版本中，barbican 提供与 cinder、swift、Octavia 和 Compute (nova)组件集成。例如，您可以将 barbican 用于以下用例：

如需更多信息，请参阅 Barbican 指南： https://access.redhat.com/documentation/en-us/red_hat_openstack_platform/16.0/html-single/manage_secrets_with_openstack_key_manager/

本节包含有关身份的概念信息。

身份服务支持组和角色概念。在组拥有角色列表时，用户从属于组。OpenStack 服务引用试图访问该服务的用户的角色。OpenStack 策略强制中间件考虑与各个资源关联的策略规则，然后用户的组/角色与关联来确定是否允许访问所请求的资源。

每个 OpenStack 服务都包含由访问策略管理的资源。例如，资源可能包含以下功能：

作为 Red Hat OpenStack Platform (RHOSP)管理员，您可能需要创建自定义策略来引入具有不同访问级别的新角色，或者更改现有角色的默认行为。您还需要在更改后验证 API 访问策略，并在无法正常工作时调试这些策略。在生产部署之外验证和调试策略，其中语法错误可能会导致停机，错误应用的授权可能会对安全性或可用性产生负面影响。

"identity:create_user": "rule:admin_required"

"identity:create_user": "!"

"os_compute_api:os-keypairs:delete": "rule:admin_api or user_id:%(user_id)s"

"admin_or_owner": "is_admin:True or project_id:%(project_id)s"

"admin_or_user": "is_admin:True or user_id:%(user_id)s"
"os_compute_api:os-instance-actions": "rule:admin_or_user"

对用户进行身份验证后，将生成令牌以授权和访问 OpenStack 环境。令牌可以具有变量生命周期范围，但到期的默认值是一小时。推荐的过期值应设置为一个较低值，以便内部服务有足够的时间来完成任务。如果令牌在任务完成前过期，云可能会变得无响应或停止提供服务。在使用期间，计算服务将磁盘镜像传输到管理程序管理程序以进行本地缓存所需要的时间示例。

令牌通常在身份服务响应较大上下文的结构内传递。这些响应还提供各种 OpenStack 服务的目录。每个服务都列出其名称，以及内部、管理和公共访问权限的访问端点。身份服务支持令牌撤销。此清单作为用于撤销令牌的 API，列出已撤销的令牌和个别 OpenStack 服务，用于缓存令牌以查询已撤销的令牌，并将它们从缓存的已撤销令牌列表中删除。Fernet 令牌是 Red Hat OpenStack Platform 16.0 中唯一支持的令牌。

Keystone 域是高级别安全界限，逻辑分组项目、用户和组。因此，它们可用于集中管理所有基于 Keystone 的身份组件。随着帐户域、服务器、存储和其他资源的引入，现在可逻辑分组为多个项目（以前称为称为租户），它们本身可以在主帐户容器下分组。此外，还可在帐户域内管理多个用户，并为每个项目分配不同的角色。

身份 V3 API 支持多个域。不同域的用户可能会在不同的身份验证后端表示。它们甚至可能具有不同的属性，它们必须映射到一组角色和特权，这些属性在策略定义中使用的，以访问各种服务资源。

如果规则可能仅指定管理员用户和属于项目的用户的访问权限，则映射可能很简单。在其他情况下，云管理员可能需要批准每个项目的映射例程。

特定于域的身份验证驱动程序允许使用特定域的配置文件为多个域配置身份服务。启用驱动程序并设置特定于域的配置文件位置，发生在 /var/lib/config-data/puppet-generated/keystone/keystone.conf 文件的 [identity] 部分中。例如：

[identity]
domain_specific_drivers_enabled = True
domain_config_dir = /var/lib/config-data/puppet-generated/keystone/etc/keystone/domains/

任何没有特定域配置文件的域都将在主 /var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf 文件中使用选项。

联合身份是一种在身份提供商和服务提供程序(SP)之间建立信任的机制。在本例中，服务提供程序是由 OpenStack 云提供的服务。

对于身份验证和授权服务，OpenStack 身份模型将外部身份验证数据库视为单独的 Keystone 域。每个联合认证机制都与 keystone 域关联，支持多个共存域。您可以使用角色向外部域中的用户授予对云中资源的访问权限；这种方法也可以在跨域多项目部署中工作。这种方法还对每组件策略造成影响，因为并非所有 OpenStack 角色都可以映射到外部经过身份验证的用户。例如，如果外部身份验证数据库中的用户要求管理访问权限与 admin 域中的 admin 用户类似，则通常会有其他配置和考虑。

联合身份提供了一种使用现有凭证的方式，通过一组凭证在多个授权云中提供的多个端点（如服务器、卷和数据库）访问云资源，而无需多次置备额外的身份或登录。该凭据由用户的身份提供程序维护。

身份服务可以在 SQL 数据库中存储用户凭据，也可以使用与 LDAP 兼容的目录服务器。Identity 数据库可能与其他 OpenStack 服务使用的数据库分开，以减少被存储凭证的破坏的风险。

当您使用用户名和密码进行身份验证时，身份不会对密码强度、过期或失败的身份验证尝试强制执行策略。要强制使用更强大的密码策略的组织应考虑使用身份扩展或外部身份验证服务。

LDAP 简化了将身份身份验证集成到组织的现有目录服务和用户帐户管理流程中。OpenStack 中的身份验证和授权策略可能会委派给其他服务。典型的用例是寻求部署私有云的组织，已在 LDAP 系统中拥有员工和用户的数据库。使用此作为身份验证授权机构，对身份服务的请求被委派给 LDAP 系统，然后根据其策略授权或拒绝。身份验证成功后，身份服务会生成令牌，用于访问授权服务。

请注意，如果 LDAP 系统为用户定义了属性，如 admin、finance、HR 等用户，则必须将它们映射到身份中的角色和组，以供各种 OpenStack 服务使用。/var/lib/config-data/puppet-generated/keystone/etc/keystone/keystone.conf 文件将 LDAP 属性映射到身份属性。

您可以使用 Red Hat Single Sign-On (RH-SSO)来联合您的 IdM 用户进行 OpenStack 身份验证(authN)。通过联合，您的 IdM 用户无需向任何 OpenStack 服务公开凭证，即可登录 OpenStack 控制面板。相反，当仪表板需要用户凭证时，它会将用户转发到 Red Hat Single Sign-On (RH-SSO)，并允许他们输入其 IdM 凭证。因此，RH-SSO 断言回到控制面板，该用户已成功通过了身份验证，然后控制面板则允许用户访问该项目。

3.7.1. 联合工作流

本节论述了如何 keystone、RH-SSO 和 IdM 相互交互。OpenStack 中的联合使用身份提供程序和服务提供程序的概念：

Identity Provider (IdP)- 存储用户帐户的服务。在本例中，IdM 中保存的用户帐户将使用 RH-SSO 向 Keystone 呈现。

服务提供商 (SP)- 需要来自 IdP 中用户进行身份验证的服务。在本例中，keystone 是向 IdM 用户授予 Dashboard 访问权限的服务供应商。

在下图中，keystone (SP)与 RH-SSO ( IdP)通信，它提供了必要的 SAML2 WebSSO。RH-SSO 也可以作为其他 IdP 的通用适配器。在此配置中，您可以在 RH-SSO 上指向 keystone，RH-SSO 会将请求转发到它支持（称为身份验证模块）的身份提供商中，它们目前包括 IdM 和 Active Directory。这可以通过将服务提供商(SP)和身份提供程序(IdP)交换元数据来完成，然后每个系统管理员都做出信任决定。结果是 IdP 可以自信地进行断言，SP 就可以收到这些断言。

