Wie steht es bei OpenStack um die Sicherheit?

CloudCloud-Management

Damit ein Unternehmen OpenStack sicher implementieren kann, müssen viele Hände mit angreifen. Die Experten Robert Clark, OpenStack Security Project Team Leader, Travis McPeak, OpenStack Security Project Core Team und Jamie Clark, VP, Architektur bei Solinea, geben Antworten auf die wichtigsten Fragen.

Viele Unternehmen bauen darauf, dass die Cloud ihr Versprechen einer optimalen Mischung aus Zuverlässigkeit, Flexibilität und Nutzen hält. Falls jedoch der Schutz vertraulicher Unternehmensdaten auf dem Spiel steht, sind alle diese Vorteile nichts mehr wert, und es könnte zu einer schwierigen Krise kommen.

Deshalb überrascht es nicht, dass für viele Unternehmen, die an Cloud-Lösungen denken, das Thema Sicherheit an erster Stelle steht. Eine aktuelle Umfrage von Hytrust hat jetzt aufgedeckt, dass solche Vorbehalte Unternehmen und IT-Spezialisten von einer Migration in die Cloud abhalten.

Cloud-Status und Cloud-Pläne deutscher Firmen einer Umfrage von Crisp Research zufolge. (Grafik: Crisp Research)
Cloud-Status und Cloud-Pläne deutscher Firmen einer aktuellen Umfrage von Crisp Research zufolge. (Grafik: Crisp Research)

Die OpenStack-Community bietet viele Ressourcen und Schutzmechanismen, um Unternehmen bei der Implementierung einer sicheren OpenStack-Cloud zu unterstützen. Ein englisches Sprichwort sagt “It takes a village” –  es bedarf ein ganzes Dorf, und OpenStack bietet genau das: eine große Gemeinschaft aus den renommiertesten IT-Unternehmen der Welt, die sich allesamt der Sicherung des OpenStack-Codes verschrieben haben.

Das Resultat: Viele der größten Unternehmen und Organisationen verwenden OpenStack-Clouds, zum Beispiel Deutsche Telekom, Volkswagen, SAP, Suse, Pixelpark und weitere – und beweisen damit, dass OpenStack für geschäftskritische Aufgaben bereit ist.

Dennoch bleiben bei vielen noch diverse Fragen zur Sicherheit von OpenStack offen. Deshalb werden hier fünf Fragen zu OpenStack beantwortet, die Anwender und Technikspezialisten häufig stellen.

Sind Open-Source-Projekte ein leichter zu knackendes Ziel?

Es gibt keinen Grund zu glauben, dass quelloffene Software ein höheres Risiko darstellt als herstellerspezifische Software. Das US-Heimatschutzministerium hat 2006 eine Initiative zur Beurteilung des Gefährdungspotenzials von neuen Technologien und quelloffener Software (“Vulnerability Discovery and Remediation Open Source Hardening Project”) gestartet. Die Untersuchung fand durchschnittlich eine Sicherheitsschwäche pro 1000 Zeilen Programmcode. Dies stützt unsere These, dass quelloffene Software deutlich weniger kritischen Code enthält als kommerzielle Software. Der öffentliche Zugriff auf den Programmcode ermöglicht die Prüfung durch andere, wodurch Fehler und Schwächen schneller gefunden und behoben werden.



Wie schützt sich die OpenStack-Community vor angreifbarem Programmcode?

Im Gegensatz zu kommerziellen Cloud-Plattformen stellt die Sicherheit bei OpenStack eine gemeinsame Anstrengung von Tausenden von Entwicklern dar, die zusammen darauf hinarbeiten, dass OpenStack eine zuverlässige und sichere Plattform für öffentliche, private und hybride Implementierungen bietet. Bei einer so großen und robusten Community ist es sehr wichtig, Schutzmechanismen und Unterstützungsprozesse einzurichten, so dass neuer Code die strengen Sicherheitsstandards erfüllt – und zwar vom Betriebssystem bis in die Anwendungen.

