红帽全球峰会5.3. Compute
本节介绍计算(nova)的安全性注意事项。
5.3.1. OpenStack 中的虚拟机监控程序
当您评估系统管理程序平台时,请考虑将运行管理程序的硬件的支持性。此外,您还考虑了硬件中提供的附加功能以及如何支持这些功能作为 OpenStack 部署的一部分。为此,每个虚拟机监控程序都有自己的硬件兼容性列表(HCL)。在选择兼容硬件时,务必要首先从安全角度了解基于硬件的虚拟化技术非常重要。
5.3.1.1. 管理程序和裸机
务必要识别使用 Linux 容器或裸机系统与使用 KVM 等虚拟机监控程序之间的差别。具体来说,此安全指南的重点在于拥有管理程序和虚拟化平台。但是,如果您的实施需要使用裸机或容器化环境,您必须注意与部署该环境相关的特定区别。
对于裸机,请确保在重新置备和停用之前节点已正确清理数据。另外,在重复使用节点前,您必须提供确保硬件未被篡改或被破坏。更多信息请参阅 https://docs.openstack.org/ironic/queens/admin/cleaning.html
5.3.1.2. 管理程序内存优化
某些虚拟机监控程序使用内存优化技术,这些技术对客户机虚拟机过量使用内存。这是一个非常有用的功能,允许您部署非常高的计算集群。这种技术的方法是通过重复数据删除或共享内存页面共享的方法:当两台虚拟机在内存中有相同的数据时,它们会有一些优点。通常,这通过写时复制(COW)机制执行,如内核相同的页面合并(KSM)。这些机制容易受到安全攻击的影响:
- 内存重复数据系统容易受到侧信道攻击的影响。在学术研究中,攻击者可以分析内存访问时间,攻击者能够识别在邻居虚拟机上运行的软件包和版本,以及软件下载和其他敏感信息。因此,一个虚拟机可以推断一个有关另一个状态的信息,这可能不适用于多项目环境,而所有项目都值得信任或共享同一级别的信任级别
- 更重要的是,对 KSM 进行了演示 的行化类型攻击,以交叉虚拟机对可执行内存的修改。这意味着恶意实例可以获取对同一计算主机上其他实例的代码执行访问权限。
如果部署器需要强大的项目分离(与公共云和一些私有云一样,则部署器应禁用 KSM):
- 要禁用 KSM,请参考 取消激活 KSM。