如需更多信息，请参阅联合指南： https://access.redhat.com/documentation/en-us/red_hat_openstack_platform/16.0/html-single/federate_with_identity_service/

身份服务(keystone)可验证在基于 LDAP 的服务中存储的用户帐户，如 Microsoft Active Directory Domain Services (AD DS)和 Red Hat Identity Management (IdM)。在这种情况下，keystone 具有 LDAP 用户数据库身份验证的只读访问权限，并可通过分配给身份验证的帐户的 authZ 权限保留管理。authZ 功能（权限、角色、项目）仍由 keystone 执行，其中的权限和角色通过 keystone 管理工具分配给 LDAP 帐户。

3.8.1. LDAP 集成如何工作

在下图中，keystone 使用加密的 LDAPS 连接连接到 Active Directory 域控制器。当用户登录到 horizon 时，keystone 会收到提供的用户凭据，并将它们传递给 authZ 的 Active Directory。

有关将 OpenStack 与 AD DS 和 IdM 集成相关的信息，请参阅集成指南 ：https://access.redhat.com/documentation/en-us/red_hat_openstack_platform/16.0/html-single/integrate_with_identity_service/

在 overcloud 上运行的 OpenStack 服务通过其身份服务(keystone)凭据进行身份验证。这些密码在初始部署过程中生成，并定义为 heat 参数。例如：

            'MistralPassword',
            'BarbicanPassword',
            'AdminPassword',
            'CeilometerMeteringSecret',
            'ZaqarPassword',
            'NovaPassword',
            'MysqlRootPassword'

您可以使用工作流服务(mistral)工作流轮转服务帐户使用的密码。但是，如果密码在 DO_NOT_ROTATE 中列出，则不会轮转密码，如密钥加密密钥(KEK)和 Fernet 密钥：

DO_NOT_ROTATE_LIST = (
    'BarbicanSimpleCryptoKek',
    'SnmpdReadonlyUserPassword',
    'KeystoneCredential0',
    'KeystoneCredential1',
    'KeystoneFernetKey0',
    'KeystoneFernetKey1',
    'KeystoneFernetKeys',
)

这些密码位于 DO_NOT_ROTATE 列表中，原因如下：

使用以下步骤轮转符合条件的密码。下次运行 openstack overcloud deploy 命令完成堆栈更新时，会应用您轮转的密码更改。在环境文件中指定的任何密码都优先于使用此方法的密码更改。有关中断要求和服务影响的详情，请参考中断要求。

当您更改 overcloud 服务帐户的密码时，可能会发生中断要求和服务影响。

在堆栈更新过程中轮转密码后，旧密码将变为无效。因此，服务在经过了 HTTP 401 错误时无法使用，它会使新密码添加到服务配置设置中。

另外，您可能会在更改支持服务的密码时（包括 MySQL、RabbitMQ 和高可用性）时遇到短暂的中断。

您的操作步骤应该可以了解新的漏洞和安全更新。硬件和软件供应商通常宣布漏洞存在，并可能会提供解决方案和补丁来解决这些漏洞。

红帽产品安全团队维护站点，以帮助您了解安全更新：

您需要确保 Red Hat OpenStack Platform 集群中的系统在系统间具有准确且一致的时间戳。RHEL8 上的 Red Hat OpenStack Platform 支持 Chrony 进行时间管理。如需更多信息 ，请参阅使用 Chrony 套件配置 NTP。

本节介绍计算(nova)的安全性注意事项。

system_u:object_r:svirt_image_t:SystemLow image1
system_u:object_r:svirt_image_t:SystemLow image2
system_u:object_r:svirt_image_t:SystemLow image3
system_u:object_r:svirt_image_t:SystemLow image4

system_u:object_r:svirt_image_t:s0:c87,c520 image1
system_u:object_r:svirt_image_t:s0:419,c172 image2

OpenStack Block Storage (cinder)是一种为自助服务提供软件（服务和库）的服务，负责管理持久块级存储设备。这会创建对块存储资源的按需访问，以用于计算(nova)实例。这通过将块存储池虚拟化到各种后端存储设备池（可以是软件实施或传统硬件存储产品）来创建软件定义型存储。这个功能的主要功能是管理块设备的创建、附加和分离。用户无需了解后端存储设备的类型或所在的位置。

计算实例使用行业标准存储协议（如 iSCSI、ATA over Ethernet 或 Fibre-Channel）存储和检索块存储。这些资源通过 OpenStack 原生标准 HTTP RESTful API 管理和配置。

$ stat -L -c "%U %G" /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf | egrep "root cinder"
$ stat -L -c "%U %G" /var/lib/config-data/puppet-generated/cinder/etc/cinder/api-paste.ini | egrep "root cinder"
$ stat -L -c "%U %G" /var/lib/config-data/puppet-generated/cinder/etc/cinder/policy.json | egrep "root cinder"
$ stat -L -c "%U %G" /var/lib/config-data/puppet-generated/cinder/etc/cinder/rootwrap.conf | egrep "root cinder"

$ stat -L -c "%a" /var/lib/config-data/puppet-generated/cinder/etc/cinder/cinder.conf
$ stat -L -c "%a" /var/lib/config-data/puppet-generated/cinder/etc/cinder/api-paste.ini
$ stat -L -c "%a" /var/lib/config-data/puppet-generated/cinder/etc/cinder/policy.json
$ stat -L -c "%a" /var/lib/config-data/puppet-generated/cinder/etc/cinder/rootwrap.conf

OpenStack 网络服务(neutron)使最终用户或项目能够定义和使用网络资源。除了编排网络配置外，OpenStack 网络还提供面向项目的 API，用于为云中的实例定义网络连接和 IP 寻址。过渡到以 API 为中心的联网服务后，云架构师和管理员应考虑保护物理网络基础架构和服务的良好做法。

OpenStack 网络设计为一个插件架构，通过开源社区或第三方服务提供 API 的可扩展性。在评估您的架构设计需求时，务必要确定 OpenStack 网络核心服务中提供的哪些功能、第三方产品所提供的任何其他服务，以及在物理基础架构中实施哪些补充服务。

本节是实施 OpenStack 网络时应考虑哪些流程和良好实践的高级概述。

5.5.1. 网络架构

OpenStack 网络是一种独立服务，可在多个节点上部署多个进程。这些进程与其他 OpenStack 服务和其他 OpenStack 服务交互。OpenStack 网络服务的主要进程是 neutron-server，它是一个 Python 守护进程，它公开 OpenStack 网络 API，并将项目请求传递到一组用于额外处理的插件。

