Openstack security(2018)

Copyright@ 2018 All reserved by KrDAG
오픈스택 보안
• 보안강화를 위한 방안
• 3rd party 가상방화벽 데모
KRDAG STUDY
Seo & Ryu – Infra Engineer

본 발표의 모든 내용은 지극히
개인적인 의견임을 미리 밝힙니다

0. 개요
왜 보안에 대한 고려를 하게 되었는지

#1. HORIZON BRUTEFORCE ATTACK
로그인 시도 시 절차 및 불접적인 로그인 시도
Admin / 123456 입력
Web Proxy Intercept
Admin / “$$” 입력
특정한 값을 “$$”에 변경
입력하여 로그인 시도
Response Code 확인
실패 시 /성공 시
외부사용자
로그인 실패 시
로그인 성공 시 Keystone
(인증처리)
OpenStack Controller
200OK : Close
302 Found
Sessionid=발급
Horizon dashboard url
redirect
http://sola99.tistory.com/414

#1. 대응방안
적합한 방안 중 선택
✓ Horizon 서비스를 Disable
✓ 지정된 hosts만 Horizon 접속 가능 하게 설정
/etc/openstack-dashboard/local_settings 파일에 ALLOWED_HOSTS = ['*', ] 에 지정
✓ 외부 혹은 내부라도 방화벽 혹은 IPtables 를 통한 접근 차단을 설정하고 운영자만 허용함
✓ Mod_security 설치 후 로그인 정책 적용 및 Alert 로그 모니터링
예) 특정 IP가 10번 로그인 시도 실패 시 10분간 접속 차단
https://docs.mirantis.com/mcp/latest/mcp-security-best-practices/use-cases/brute-force-prevention.html

#2. SECURITY CONSIDERATION
다양한 계기
✓ Message Queue DDoS 공격 사례 : 외부에 MQ Port가 열려 있어서 DDoS 공격 시도 및 마비
✓ 개인 정보 및 주요 정보 유출 사례 : Facebook 등
✓ 오픈스택 기반 서비스를 실제 운영 환경 전환 전 보안 고려 필요
▪ 오픈스택 플랫폼에 보안 가이드 부재 : 취약점 및 대응방안 및 점검체크리스트
▪ 보안 부서/팀원 들의 클라우드에 대한 학습 및 인식 변화
✓ “인터넷 – 내부망(단계별보안) – 오픈스택“ : 전체 구성에서의 자동화(최소한의 수동 절차)가 필요
✓ 국가별 법적인 규제 및 거버넌스 준수 : EU GDRP 및 “클라우드컴퓨팅 정보보호 고시” 등

1. 보안강화 방안
보안 가이드 & 고려사항

#1. OPENSTACK SECURITY GUIDE(OSG)
오픈스택 보안 강화를 위한 권장 사항 및 지침 및 아키텍처를 제공
https://docs.openstack.org/security-guide/ http://sola99.tistory.com/415

#1. OSG 일부 발췌 -1-
보안 정보 전달을 위한 메일링 서비스
https://docs.openstack.org/ansible-hardening/latest/ https://wiki.openstack.org/wiki/Security_Notes
보안 노트 및 보안 가이드 (現 82개)
OS 보안 강화를 위한 자동화(Ansible)
http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-announce

#1. OSG 일부 발췌 -2-
http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-announce https://wiki.openstack.org/wiki/Security_Notes
Horizon Dashboard Checklist Check-Dashboard-02
Check-Dashboard-01: Is user/group of config files set to root/horizon?
Check-Dashboard-02: Are strict permissions set for horizon configuration files?
Check-Dashboard-03: Is DISALLOW_IFRAME_EMBED parameter set to True?
Check-Dashboard-04: Is CSRF_COOKIE_SECURE parameter set to True?
Check-Dashboard-05: Is SESSION_COOKIE_SECURE parameter set to True?
Check-Dashboard-06: Is SESSION_COOKIE_HTTPONLY parameter set to True?
Check-Dashboard-07: Is PASSWORD_AUTOCOMPLETE set to False?
Check-Dashboard-08: Is DISABLE_PASSWORD_REVEAL set to True?
Check-Dashboard-09: Is ENFORCE_PASSWORD_CHECK set to True?
Check-Dashboard-10: Is PASSWORD_VALIDATOR configured?
Check-Dashboard-11: Is SECURE_PROXY_SSL_HEADER configured?
Horizon Dashboard HTTPS
안전한 HTTPS 로 대쉬보드 접근하게 설정하라
⇒ local_settings.py 파일에 "USE_SSL = True" 설정
# 취약점항목: 구성파일 권한 관리
# 취약점개요: 구성파일은 동작에 필요한 정보가 포함되어 있어 권한없는
사용자가 해당 파일 접근하여 수정 시 서비스 이용에 문제가 발생할 수 있음
# 보안대책
- 판단기준
- 양호 : 구성파일 권한이 640이하인 경우
- 취약 : 권한이 640이하가 아닌 경우
- 조치방법 : 구성파일의 권한을 640이하로 설정
- 조치 시 영향 : 영향도 없음
# 조치 전/후 설정 값 확인 : 점검 파일 위치 및 점검 방법
stat -L -c "%a" /usr/share/openstack-dashboard/openstack_dashboard/local/local_settings.py
640
# 보안설정방법
chmod 640 /usr/share/openstack-dashboard/openstack_dashboard/local/local_settings.py

