OpenStack Mitakaのセキュリティについて(4) 最終回 — | サイオスOSS | サイオステクノロジー

OpenStack Mitakaのセキュリティについて(4) 最終回
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
数回に分けて、Mitakaで変更されたセキュリティについて、各コンポーネントごとに見ています。
今回は、Mitakaで変更されたセキュリティの中で、neutronとcinderの変更部分について説明したいと思います。
neutron: OpenFlowを用いたファイアウォール
Mitakaから、セキュリティグループにOpenFlowを用いたファイアウォールが導入されました。
これにより、OpenVSwitch(OVS)統合ブリッジと各VMとの間にLinuxブリッジデバイス+iptablesルールのコンポーネントを置かずに、直接OVS上のフロートしてOVSエージェントがファイアウォールを実装できるため、スケーラビリティと性能向上につながります。
確認のために、neutronのソースを見てみましょう。
mitakaのneutronの最新版(2016/7/8時点でneutron-8.1.2)のソースをダウンロードして展開します。
user@localhost:neutron-8.1.2/neutron/agent/linux$ ls __init__.py interface.py iptables_firewall.py polling.py async_process.py ip_conntrack.py iptables_manager.py ra.py bridge_lib.py ip_lib.py keepalived.py tc_lib.py daemon.py ip_link_support.py openvswitch_firewall utils.py dhcp.py ip_monitor.py ovsdb_monitor.py dibbler.py ipset_manager.py pd.py external_process.py iptables_comments.py pd_driver.py
今までのfirewallはiptablesベース(agent/linux/iptables_firewall.py)でしたが、今後はOpenvSwitchベース(agent/linux/openvswitch_firewall)も使用可能になります。
Open vSwitchベースのファイアウォールの情報に関しては、こちらに詳しく載っています。
cinder: NetAppドライバでのiSCSI CHAP 単方向認証の追加
iSCSIデバイスでは、ターゲットが接続要求してきたホストの身元を確認するため、CHAPプロトコルを用いてイニシエータを認証します。
この認証にも、二つの方式が有ります。
「単方向認証」では、ターゲットがイニシエータの身元を認証します。
「双方向認証」では、イニシエータがターゲットの身元を認証し、更にターゲットもイニシエータの身元を認証します。
Mitakaのcinderでは、NetAppドライバで、iSCSI CHAP単方向認証が追加されました。
これにより、iSCSIデバイスが接続要求ホストの確認が出来るため、よりセキュアな環境を築くことが可能になります。
まとめ
ここまで4回に渡って、Mitakaで拡張されたセキュリティを簡単に見てきました。
既にopenstackコミュニティではnewtonに向けての各コンポーネントのリリースが始まっています。またnewtonがリリースされたタイミングで、セキュリティの変更について見ていきたいと思います。
その他のopenstack情報(主にセキュリティに関して)も、逐次公開していきたいと思います。
また、SIOSではOpenStackのPoC支援のサポートメニュー提供を開始しています。
OpenStackに関しての導入を検討されている方は、是非こちらもご活用頂ければと思います。
- セキュリティ分野別一覧
- 最新の記事
- Linux Kernel 等の脆弱性(CVE-2018-8897, CVE-2018-1087) 2018年05月09日
- 389-ds-baseの脆弱性(CVE-2018-1089) 2018年05月09日
- wgetの脆弱性(CVE-2018-0494) 2018年05月07日
- Ansible Towerの脆弱性(CVE-2018-1101) 2018年05月03日
- python-paramikoの脆弱性(CVE-2018-7750) 2018年05月03日
- OpenShiftの脆弱性(CVE-2018-1102) 2018年05月02日
- PHPの複数の脆弱性(CVE-2018-10546, CVE-2018-10547, CVE-2018-10548, CVE-2018-10549) 2018年05月02日
- Linux Kernelの脆弱性(CVE-2018-1000199) 2018年05月02日
- GlusterFSサーバの脆弱性(CVE-2018-1112) 2018年04月27日
- nmapの脆弱性(CVE-2018-1000161) 2018年04月25日
- PackageKitの脆弱性(CVE-2018-1106) 2018年04月25日
- phpMyAdminの脆弱性(CVE-2018-10188) 2018年04月25日
- Linux Kernelに複数の脆弱性(CVE-2018-10322, CVE-2018-10323) 2018年04月25日
- Linux Kernelの脆弱性(CVE-2018-8781) 2018年04月25日
- GlusterFSの脆弱性(CVE-2018-1088) 2018年04月19日
- MySQLの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) 2018年04月19日
- Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - Apr 2018) 2018年04月18日
- Linux Kernelの脆弱性 (CVE-2018-10124) 2018年04月17日
- OpenSSLの脆弱性情報 ( CVE-2018-0737 : Low) 2018年04月17日
- GNU Patchの脆弱性(CVE-2018-1000156) 2018年04月08日
フォローしませんか?