OpenStack 网络组件包括：

• Neutron 服务器(neutron-server 和 neutron-*-plugin) - neutron-server 服务在 Controller 节点上运行，以服务网络 API 及其扩展（或插件）。它还强制执行每个端口的网络模型和 IP 寻址。neutron-server 需要直接访问持久数据库。代理可通过 neutron-server 间接访问数据库，以便使用 AMQP （高级消息队列协议）进行通信。
• Neutron 数据库 - 数据库是 neutron 信息的集中式来源，API 会记录数据库中的所有事务。这允许多个 Neutron 服务器共享同一个数据库集群，将它们保持同步，并允许持久性网络配置拓扑。
• 插件代理(neutron-*-agent) - 在每个计算节点上运行，以及 L3 和 DHCP 代理（与 L3 和 DHCP 代理一致）来管理本地虚拟交换机(vswitch)配置。enabled 插件决定启用哪些代理。这些服务需要消息队列访问，具体要看所使用的插件、访问外部网络控制器或 SDN 实施。某些插件，如 OpenDaylight (ODL)和 Open Virtual Network (OVN)，不需要计算节点上任何 python 代理，只需要为集成需要启用的 Neutron 插件。
• DHCP 代理(neutron-dhcp-agent) - 为项目网络提供 DHCP 服务。这个代理在所有插件中都相同，它负责维护 DHCP 配置。neutron-dhcp-agent 需要消息队列访问。根据插件的可选功能。
• 元数据代理(neutron-metadata-agent,neutron-ns-metadata-proxy) - 提供用于应用实例操作系统配置和用户提供的初始脚本（用户数据）的元数据服务。实施需要 L3 或 DHCP 代理命名空间中运行的 neutron-ns-metadata-proxy 截获 cloud-init 发送的元数据 API 请求，以代理到元数据代理。
• L3 代理(neutron-l3-agent) - 为项目网络上虚拟机的外部网络访问提供 L3/NAT 转发。需要消息队列访问。根据插件的可选功能。
• 网络提供程序服务(SDN server/services) - 为项目网络提供额外的网络服务。这些 SDN 服务可以通过 REST API 等通信通道与 neutron-server、neutron-plugin 和 插件代理交互。

下图显示了 OpenStack 网络组件的架构和网络流程图：

请注意，当使用分布式虚拟路由(DVR)和第 3 层高可用性(L3HA)时，这种方法会有很大变化。这些模式会改变 neutron 的安全状况，因为 L3HA 在路由器之间实现 VRRP。部署需要正确调整并强化，以帮助缓解对路由器的 DoS 攻击，而且路由器之间的本地网络流量必须被视为敏感，以帮助解决 VRRP 欺骗的威胁。DVR 将网络组件（如路由）移到 Compute 节点，同时仍然需要网络节点。因此，计算节点需要访问公共网络或从公共网络进行访问，增加其暴露，并要求客户进行额外的安全性考虑，因为需要确保防火墙规则和安全模型支持此方法。

5.5.1.1. Neutron 服务在物理服务器上放置

本节介绍了包括控制器节点、网络节点以及一组用于运行实例的计算节点的标准架构。要为物理服务器建立网络连接，典型的 neutron 部署最多可有四个不同的物理数据中心网络：

• 管理网络 - 用于 OpenStack 组件之间的内部通信。此网络上的 IP 地址应该只能在数据中心访问，并被视为管理安全区域。默认情况下，管理网络角色由 内部 API 网络执行。
• 客户机网络 - 用于云部署中的虚拟机数据通信。此网络的 IP 寻址要求取决于所使用的 OpenStack 网络插件，以及项目所提出的虚拟网络的网络配置选择。此网络被视为客户机安全区域。
• 外部网络 - 在一些部署场景中用于为虚拟机提供互联网访问功能。此网络上的 IP 地址应该可以被 Internet 上的任何人访问。此网络被视为在公共安全区中。该网络由 neutron External networks 提供。这些 neutron VLAN 托管在外部网桥上。它们不是由 Red Hat OpenStack Platform director 创建，而是在部署后由 neutron 创建。
• 公共 API 网络 - 将所有 OpenStack API （包括 OpenStack 网络 API）公开给项目。此网络上的 IP 地址应该可以被 Internet 上的任何人访问。这可能与外部网络相同，因为可以为外部网络创建子网，它使用 IP 分配范围小于 IP 块中的完整 IP 地址范围。此网络被视为在公共安全区中。

建议您将此流量划分为不同的区。如需更多信息，请参见下一节。

5.5.2. 使用安全区

建议您使用安全区的概念来保持关键系统相互独立。实际上，这意味着使用 VLAN 和防火墙规则隔离网络流量。这应该以更细致的方式完成，结果应该是只有需要连接到 neutron 的服务才能这样做。

在下图中，您可以看到创建了该区来分离某些组件：

• 仪表板：可以访问公共网络和管理网络。
• Keystone：可以访问管理网络。
• Compute 节点：可以访问管理网络和计算实例。
• 网络节点：根据使用的 neutron-plugin，可以访问管理网络、计算实例和可能公共网络。
• SDN 服务节点：管理服务、计算实例和可能公开，具体取决于所使用的产品和配置。

.

# Address to bind the API server
bind_host = IP ADDRESS OF SERVER

# Port the bind the API server to
bind_port = 9696

quota_driver = neutron.db.quota_db.DbQuotaDriver

$ stat -L -c "%U %G" /var/lib/config-data/puppet-generated/neutron/etc/neutron/neutron.conf | egrep "root neutron"
$ stat -L -c "%U %G" /var/lib/config-data/puppet-generated/neutron/etc/neutron/api-paste.ini | egrep "root neutron"
$ stat -L -c "%U %G" /var/lib/config-data/puppet-generated/neutron/etc/neutron/policy.json | egrep "root neutron"
$ stat -L -c "%U %G" /var/lib/config-data/puppet-generated/neutron/etc/neutron/rootwrap.conf | egrep "root neutron"

$ stat -L -c "%a" /var/lib/config-data/puppet-generated/neutron/etc/neutron/neutron.conf
$ stat -L -c "%a" /var/lib/config-data/puppet-generated/neutron/etc/neutron/api-paste.ini
$ stat -L -c "%a" /var/lib/config-data/puppet-generated/neutron/etc/neutron/policy.json
$ stat -L -c "%a" /var/lib/config-data/puppet-generated/neutron/etc/neutron/rootwrap.conf

您可以设置向所有通过 SSH 连接的用户显示控制台消息的横幅。您可以使用环境文件中的以下参数向 /etc/issue 添加横幅文本。考虑自定义此示例文本以符合您的要求。

    resource_registry:
      OS::TripleO::Services::Sshd: ../puppet/services/sshd.yaml

    parameter_defaults:
      BannerText: |
        ******************************************************************
        * This system is for the use of authorized users only. Usage of  *
        * this system may be monitored and recorded by system personnel. *
        * Anyone using this system expressly consents to such monitoring *
        * and is advised that if such monitoring reveals possible        *
        * evidence of criminal activity, system personnel may provide    *
        * the evidence from such monitoring to law enforcement officials.*
        ******************************************************************

要将此更改应用到部署，请将设置保存为名为 ssh_banner.yaml 的文件，然后将它传递给 overcloud deploy 命令，如下所示：& lt;full environment > 表示您必须仍包含所有原始部署参数。例如：

    openstack overcloud deploy --templates \
      -e <full environment> -e  ssh_banner.yaml

维护所有审计事件的记录可帮助您建立系统基准、执行故障排除或分析导致特定结果的事件序列。审计系统能够记录许多类型的事件，如更改系统时间、对 Mandatory/Discretionary Access Control 的更改，以及创建/删除用户或组。

