OpenStack Queens版本Security项目介绍

2018年2月28日，OpenStack开源社区发布了Queens 版本，该版本增加了多项新功能，也对多项旧功能进行了优化增强，包括虚拟 GPU（vGPU）支持和容器集成改进等。另外，几个新项目也在该版本首次出现，包括提供管理硬件和软件加速资源框架的Cyborg项目等 。同时，对于大家比较关注的Security项目，也进行了相应更新。

Security项目简介

OpenStack Security项目主要解决OpenStack的安全问题，提供安全工具，推进安全创新，普及安全教育，同时Security项目也是构建安全可信云平台很好的参考资料。该项目是OpenStack内部的一项横向工作，由OpenStack安全组和漏洞管理团队负责维护，并承担OpenStack Security项目的技术和管理活动，旨在提供指导、信息和代码，以增强OpenStack生态系统的总体安全性。

OpenStack的安全工具有anchor、bandit、syntribos等，安全文档有security-guide、security-notes、threat-analysis等，同时维护一个项目Blog：

http://openstack-security.github.io/

以下是简要介绍：

anchor

anchor提供轻量级的PKI服务，可以自动验证证书请求文件以及签发客户端证书，所签发证书的有效期通常比较短（一般是12-24小时）。一般的PKI系统通常存在一个严重问题——证书的撤销（如何保证一个已经被撤销的证书不再被信任），现有的两种证书撤销方法（CRL/OCSP）均无法有效解决这个问题。anchor可以通过签发短生命周期的证书，有效解决PKI系统中证书撤销的问题。

bandit

bandit是用来查找Python代码中是否存在通用安全问题的工具，可以对文件进行逐一扫描，并输出扫描报告。

syntribos

syntribos是一个开源的API安全性测试工具，可以应用于任意API安全测试。

security-guide

security-guide文档是按照各个OpenStack服务、组件进行分拆的，内容涵盖各个组件的介绍、安全问题分析和安全加固方案。

security-notes

OpenStack Security项目通过此公告来告知用户安全相关的问题，这些公告针对OpenStack部署中使用到的第三方工具的漏洞，以及可能导致不安全的操作环境的常见的错误配置提供安全指导。

threat analysis

分析OpenStack中各个组件在架构、敏感数据处理/存储、外部依赖等方面存在的安全漏洞，并提供相应的加固措施或建议，为OpenStack部署提供支持。

Security项目在Queens版本中更新内容

1.增加了密钥管理内容（Barbican/Castellan）

2.更新了Keystone/token检查项，推荐使用fernet token

3.增加了Glance服务检查项，限制V1版本的API使用”copy_from”特性的权限

4.更新了Cinder服务检查项，同步使用最新的Castellan的配置项

关于作者：

大唐高鸿信安（GohighSec）提供安全可信云数据中心一体化解决方案，是OpenStack社区的积极参与者、贡献者及实践者。

- 责任编辑：小丸子 -

- FIN -