#2. MIRANTIS SECURITY GUIDE
매년 오픈스택 보안 가이드 작성/공유 예)Design Secure Cloud Architecture
https://docs.mirantis.com/mcp/latest/mcp-security-best-practices/common/preface.html
✓ 취약점 정의
✓ 대응 보안 기술 정의
✓ 오픈스택 Project 별 보안 강화 방안
✓ K8s 와 Docker 환경을 위한 보안 방안
✓ 보안 아키텍처
✓ 보안 솔루션
✓ Use cases

#3. CLOUD SECURITY DESIGN IDEA
물리 보안 장비(공통 정책)과 가상VM/SW 보안 장비의 Hybrid 구성
✓ Firewall rules attached to virtual NICs
✓ Everything else is "outside“
✓ 대용량 물리 보안 장비 + 특정 App 차단을 위한 SW형태의 보안SW
✓ Physical(공통 정책) 과 Virtual(Per-App, FW/LB self-Service)
Appliance 혼합 배치
보안 전용 장비
VM 에서 보안정책 동작
Physical + Virtual 보안 정책 동작
https://www.openstack.org/assets/presentation-media/OS-Security-Talk-rs.pdf

#3. CLOUD SECURITY DESIGN IDEA
플랫폼(예. 오픈스택)과 연동, Scale-out 기반 보안 서비스 제공
✓ 플랫폼과 연동 : 오픈스택 security Group, VMware vShield
Edge/NSX FW, Palo Alto Panorama 등
✓ L3/L4 기본 정책은 미리 지정, L3~L7 filter rule 은 플랫폼이 수집한
정보로 자동으로 적용
✓ 보안 장비의 성능을 모니터링 하여 임계치가 넘으면 자동으로 보안
장비 증가
✓ Scale-out IPS with OpenFlow Controller
https://www.openstack.org/assets/presentation-media/OS-Security-Talk-rs.pdf

#4. 오픈스택 환경에서의 보안 구성 고려사항
VM간 직접 통신에 대한 통제와 가상화 내부 구간 확대에 따른 통제 필요
VM간 직접 통신
방화벽
Web VM
가상스위
치
DMZ스위치
Was VM
가상스위
치
내부스위치
가상화 내부망
VM 간
직접 통신
레거시 보안
방화벽
Web VM
가상스위
치
Was VM
가상스위
치
내부스위치
가상화 내부망
DMZ스위치
물리방화벽 경유
(네트워크 격리)
레거시 보안
해결방안
가상화 내부 구간 확대
방화벽
vLB
가상스위
치
Was VM
가상스위
치
내부스위치
가상화 내부망
DMZ스위치
레거시 보안
DB VM
가상라우
터
WebVM1
WebVM2
WebVM3
가상화 내부 구간 확대로 물
리 방화벽 경유 시 ‘지연
(delay)’ 발생 및 내부 구간 통
제의 어려움 발생
-> VM/SW기반 보안방화벽
필요 -> (클라우드 표준 보안
솔루션 선정)
VM/SW기반 보안 솔루션 배치
방화벽
vLB
가상스위
치
Was VM
가상스위
치
내부스위치
가상화 내부망
DMZ스위치
레거시 보안
DB VM
가상방화
벽
WebVM
가상 웹방
화벽
VM기반 보안 제품(vFW,
vWAF, vIDS, vIPS)이나 SW
기반 보안 솔루션(host based
FW/WAF/IDS/IPS SW) 배치
로 가상화 내부 구간에 보안
기능 제공 최적화
DB암호화
AWS 구성 예시
위 3Tier Web 구성 역시 vLB
– Web – vLB – WAS – vDB
배치로 가상화 내부 구간에서
구성됨