可使用环境文件创建规则，这些文件随后由 director 注入到 /etc/audit/audit.rules 中。例如：

    resource_registry:
      OS::Tripleo::Services::AuditD: /usr/share/openstack-tripleo-heat-templates/deployment/auditd/auditd-baremetal-puppet.yaml
    parameter_defaults:
      AuditdRules:
        'Record Events that Modify User/Group Information':
          content: '-w /etc/group -p wa -k audit_rules_usergroup_modification'
          order  : 1
        'Collects System Administrator Actions':
          content: '-w /etc/sudoers -p wa -k actions'
          order  : 2
        'Record Events that Modify the Systems Mandatory Access Controls':
          content: '-w /etc/selinux/ -p wa -k MAC-policy'
          order  : 3

防火墙规则会部署期间自动应用于 overcloud 节点上，并且设计为仅公开获取 OpenStack 正常工作所需的端口。您可以根据需要指定其他防火墙规则。例如，要为 Zabbix 监控系统添加规则：

    parameter_defaults:
      ControllerExtraConfig:
        tripleo::firewall::firewall_rules:
          '301 allow zabbix':
            dport: 10050
            proto: tcp
            source: 10.0.0.8
            action: accept

您还可以添加限制访问的规则。规则定义中使用的数字将决定规则的优先级。例如，RabbitMQ 的规则编号默认为 109。如果要限制它，请将其切换以使用较低值：

    parameter_defaults:
      ControllerExtraConfig:
        tripleo::firewall::firewall_rules:
          '098 allow rabbit from internalapi network':
            dport: [4369,5672,25672]
            proto: tcp
            source: 10.0.0.0/24
            action: accept
          '099 drop other rabbit access':
            dport: [4369,5672,25672]
            proto: tcp
            action: drop

在这个示例中，098 和 099 是任意选择的数字，其小于 RabbitMQ 的规则编号 109。要确定规则的数量，您可以检查相应节点上的 iptables 规则；对于 RabbitMQ，您可以检查控制器：

iptables-save
[...]
-A INPUT -p tcp -m multiport --dports 4369,5672,25672 -m comment --comment "109 rabbitmq" -m state --state NEW -j ACCEPT

或者，您还可以从 puppet 定义中提取端口要求。例如，RabbitMQ 的规则存储在 puppet/services/rabbitmq.yaml 中：

    tripleo.rabbitmq.firewall_rules:
      '109 rabbitmq':
        dport:
          - 4369
          - 5672
          - 25672

可以为规则设置以下参数：

AIDE （高级入侵检测环境）是一个文件和目录完整性检查程序。它用于检测未经授权的文件修改或更改的事件。例如，如果更改了系统密码文件，AIDE 可以提醒您。

AIDE 通过分析系统文件，然后编译文件哈希完整性数据库来实现。然后，数据库充当一个比较点，以验证文件和目录的完整性并检测更改。

director 包括 AIDE 服务，允许您将条目添加到 AIDE 配置中，然后供 AIDE 服务用于创建完整性数据库。例如：

  resource_registry:
  OS::TripleO::Services::Aide: ../puppet/services/aide.yaml

  parameter_defaults:
    AideRules:
      'TripleORules':
        content: 'TripleORules = p+sha256'
        order: 1
      'etc':
        content: '/etc/ TripleORules'
        order: 2
      'boot':
        content: '/boot/ TripleORules'
        order: 3
      'sbin':
        content: '/sbin/ TripleORules'
        order: 4
      'var':
        content: '/var/ TripleORules'
        order: 5
      'not var/log':
        content: '!/var/log.*'
        order: 6
      'not var/spool':
        content: '!/var/spool.*'
        order: 7
      'not nova instances':
        content: '!/var/lib/nova/instances.*'
        order: 8

有关 AIDE 配置文件可用属性的完整列表，请参见 的 AIDE MAN 页面。https://aide.github.io/

要将此更改应用到您的部署，请将设置保存为名为 aide.yaml 的文件，然后将它传递给 overcloud deploy 命令，如下所示：& lt;full environment > 表示您必须仍包含所有原始部署参数。例如：

openstack overcloud deploy --templates -e <full environment> /usr/share/openstack-tripleo-heat-templates/environments/aide.yaml

    MyAlias = p+i+n+u+g+s+b+m+c+sha512

securetty 允许您禁用任何控制台设备(tty)的 root 访问权限。此行为由 /etc/securetty 文件中的条目管理。例如：

  resource_registry:
    OS::TripleO::Services::Securetty: ../puppet/services/securetty.yaml

  parameter_defaults:
    TtyValues:
      - console
      - tty1
      - tty2
      - tty3
      - tty4
      - tty5
      - tty6

全面的审计流程可帮助您审查 OpenStack 部署的持续安全状况。由于在安全模型中的角色，这对 keystone 来说尤其重要。

Red Hat OpenStack Platform 已将云审计数据 Federation (CADF)作为审计事件的数据格式，并且 keystone 服务为 Identity and Token 操作生成 CADF 事件。您可以使用 KeystoneNotificationFormat 为 keystone 启用 CADF 审计：

  parameter_defaults:
    KeystoneNotificationFormat: cadf

要强制新系统用户的密码要求（非keystone），director 可以根据以下示例参数在 /etc/login.defs 中添加条目：

  resource_registry:
    OS::TripleO::Services::LoginDefs: ../puppet/services/login-defs.yaml

  parameter_defaults:
    PasswordMaxDays: 60
    PasswordMinDays: 1
    PasswordMinLen: 5
    PasswordWarnAge: 7
    FailDelay: 4

本节论述了部署 Dashboard (horizon)服务前需要考虑的安全方面。

本章论述了如何帮助缓解一些常见 Web 服务器漏洞。

    parameter_defaults:
      ControllerExtraConfig:
        horizon::disallow_iframe_embed: false

enable_secure_proxy_ssl_header: true

控制面板依赖于一些安全功能的共享 SECRET_KEY 设置。secret 键应该是随机生成的字符串，长度至少为 64 个字符，必须在所有活跃的仪表板实例间共享。这个密钥的破坏可能会允许远程攻击者执行任意代码。轮转此键使现有用户会话和缓存无效。不要将此密钥提交到公共存储库。

对于 director 部署，此设置作为 HorizonSecret 值进行管理。

控制面板会话 Cookie 可以打开以浏览器技术（如 JavaScript）进行交互。对于含有 TLS 的 director 部署，您可以使用 HorizonSecureCookies 设置强化此行为。

仪表板的静态介质应部署到仪表板域的子域，并由 Web 服务器提供。另外，也可以使用外部内容交付网络(CDN)。此子域不应设置 Cookie 或提供用户提供的内容。介质也应使用 HTTPS 提供。

仪表板的默认配置使用 django_compressor 在提供之前压缩和 minify CSS 和 JavaScript 内容。部署仪表板之前，应该静态执行这个过程，而不是使用默认的动态压缩方式，并将生成的文件与部署的代码或 CDN 服务器一起复制。在非生产构建环境中应进行压缩。如果这不实际，请考虑完全禁用资源压缩。不应在生产机器上安装在线压缩依赖关系（无，Node.js）。

OpenStack Dashboard (horizon)可以使用密码验证检查来强制实施密码复杂性。

您可以指定一个用于密码验证的正则表达式，以及为失败的测试显示帮助文本。以下示例要求用户在长度为 8 到 18 个字符之间创建密码：

    parameter_defaults:
      HorizonPasswordValidator: '^.{8,18}$'
      HorizonPasswordValidatorHelp: 'Password must be between 8 and 18 characters.'

