安全专家今天讨论了对云安全的误解以及云安全中的有效方法
理解云中的安全性需要考虑很多因素,尤其是在OpenStack云中。在由eWEEK在波士顿OpenStack峰会上主办的小组会议上,来自OpenStack安全领域不同方面的领导就云安全提供了见解和建议。
安全性是OpenStack上下文中的一个宽泛的术语,而不仅仅是一个项目。有一个OpenStack安全项目,其任务是帮助构建工具和流程,以帮助保护OpenStack及其各种项目。还有一个漏洞管理团队(VMT)处理OpenStack项目中的漏洞。OpenStack中的安全性也体现在各种OpenStack项目中,尤其是用于安全密钥管理的Barbican项目。最后,运营商的云部署只有一般的安全性,包括安全配置和监控。
(资料图)
Barbican前项目技术总监DouglasMendizbal说:“最近几个周期最酷的事情之一就是采用Bandit。”“土匪是保安队的工具之一。它可以分析静态代码。我认为社区对Bandit测试他们的代码库非常满意。”
OpenStack基础设施工程师Jeremy Stanley与VMT进行了合作,并对OpenStack安全项目在过去一年中进行的额外安全分析表示感谢。
斯坦利说:“在VMT,我们的项目集相对有限,我们觉得处理漏洞和提供咨询很舒服。”"对于需要我们帮助的新项目,我们需要进一步审查."
斯坦利说,OpenStack安全项目有一个安全分析流程,可以帮助具体项目和VMT了解项目的敏感领域和风险。通过分析,VMT现在可以更好地了解潜在漏洞的影响。
思科首席云安全工程师、巴比肯现任PTL戴夫麦科万认为,OpenStack的文档对降低风险非常有帮助。
麦考恩说:“部署云时,要想成功,必须保护好每一层。”
Rackspace首席架构师Hayden少校表示,正确实现和部署各种OpenStack项目非常重要。
海登说:“一定有办法让你部署200个虚拟机,并把它们都放在同一个网络上,使用同一个SSH密钥。那不太好,你会过得很不好。”说。“如果你正确使用项目和网络,将你部署的不同内容分开,我想你会有很好的体验。”
麦考恩补充说,关于云安全的一个误解是,管理员可以简单地安全设置云,然后忽略它。他强调,持续安全需要持续监控和更新云部署的所有要素。
蒙迪扎巴尔说,现在还有一个误解,就是因为基础设施是别人管理的,不可能轻易保护云中的应用。他说事实并非如此,因为有很多好的工具可以帮助组织保护云工作负载。
小组成员普遍认为,尽管OpenStack非常重视安全性,但这并不意味着所有OpenStack部署默认都是安全的。如果一个组织下载了一个简单的OpenStack上游实现,仍然需要采取一些措施来降低风险。
麦考恩指出,在安装云之前,有助于做出设计选择,以确保没有开放接口和传输层安全(TLS)的正确实施。Hayden补充说,OpenStack中的许多部署发行版和供应商都提供了一组安全默认值,可以用来降低风险。最终,每个组织都需要做出适合自己环境的配置选择。
斯坦利说:“所有的系统总是容易受到攻击,所以是的,当你部署OpenStack或者任何软件的时候,它都会受到攻击。”“你可以做很多事情,而安全不是二元状态;你总是试图在安全性和便利性之间取得平衡。”