#4. 오픈스택 환경에서의 보안 구성 고려사항
Auto-Scaling 에 대한 대응 방안 필요, VM증가 시 자동 발견 등록/운영 필요
이슈 발생
Web VM1 Web VM2
Web VM2
관리서버 모니터링 보안관제
10.1.1.1 10.1.1.2
등록 IP
10.1.1.1
해결 방안
Web VM1 Web VM2
Web VM2
관리서버 모니터링 보안관제
10.1.1.1 10.1.1.2
등록 IP
10.1.1.1
10.1.1.2
서비스 VM AutoScaling
서비스VM의 AutoScaling 기능으로 VM 생성과
삭제가 빈번하게 발생함
고려사항 : 운영/관리 시스템이 신규 생성 시 자
동으로 등록/삭제 하여 관리가 가능한지 검토,
감사/로그 기록 확인 시 부하 감소로 삭제되었
을때에 과거 기록 확인 방안 필요
충분한 테스트가 필요하고 Mix_Max 갯수의
VM 수량에 대한 검토 후 결정 필요
Web VM1
Web VM2
Web VM3
...
vLB
보안 VM/SW AutoScaling
서비스VM의 AutoScaling에 따라 ‘보안
VM/SW’ 도 Active-Backup 구성이외에
AutoScaling 구성도 요구됨.
고려사항 : 라이선스 활성화, 보안정책에 대
한 자동 적용 및 동기화, 상/하단 통신 지점
에 대한 유연성 제공(vLB 배치 or SDN 중 택
일), 자동 배포 구성(표준 보안 배포 템플릿)
솔루션이 클라우드 환경에 적합한지 검토 및
표준 솔루션 선정
Web VM1
Web VM2
Web VM3
...
vWAF1
vWAF2
vWAF3
...
vLB
vLB
SDN

#5. COLLABORATION
개발자 + 인프라 엔지니어 + 보안 엔지니어의 협업
Source By: Threatstack.com

붙임. 금융권 클라우드 서비스 이용가이드
‘전자금융감독규정’의 안정성 확보 의무, ‘개인정보보호법’의 안정성 확보 조치, ‘정보통신망법＇의 정보보호 조치,
‘신용정보업감독규정’의 기술적/물리적/관리적 보안 대첵 등 관련 법규를 준수해야함
가. 클라우드망에 외부망(=일반 이용자 접속)은
통신망 분리/격리
나. 클라우드망에 내부망(=금용회사 내부망 연동
및 관리자 접속)은 통신망 분리/격리
다. 내부망연동 및 관리자 접속 시 ‘망분리 대체
수칙‘ ‘전용회선 혹은 동등 수준의 가상 회선’ 준수
라. 업무용단말기 및 내부망에서 클라우드 외부망
접속 시 ‘망분리 대체 수칙’ 준수
마. 업무용단말기 및 내부망에서 클라우드 외부망
접속 시 ‘암호화된 통신채널’을 사용
금융회사 내부 시스템과의 연계

붙임. 클라우드컴퓨팅 정보보호 고시
미래창조과학부에서 공공부문 클라우드 도입의 제도적 기반 구축을 위해 2016.4.4 고시함
기술적/관리적/물리적 보호조치 기준을 제시하고 클라우드 품질성능 우려 해소에 역할을 할 전망임
제3조 (관리적 보호조치)
클라우드컴퓨팅서비스 제공자는 클라우드서비스의 안정성 및 신뢰성
확보를 위하여 다음 각 호의 사항을 포함한 관리적 보호조치를
취하여야 한다.
1. 정보보호 정책 수립/이행 및 정보보호 조직 구성/운영에 관한 사항
2. 내/외부 인력관리 및 정보보호 교육에 관한 사항
3. 자산 식별, 변경관리 및 위험관리에 관한 사항
제5조 (기술적 보호조치)
클라우드컴퓨팅서비스 제공자는 클라우드컴퓨팅서비스의 안정성 및
신뢰성 확보를 위하여 다음 각 호의 사항을 포함한 기술적 보호조치를
취하여야 한다.
1. 가상화 인프라, 가상 환경 보호에 관한 사항
2. 접근통제 및 사용자 식별/인증에 관한 사항
3. 네트워크 통제, 정보보호시스템 운영, 암호화 등 네트워크 보안에
관한 사항
4. 데이터 보호 및 암호화 등 중요 정보 보호에 대한 사항

Openstack security(2018)

More Related Content

What's hot (20)

Similar to Openstack security(2018) (20)

Openstack security(2018)