要将此更改应用到部署，请将设置保存为名为 horizon_password.yaml 的文件，然后将它传递给 overcloud deploy 命令，如下所示：& lt;full environment > 表示您必须仍包含所有原始部署参数。例如：

    openstack overcloud deploy --templates \
      -e <full environment> -e  horizon_password.yaml

默认情况下，以下设置被设置为 True，但在需要时可禁用它。

控制面板中的 local_settings.py 文件中的 ENFORCE_PASSWORD_CHECK 设置显示 Change Password 表单上的 Admin Password 字段，这有助于验证管理员正在启动密码更改。

您可以使用环境文件禁用 ENFORCE_PASSWORD_CHECK ：

    parameter_defaults:
      ControllerExtraConfig:
        horizon::enforce_password_check: false

DISALLOW_IFRAME_EMBED 设置不允许在 iframe 中嵌入 Dashboard。旧浏览器仍容易受到不同的Frame 脚本编写(XFS)漏洞的影响，因此这个选项为不需要的部署添加额外的安全强化。默认情况下，设置为 True，但可以根据需要使用环境文件禁用该设置。例如，您可以使用以下参数允许 iframe 嵌入：

    parameter_defaults:
      ControllerExtraConfig:
        horizon::disallow_iframe_embed: false

默认情况下，以下设置被设置为 True，但在需要时可禁用它。

通过密码显示按钮，可以在控制面板查看他们要输入的密码。可以使用 DISABLE_PASSWORD_REVEAL 参数切换这个选项：

    parameter_defaults:
      ControllerExtraConfig:
        horizon::disable_password_reveal: false

许多监管的行业，如 HIPAA、PCI-DSS 和 U.S。政府要求您显示用户登录横幅。仪表板服务在容器内运行，因此您将需要自定义 Dashboard 容器镜像来应用横幅。有关自定义 Dashboard 容器的更多信息，请参阅 https://access.redhat.com/documentation/en-us/red_hat_openstack_platform/16.0/html-single/introduction_to_the_openstack_dashboard/index#dashboard-customization。

您可以选择配置仪表板来限制文件上传的大小；此设置可能是各种安全强化政策的要求。

LimitRequestBody - 此值（以字节为单位）限制您可以使用控制面板传输的文件的最大大小，如镜像和其他大文件。

例如，此设置限制每个文件上传的最大大小为 10 GB (10737418240)。您需要调整这个值以适应您的部署。

建议您在生产环境中将 DEBUG 设置设为 False。如果设置为 True，则 Django 可能会将堆栈追踪输出到包含敏感 Web 服务器状态信息的浏览器用户。另外，DEBUG 模式可以禁用 ALLOWED_HOSTS，这可能是因为您的要求而意外的结果。

Manila 通过 keystone 注册，允许您使用 manila endpoint 命令找到 API。例如：

 $ manila endpoints
 +-------------+-----------------------------------------+
 | manila      | Value                                   |
 +-------------+-----------------------------------------+
 | adminURL    | http://172.18.198.55:8786/v1/20787a7b...|
 | region      | RegionOne                               |
 | publicURL   | http://172.18.198.55:8786/v1/20787a7b...|
 | internalURL | http://172.18.198.55:8786/v1/20787a7b...|
 | id          | 82cc5535aa444632b64585f138cb9b61        |
 +-------------+-----------------------------------------+

 +-------------+-----------------------------------------+
 | manilav2    | Value                                   |
 +-------------+-----------------------------------------+
 | adminURL    | http://172.18.198.55:8786/v2/20787a7b...|
 | region      | RegionOne                               |
 | publicURL   | http://172.18.198.55:8786/v2/20787a7b...|
 | internalURL | http://172.18.198.55:8786/v2/20787a7b...|
 | id          | 2e8591bfcac4405fa7e5dc3fd61a2b85        |
 +-------------+-----------------------------------------+

默认情况下，manila API 服务只侦听带有 tcp6 的端口 8786，它支持 IPv4 和 IPv6。

Manila 使用多个配置文件；这些文件存储在 /var/lib/config-data/puppet-generated/manila/ 中：

 api-paste.ini
 manila.conf
 policy.json
 rootwrap.conf
 rootwrap.d

 ./rootwrap.d:
 share.filters

建议您将 manila 配置为在非 root 服务帐户下运行，并更改文件权限，以便只有系统管理员才能修改它们。Manila 要求只有管理员能够写入配置文件，服务只能通过 manila 组中的组成员资格读取它们。其他用户不得读取这些文件，因为它们包含服务帐户密码。

manila 中的共享驱动程序是一个 Python 类，可以针对后端设置来管理共享操作，其中一些是特定于供应商的。后端是 manila-share 服务的实例。Manila 为许多不同的存储系统拥有共享驱动程序，同时支持商业供应商和开源解决方案。每个共享驱动程序都支持一个或多个后端模式： 共享服务器和 无共享服务器。管理员使用 driver_handles_share_servers 在 manila.conf 中指定它来选择模式。

共享服务器是导出共享文件系统的逻辑网络附加存储(NAS)服务器。当今的后端存储系统比较复杂，可在不同的 OpenStack 项目之间隔离数据路径和网络路径。

由 manila 共享驱动程序置备的共享服务器将在属于创建项目用户的隔离网络上创建。共享 服务器模式可以配置为使用扁平网络或网段化网络，具体取决于网络提供程序。

对于不同的模式，可以有单独的驱动程序来使用相同的硬件。根据所选的模式，您可能需要通过配置文件提供更多配置详情。

每个共享驱动程序至少支持其中一个可用驱动程序模式：

没有共享服务器模式 - 在这个模式中，驱动程序将不会设置共享服务器，因此不需要设置任何新的网络接口。假设存储控制器由驱动程序管理，它具有需要的所有网络接口。驱动程序直接在创建共享服务器的情况下直接创建共享。要使用以这个模式运行的驱动程序创建共享，manila 不需要用户创建任何私有共享网络。

在 no share servers 模式中，共享驱动程序无法处理共享服务器生命周期。管理员应该可以处理存储、联网和其他主机侧配置，这些配置可能需要提供项目隔离。在这种模式中，管理员可以将存储设置为导出共享的主机。OpenStack 云中的所有项目共享一个通用网络管道。缺少隔离可能会影响安全性和服务质量。当使用不处理共享服务器的共享驱动程序时，云用户无法确定通过树形用户无法通过文件系统顶级目录来访问其共享。在公共云中，所有网络带宽可由一个客户端使用，因此管理员应当不这样做。网络平衡可以通过任何方式完成，而不一定只借助 OpenStack 工具来完成。

共享服务器模式 - 在此模式下，驱动程序可以创建共享服务器并将其插入到现有的 OpenStack 网络。Manila 确定是否需要新的共享服务器，并提供共享驱动程序所需的所有网络信息，以创建必要的共享服务器。

当在处理共享服务器的驱动程序模式中创建共享时，用户必须提供一个共享网络，以确保其共享被导出。Manila 使用这个网络为这个网络中的共享服务器创建网络端口。

用户可以在 共享 服务器和 无共享服务器 后端模式中配置 安全服务。但如果没有 共享服务器 后端模式，管理员必须在主机上手动设置所需的身份验证服务。在 共享服务器 模式中，manila 可以配置由它生成的共享服务器上的用户标识的安全服务。

