OpenStack Mitakaのセキュリティについて(3)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
数回に分けて、Mitakaで変更されたセキュリティについて、各コンポーネントごとに見ています。
今回は、Mitakaで変更されたセキュリティの中で、Keystoneの残りの部分について簡単に説明したいと思います。
Time-based One-Time-Passwordについて
Mitakaから、KeystoneでTime-Based One-Time-Passwordをサポートするようになりました。
Time-based One-Time-Password(TOTP)は、RFC6238で定められているHMACベースのOTPの一種で、秘密鍵と現在時間を共有する一度きりのパワードを生成するアルゴリズムです。TOTPはオープン認証規格(OATH)で使われており、二段階認証システムの一つとしても用いられています。
これを用いることにより、Keystoneでもgoogleの二段階認証と連携させることが可能になります。
mitakaのKeystoneではデフォルトでは有効になっていないため、keystone.confの[auth]セクションで
[auth] methods = external,password,token,oauth1,totp
と設定してあげる必要が有ります。
googleの二段階認証との連携方法は、こちらのページに詳しい説明が載っているので、参考にすると良いでしょう。
X.509 SSL認証のサポート
X.509は公開鍵証明書の規格の1つで、S/MIMEやSSLなどの多くのセキュリティプロトコルがベースにしている、デファクトスタンダードの規格です。
今回のMitakaでは、Kerberosの場合と同じように、トークン無しでのX.509のSSLクライアント認証をサポートするようになりました。
URLSafe
プロジェクト名とドメインに対して、URLSafeをサポートしました。
これは、URLにBase64されたバイナリデータを埋め込む際に、 +,/,= といった(意味のある)特殊な文字が入るのが嫌だという場合に使うものです。
KeystoneのMitakaからは、これが強制的に適用されるようになります。
これにより、将来プロジェクト名などで階層的なネーミングを安心して使うことが出来るようになります。
まとめ
今回はMitakaでのセキュリティ上の改善の中で、Keystoneの残りの部分について簡単に説明しました。
次回はNeutron等、その他のコンポーネントでのセキュリティ上の改善点を説明します。
また、SIOSではOpenStackのPoC支援のサポートメニュー提供を開始しています。
OpenStackに関しての導入を検討されている方は、是非こちらもご活用頂ければと思います。
7/22にノベル株式会社様と共催で「クラウド・OSSセキュリティセミナー」と題して、OpenStack基盤自体のセキュリティに関して、デモを交えたセミナーを行います。
https://sios.secure.force.com/webform/SeminarDetail?id=70110000000sotpAAAがプログラム内容と申し込みの
詳細になりますので、是非お申し込み下さい。