Drei Gruppen konzentrieren sich darauf, angreifbaren Code aus der Herstellung fernzuhalten und aktiv Sicherheits-Updates zu verfolgen:

  • Das OpenStack-Sicherheitsprojekt (Security Project): Ein aus 250 Mitarbeitern bestehendes Sicherheits-Team arbeitet an Technik- und Steuerungsfragen und ist der zentrale Ansprechpartner für Sicherheitsprobleme. Diese Gruppe veröffentlicht auch Security Advisories (OSSA) und Security Notes (OSSN) für OpenStack-Anwender und Anbieter, die OpenStack verwenden bzw. für den kommerziellen Einsatz vertreiben.
  • Projektspezifische Sicherheitsexperten: Die meisten sicherheitsrelevanten OpenStack-Projekte werden von besonderen Prüfern auf Herz und Nieren untersucht. Sie stellen sicher, dass die Hauptversionen der Software aus sicherem Code bestehen und sie koordinieren die Entwicklung von Patch-Updates.
  • Kommerzielle OpenStack-Anbieter: Unternehmen, die OpenStack bei ihren eigenen Cloud-Umgebungen bzw. kommerziellen Produkten vertrauen, haben natürlich ein starkes Eigeninteresse daran, dass OpenStack sicher bleibt. Sie verfügen über eigene Sicherheits-Teams, die bei entdeckten Problemen mit dem OpenStack-Sicherheitsprojekt zusammenarbeiten. Die gemeinsam entwickelten Programmkorrekturen werden dann über Mitteilungen oder Updates mit der OpenStack-Community geteilt.

Wie ernst nehmen die OpenStack-Entwickler das Thema Sicherheit?

Es ist absolut notwendig, dass OpenStack-Projektentwicklern zum Schreiben sicherer Programme die passenden Werkzeuge und sonstige Unterstützung zur Verfügung stehen. Das OpenStack Security Projekt hat Richtlinien erarbeitet, mit denen Entwickler häufige Fehler vermeiden können, die zu Sicherheitslücken führen könnten. Diese Richtlinien wurden von den Entwicklern auf breiter Front angenommen. Außerdem stellt das OpenStack Security Project drei Werkzeuge zum Umgang mit Sicherheitsproblemen zur Verfügung:

  • Bandit: Ein eigenständiges Werkzeug zur Untersuchung von Quellcode. Es wurde für die Prüfung von Python-Quellcode entwickelt.
  • Syntribos: Ein Entwicklungswerkzeug, das automatisch Sicherheitslücken in OpenStack-RESTful-APIs und ‑Diensten aufdeckt.
  • Anchor: Ein kurzlebiges PKI-Zertifizierungssystem, das häufig auftretende Zertifikats-Sicherheitsprobleme durch automatische Publikationsregeln und begrenzt gültige Zertifikate abschwächt.
Die Architektur von OpenStack. (Quelle: OpenStack.org)
Die Architektur von OpenStack. (Quelle: OpenStack.org)

Wer kann uns beim Einsatz von OpenStack unterstützen?

Die meisten Unternehmen wenden sich für den Einsatz von OpenStack an eine OpenStack-Distribution oder einen anderen kommerziellen Anbieter. Auf dem OpenStack Marketplace können Sie sich in Ruhe nach Produkten und Dienstleistungen umschauen und dann eine bewusste Entscheidung fällen. Es ist wichtig zu wissen, dass sowohl die innerbetrieblichen als auch die externen OpenStack-Entwickler diesen beiden Richtlinien folgen sollten: Dem OpenStack Operations Guide, in dem Bediener, die OpenStack mindestens sechs Monate lang verwendet haben, ihre wertvollen Erfahrungen teilen, sowie dem von einer geschlossenen Gruppe an Sicherheitsexperten geschriebenen OpenStack Security Guide.

Wie bekommen wir Patches und Updates?

In den meisten Fällen werden Patches (Programmkorrekturen) über unseren Vertriebspartner getestet und verteilt. Bei Sicherheits-Updates, die zwischen die halbjährlich erscheinenden OpenStack-Versionen fallen, wird der Vertrieb entsprechend beschleunigt. Sofortkorrekturen stehen auf der jeweiligen Projektablage zum Download bereit, so dass dringende Sicherheitslücken so schnell wie möglich geschlossen werden können.

Sicherheit durch eine starke Gemeinschaft

Bei den sich ständig verändernden Sicherheitsbedrohungen stellt das große Netzwerk von Tausenden Entwicklern für die beteiligten Unternehmen einen hervorragenden Schutzmechanismus dar, weil sich so das Wissen zu Gefährdungen und die dazu passenden Patches sehr schnell verbreiten. Die Community engagiert sich für die Verbesserung der Sicherheit und Qualität der OpenStack-Cloud für alle Beteiligten.

Dieser Gastbeitrag stammt von Robert Clark, OpenStack Security Project Team Leader & Executive Security Architect bei IBM, und Travis McPeak, OpenStack Security Project Core Team & Security Architect bei IBM, sowie von Jamie Clark, VP, Architektur bei Solinea.