Manila 可以与不同的网络类型集成： 扁平、GRE、VLAN、VXLAN。

在 共享服务器 后端模式中，共享驱动程序为每个共享网络创建和管理共享服务器。这个模式可以分为两种变体：

用户可以使用 OpenStack Networking (neutron)服务的网络和子网来创建共享网络。如果管理员决定使用 StandAloneNetworkPlugin，则用户需要提供任何网络信息，因为管理员已在配置文件中预配置此设置。

创建共享网络后，manila 会检索由网络提供商决定的网络信息：网络类型、分段标识符（如果网络使用分段），以及 CIDR 表示法中用于分配网络的 IP 块。

用户可以创建安全服务，指定 AD 或 LDAP 域或 Kerberos 域等安全要求。Manila 假定创建共享服务器的子网可以访问在安全服务中引用的任何主机，这限制了可以使用此模式的情况。

Manila 可以通过与网络验证协议集成来限制对文件共享的访问。每个项目都可拥有自己的身份验证域，它们的功能与云的 Keystone 身份验证域分开。此项目域可用于向 OpenStack 云中运行的应用提供授权(AuthZ)服务，包括 manila。可用的身份验证协议包括 LDAP、Kerberos 和 Microsoft Active Directory 身份验证服务。

用户可以指定哪些特定客户端有权访问其所创建的共享。由于 keystone 服务，由各个用户创建的共享仅能对同一项目中的用户和其他用户可见。Manila 允许用户创建"公开"可见的共享。如果所有者授予了这些共享，则这些共享在属于其他 OpenStack 项目的用户的仪表板中可见，如果这些共享在网络上可以访问，他们甚至可以挂载这些共享。

在创建共享时，请使用密钥 --public 使您的共享公共用于其他项目，以在共享列表中查看该共享并查看其详细信息。

根据 policy.json 文件，管理员和作为共享所有者的用户可以通过创建访问规则来管理对共享的访问。使用 manila access-allow、manila access-deny 和 manila access-list 命令，您可以相应地授予、拒绝和列出对指定共享的访问。

当仅创建共享时，它没有默认的访问规则并挂载它的权限。这可以在挂载配置中用于使用导出协议时看到。例如，在存储中有一个 NFS 命令 exportfs 或 /etc/exports 文件，该文件控制每个远程共享并定义可以访问它的主机。如果 nobody 可以挂载共享，则为空。对于远程 CIFS 服务器，有一个 net conf list 命令，该命令显示了配置。hosts deny 参数应由共享驱动程序设置为 0.0.0.0/0，这意味着任何主机都被拒绝挂载共享。

使用 manila，您可以通过指定其中一个支持的共享访问级别来授予或拒绝对共享的访问：

您还必须指定这些支持的验证方法之一：

要验证共享是否正确配置了访问规则(ACL)，您可以列出其权限。

共享类型是一种管理员定义的 服务类型，它由项目可见描述组成，以及名为 额外规格 的非项目可见的键值对列表。manila-scheduler 使用额外的规格来做出调度决策，驱动程序控制共享创建。

管理员可以创建和删除共享类型，还可以管理额外的规格，使其在 manila 内表示。项目可以列出共享类型，并可使用它们创建新共享。共享类型可以创建为 公共和专用 。这是共享类型的可见性级别，用于定义其他项目是否可以在共享类型列表中看到它，并使用它来创建新共享。

默认情况下，共享类型创建为 public。在创建共享类型时，使用 --is_public 参数设置为 False 时，您的共享类型设为 False 时，您的共享类型会妨碍其他项目在共享类型列表中看到它并与其创建新共享。另一方面，公共云 共享类型可供云中的每个项目使用。

Manila 允许管理员为项目授予或拒绝访问 私有 共享类型。您还可以获取有关指定私有共享类型的访问的信息。

例如，admin 项目中的管理员用户可以创建名为 my_type 的专用共享类型，并在列表中看到它。在下控制台示例中，省略了登录和注销，并提供环境变量来显示当前登录的用户。

 $ env | grep OS_
 ...
 OS_USERNAME=admin
 OS_TENANT_NAME=admin
 ...
 $ manila type-list --all
 +----+--------+-----------+-----------+-----------------------------------+-----------------------+
 | ID | Name   | Visibility| is_default| required_extra_specs              | optional_extra_specs  |
 +----+--------+-----------+-----------+-----------------------------------+-----------------------+
 | 4..| my_type| private   | -         | driver_handles_share_servers:False| snapshot_support:True |
 | 5..| default| public    | YES       | driver_handles_share_servers:True | snapshot_support:True |
 +----+--------+-----------+-----------+-----------------------------------+-----------------------+

demo 项目中的 demo 用户可以列出类型，而对其不可见的名为 my_type 的私有共享类型。

 $ env | grep OS_
 ...
 OS_USERNAME=demo
 OS_TENANT_NAME=demo
 ...
 $ manila type-list --all
 +----+--------+-----------+-----------+----------------------------------+----------------------+
 | ID | Name   | Visibility| is_default| required_extra_specs             | optional_extra_specs |
 +----+--------+-----------+-----------+----------------------------------+----------------------+
 | 5..| default| public    | YES       | driver_handles_share_servers:True| snapshot_support:True|
 +----+--------+-----------+-----------+----------------------------------+----------------------+

管理员可以向 demo 项目的私有共享类型授予访问权限，其项目 ID 等于 df29a37db5ae48d19b349fe947fada46:

 $ env | grep OS_
 ...
 OS_USERNAME=admin
 OS_TENANT_NAME=admin
 ...
 $ openstack project list
 +----------------------------------+--------------------+
 | ID                               | Name               |
 +----------------------------------+--------------------+
 | ...                              | ...                |
 | df29a37db5ae48d19b349fe947fada46 | demo               |
 +----------------------------------+--------------------+
 $ manila type-access-add my_type df29a37db5ae48d19b349fe947fada46

因此，demo 项目中的用户可以看到私有共享类型，并在共享创建过程中使用它：

 $ env | grep OS_
 ...
 OS_USERNAME=demo
 OS_TENANT_NAME=demo
 ...
 $ manila type-list --all
 +----+--------+-----------+-----------+-----------------------------------+-----------------------+
 | ID | Name   | Visibility| is_default| required_extra_specs              | optional_extra_specs  |
 +----+--------+-----------+-----------+-----------------------------------+-----------------------+
 | 4..| my_type| private   | -         | driver_handles_share_servers:False| snapshot_support:True |
 | 5..| default| public    | YES       | driver_handles_share_servers:True | snapshot_support:True |
 +----+--------+-----------+-----------+-----------------------------------+-----------------------+

要拒绝指定项目的访问，请使用 manila type-access-remove <share_type> <project_id>。

共享文件系统服务 API 使用基于角色的访问控制策略。这些策略决定了哪些用户可以以特定方式访问某些 API，并在服务的 policy.json 文件中定义。

每当向 manila 发出 API 调用时，策略引擎会使用适当的策略定义来确定是否可以接受调用。策略规则决定了在哪些情况下允许 API 调用。当规则是一个空字符串： "" 时，则 /var/lib/config-data/puppet-generated/manila/manila/policy.json 文件具有始终允许某一规则的规则，则规则基于用户角色或规则；规则是布尔表达式的规则。以下是 manila 的 policy.json 文件的片段。预计可以在 OpenStack 版本之间更改。

   {
       "context_is_admin": "role:admin",
       "admin_or_owner": "is_admin:True or project_id:%(project_id)s",
       "default": "rule:admin_or_owner",
       "share_extension:quotas:show": "",
       "share_extension:quotas:update": "rule:admin_api",
       "share_extension:quotas:delete": "rule:admin_api",
       "share_extension:quota_classes": "",
   }

用户必须分配给您在策略中引用的组和主机。使用用户管理命令时，服务会自动完成此操作。

swift 的安全强化开始保护网络组件的安全。如需更多信息，请参阅网络章节。

为获得高可用性，rsync 协议用于在存储服务节点之间复制数据。另外，代理服务在客户端端点和云环境之间转发数据时，代理服务与存储服务通信。

这要求代理节点具有双接口（物理或虚拟）：

下图展示了一个可能的网络架构，它使用带管理节点(OSAM)的对象存储网络架构：

以下是各种存储服务的默认侦听端口：

代理节点应至少有两个接口（物理或虚拟）：一个公共节点和一个私有接口。您可以使用防火墙或服务绑定来帮助保护公共接口。面向公众的服务是处理端点客户端请求的 HTTP Web 服务器，对其进行验证并执行适当的操作。专用接口不需要任何侦听服务，而是用于建立到专用存储网络上存储节点的出站连接。

Object Storage (swift)使用 WSGI 模型为不能提供通用可扩展性的中间件功能提供，也可用于验证端点客户端。身份验证提供程序定义哪些角色和用户类型。有些使用传统的用户名和密码凭证，另一些则可能利用 API 密钥令牌甚至客户端 x.509 证书。自定义提供程序可以使用自定义中间件集成。

默认情况下，对象存储附带了两种身份验证中间件模块，它们分别可用作开发自定义身份验证中间件的示例代码。

Swift 可以与 Barbican 集成，以透明地加密和解密您的存储(at-rest)对象。at-rest 加密与 in-transit 加密不同，它引用了在存储于磁盘上时已加密的对象。

Swift 以透明方式执行这些加密任务，在上传到 swift 时自动加密对象，然后在提供给用户时自动解密。这个加密和解密使用相同的(ymmetric)密钥进行，密钥保存在 Barbican 中。

如需更多信息，请参阅 Barbican 集成指南： https://access.redhat.com/documentation/en-us/red_hat_openstack_platform/16.0/html-single/manage_secrets_with_openstack_key_manager/

在 每个节点上的 /var/lib/config-data/puppet-generated/swift/swift.conf 中，有一个 swift_hash_path_prefix 设置和一个 swift_hash_path_suffix 设置。提供了用于减少所存储对象的哈希冲突的几率，以及一个用户覆盖另一个用户的数据。

这个值应该首先设置有加密保护随机数生成器，并在所有节点中保持一致。确保它使用正确的 ACL 保护，并且您有备份副本以避免数据丢失。

集中式日志记录系统是入侵者的高价值目标，因为成功破坏可能会使其在事件记录中擦除或篡改程序。建议您加深对监控平台进行强化。此外，考虑对这些系统进行定期备份，在发生停机或 DoS 时进行故障转移计划。

事件监控是一种更加主动的方法，可以保护环境，提供实时检测和响应。存在多个工具，可以协助监控。对于 OpenStack 部署，您需要监控硬件、OpenStack 服务和云资源的使用情况。

本节介绍了可能需要了解的一些示例事件。

为了降低身份服务中用户、项目或域删除中孤立实例的安全性风险，存在讨论生成通知，并让 OpenStack 组件根据情况等情况响应这些事件，如终止实例、断开连接卷、回收 CPU 和存储资源等。

安全监控控制（如入侵检测软件、防病毒软件）和删除实用程序可生成显示何时或入侵发生的时间和攻击方式的日志。这些工具可在 OpenStack 节点上部署时提供一层保护。项目用户也可能希望在其实例上运行此类工具。

本节介绍了 OpenStack 部署中数据隐私的一些问题。

The sanitization process removes information from the media such that the information cannot be retrieved or reconstructed. Sanitization techniques, including clearing, purging, cryptographic erase, and destruction, prevent the disclosure of information to unauthorized individuals when such media is reused or released for disposal.

对于裸机置备基础架构，您应该考虑一般的安全强化基板管理控制器(BMC)和 IPMI。例如，您可以在 provisioning 网络中隔离这些系统，配置非默认密码和强大的密码，并禁用不需要的管理功能。如需更多信息，请参阅有关安全强化这些组件的厂商指导。

存在用于实现者在存储于磁盘或通过网络传输时的项目数据，如下方所述的 OpenStack 卷加密功能。这高于用户在将自己的数据发送到其供应商之前对自己的数据进行加密的一般建议。

代表项目加密数据的重要性与攻击者可以访问项目数据的供应商相关风险。在政府中可能要求，以及每个策略、私有合同要求，甚至在与公共云提供商私有合同有关的法律情况下。在选择项目加密策略前，请考虑获取风险评估和法律建议。

每个实例或每个对象加密更为可取，以降序、每个项目、每个主机和每个云聚合使用。本建议消除了实施的复杂性和难度。目前，在某些项目中，即使每个项目也是如此，也无法实施加密。实施者应该考虑加密项目数据。

通常，数据加密通过丢弃密钥，对可靠销毁项目和实例数据的能力进行了积极联系。请注意，在这样做时，以可靠且安全的方式销毁这些密钥非常重要。

为用户加密数据的机会会存在：

为了解决经常提到的项目数据隐私的问题，OpenStack 社区内有显著的兴趣，使数据加密更加普遍。最终用户在保存到云之前对数据进行加密相对容易，这是用于项目对象的可行路径，如介质文件、数据库存档等。在某些实例中，客户端侧加密用于加密虚拟化技术持有的数据，这些数据需要客户端交互，如演示密钥、解密以供以后使用的数据。

Barbican 可帮助项目更加无缝地加密数据，并可访问，而无需给具有密钥管理的用户产生负担。作为 OpenStack 的一部分，提供加密和密钥管理服务可以简化数据执行的安全性，并帮助解决客户对数据的隐私或滥用的问题。

卷加密和临时磁盘加密功能依赖于密钥管理服务（如 barbican）来创建和安全强化密钥存储。

本章使用术语 熵 来引用实例可用的随机数据的质量和源。加密技术通常依赖于随机性，这需要从高质量的熵池中获取。实例通常很难获得足够的熵来支持这些操作；这称为熵。此条件可以在实例中清单，就像看似不相关。例如：实例等待 SSH 密钥生成速度可能会导致启动时间较慢。这种状况还可能导致用户从实例内部使用不佳的、高质量的熵源，从而使应用程序在云中运行不太安全。

幸运的是，您可以通过为实例提供高质量的熵源来解决这些问题。这可以通过在云中有足够的硬件随机数生成器(HRNG)来支持实例来实现。在这种情况下，足够一些特定于域。对于日常操作，现代 HRNG 可能生成足够的熵来支持 50-100 计算节点。高带宽 HRNG，比如 Intel Ivy Bridge 和较新的处理器可用的 RdRand 指令可能会处理更多节点。对于给定的云，架构师需要了解应用程序要求，以确保有足够的熵。

Virtio RNG 是一个随机数字生成器，它默认使用 /dev/random 作为熵源。它还可以配置为使用硬件 RNG，或者一个工具，如熵收集守护进程(EGD)，通过部署提供相当地分发熵的方法。您可以使用 hw_rng 元数据属性在实例创建时启用 Virtio RNG。

在创建实例之前，必须选择用于镜像实例化的主机。此选择由 nova-scheduler 执行，它决定了如何分配计算和卷请求。

FilterScheduler 是计算的默认调度程序，但存在其他调度程序。该功能适用于与 过滤器提示 协作，以确定应启动实例的位置。通过这种主机选择的过程，管理员可以满足许多不同的安全性和合规性要求。如果数据隔离是主要关注点，您可以选择让项目实例尽可能驻留在同一主机上。相反，出于可用性或容错的原因，您可以尝试让实例驻留在很多不同的主机上。

过滤器调度程序位于以下主要类别下：

可以一次性应用多个过滤器。例如，serverGroupAffinity 过滤器检查某个实例是否在特定一组主机的成员上创建，而 ServerGroupAntiAffinity 过滤器会检查同一实例不在另一特定主机组上创建。请注意，这两个过滤器通常同时启用，永远不会相互冲突，因为它们每次检查给定属性值时不得相互冲突，且不能同时是 true。

在云环境中，用户使用预安装的镜像或他们自己上传的镜像。在这两种情况下，用户应该能够确保其使用的镜像没有被篡改。验证镜像是安全的基础。需要来自镜像源到使用其目标的信任链。这可以通过签名从可信源获取的镜像，并在使用前验证签名来完成。下面将讨论获取和创建经验证镜像的各种方法，并介绍了镜像签名验证功能的描述。

<template>
<name>centos64</name>
<os>
  <name>RHEL-6</name>
  <version>4</version>
  <arch>x86_64</arch>
  <install type='iso'>
  <iso>http://trusted_local_iso_mirror/isos/x86_64/RHEL-6.4-x86_64-bin-DVD1.iso</iso>
  </install>
  <rootpw>CHANGE THIS TO YOUR ROOT PASSWORD</rootpw>
</os>
<description>RHEL 6.4 x86_64</description>
<repositories>
  <repository name='epel-6'>
  <url>http://download.fedoraproject.org/pub/epel/6/$basearch</url>
  <signed>no</signed>
  </repository>
</repositories>
<packages>
  <package name='epel-release'/>
  <package name='cloud-utils'/>
  <package name='cloud-init'/>
</packages>
<commands>
  <command name='update'>
  yum update
  yum clean all
  sed -i '/^HWADDR/d' /etc/sysconfig/network-scripts/ifcfg-eth0
  echo -n > /etc/udev/rules.d/70-persistent-net.rules
  echo -n > /lib/udev/rules.d/75-persistent-net-generator.rules
  chkconfig --level 0123456 autofs off
  service autofs stop
  </command>
</commands>
</template>

OpenStack 和底层虚拟化层为在 OpenStack 节点之间实时迁移镜像提供，允许您在无实例停机的情况下无缝地滚动升级 Compute 节点。但是，实时迁移也存在重大风险。要了解相关风险，以下是实时迁移期间执行的高级步骤：

"compute_extension:admin_actions:migrate": "!",
"compute_extension:admin_actions:migrateLive": "!",

实例是可以在主机之间复制的服务器镜像。因此，最好在物理和虚拟主机之间应用日志。应记录操作系统和应用程序事件，包括访问主机和数据的事件、用户添加和删除、特权更改，等等。考虑将结果导出到日志聚合器，用于收集日志事件，以便分析它们，并将它们存储以供参考或进一步操作。一个常见的工具是 ELK 堆栈或 Elasticsearch、Logstash 和 Kibana。

您需要进一步确定哪些事件将触发随后发送到响应者采取行动的警报。

如需更多信息，请参阅 监控工具配置指南

本节讨论 OpenStack 中使用的三种最常见的消息排队解决方案的安全强化方法：RabbitMQ 和 Qpid。

基于 AMQP 的解决方案(Qpid 和 RabbitMQ)支持使用 TLS 的传输级安全性。

考虑为您的消息队列启用传输层安全性加密。使用 TLS 进行消息传递客户端连接，提供从篡改和拖放到消息传递服务器的通信保护。以下是如何为两个常见消息传递服务器配置 TLS 的指南： Qpid 和 RabbitMQ。当您配置消息传递服务器用来验证客户端连接的可信证书颁发机构(CA)捆绑包时，建议只限制用于节点的 CA，最好是内部管理的 CA。可信 CA 的捆绑包将决定哪些客户端证书将获得授权并传递设置 TLS 连接的客户端-服务器验证步骤。

[
  {rabbit, [
     {tcp_listeners, [] },
     {ssl_listeners, [{"<IP address or hostname of management network interface>", 5671}] },
     {ssl_options, [{cacertfile,"/etc/ssl/cacert.pem"},
                    {certfile,"/etc/ssl/rabbit-server-cert.pem"},
                    {keyfile,"/etc/ssl/rabbit-server-key.pem"},
                    {verify,verify_peer},
                    {fail_if_no_peer_cert,true}]}
   ]}
].

RabbitMQ 和 Qpid 为控制对队列的访问提供了身份验证和访问控制机制。

简单身份验证和安全层(SASL)是 Internet 协议中身份验证和数据安全性的框架。RabbitMQ 和 Qpid 均提供 SASL 以及除简单用户名和密码之外的其他可插入验证机制，从而增强身份验证安全性。虽然 RabbitMQ 支持 SASL，但 OpenStack 目前不允许请求特定的 SASL 身份验证机制。OpenStack 中的 RabbitMQ 支持通过未加密的连接或用户名以及 X.509 客户端证书进行用户名和密码的身份验证，从而建立安全的 TLS 连接。

考虑在所有 OpenStack 服务节点上配置 X.509 客户端证书，以便客户端连接消息传递队列，并在可能的情况下使用 X.509 客户端证书执行身份验证。在使用用户名和密码时，应为每个服务和节点创建帐户，以便精细的可审核访问队列。

在部署前，请考虑排队服务器使用的 TLS 库。Qpid 使用 Mozilla 的 NSS 库，而 RabbitMQ 使用 Erlang 的 TLS 模块，它们使用 OpenSSL。

[DEFAULT]
rpc_backend = nova.openstack.common.rpc.impl_kombu
rabbit_use_ssl = True
rabbit_host = RABBIT_HOST
rabbit_port = 5671
rabbit_user = compute01
rabbit_password = RABBIT_PASS
kombu_ssl_keyfile = /etc/ssl/node-key.pem
kombu_ssl_certfile = /etc/ssl/node-cert.pem
kombu_ssl_ca_certs = /etc/ssl/cacert.pem

[DEFAULT]
rpc_backend = nova.openstack.common.rpc.impl_qpid
qpid_protocol = ssl
qpid_hostname = <IP or hostname of management network interface of messaging server>
qpid_port = 5671
qpid_username = compute01
qpid_password = QPID_PASS

qpid_sasl_mechanisms = <space separated list of SASL mechanisms to use for auth>

每个项目都提供了多个服务来发送和接收信息。每个发送消息的二进制值都应在队列中仅回复时使用消息。

消息队列服务进程应该相互隔离，以及计算机上的其他进程。

本节介绍了强化 API 端点的建议。