OpenStack absichern: REST-APIs und Datenbanken härten

Die Cloud-Infrastruktur OpenStack bietet zahlreiche Angriffsflächen, doch feinere Zugriffsregeln und Kryptografie helfen zumindest gegen einige Schwachstellen.

Artikel verschenken

27.11.2018, 16:40 Uhr

Lesezeit: 14 Min.

iX Magazin

Von

Marius Feldmann
Markus Hentsch
Kai Martius
Josephine Seifert

OpenStack absichern: REST-APIs und Datenbanken härten
- Gefahrenquelle REST-APIs
- Datenbank mit TLS und Zertifikat schützen
- Message Queue und Cloud-Ressourcen absichern
- Fazit

Artikel in iX 10/2018 lesen

OpenStack verwaltet Cloud-Computing-Plattformen und besteht aus vielen Einzelkomponenten, die größtenteils in Python geschrieben sind. Aufgrund seiner komplexen Infrastruktur ist OpenStack allerdings vielfältigen Angriffen ausgesetzt. Bei dem Gedanken an die Absicherung kommt einem der bekannte Satz von Bruce Schneier in den Sinn: "Komplexität ist der größte Feind der Sicherheit."

Typischerweise werden in OpenStack-Infrastrukturen zwar punktuelle Sicherheitsvorkehrungen wie das Ausführen von Prozessen ohne Systemverwaltungsrechte getroffen. Aber ein umfassendes Sicherheitskonzept im Sinne von kontrollierten Kommunikationsregeln und kryptografisch gesicherten Verbindungen zwischen den Diensten ist keine verbindliche Vorgabe. Der offizielle Security Guide entspricht eher einer fragmentierten Sammlung von Empfehlungen ohne darunterliegendes Gesamtkonzept. Provider, die eine OpenStack-Infrastruktur einrichten und betreiben, können zwar eine Vielzahl von Linux-Bordmitteln nutzen, müssen aber selbstständig geeignete Maßnahmen aus einem Bedrohungsmodell ableiten.

Die größte Gefahr lauert bei den REST-APIs der Komponenten. Doch auch die zentrale Datenbank muss man schützen. Mit verschlüsselten Volumes und signierten Images lassen sich zudem Cloud-Ressourcen absichern, hierbei hilft der Schlüsseldienst Barbican.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Günstigerer Strom für die Wärmepumpe: Was Sie jetzt wissen müssen

Wärmepumpenstrom soll künftig automatisch günstiger sein. An welche Bedingungen das geknüpft ist und was für Bestandsgeräte schon jetzt gilt.

Ein dunkelblauer Hintergrund mit kleinen roten Strichen. Im Vordergrund auf der linken Seite ist ein Universiäts Absolventen Hut.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Ein großer Screen macht das Arbeiten am Mac viel angenehmer. Modelle mit USB-C-Buchse liefern zudem Ports mit. Wir haben fünf 4K-Monitore mit 27 Zoll getestet.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

Das Bild zeigt zwei Kreditkarten von Mastercard und Visa.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Da ihre Vorgängerin nur in geringen Stückzahlen erhältlich war, sind viele Fotografen gespannt auf die neue Edelkompakte Fujifilm X100VI.

Günstigerer Strom für die Wärmepumpe: Was Sie jetzt wissen müssen

Wärmepumpenstrom soll künftig automatisch günstiger sein. An welche Bedingungen das geknüpft ist und was für Bestandsgeräte schon jetzt gilt.

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Drei Jahre lang Mathematik, Logik und Programmieren lernen. Das Informatikstudium ist ein klassischer Weg in die IT. Wir zeigen, wie es abläuft.

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Ein großer Screen macht das Arbeiten am Mac viel angenehmer. Modelle mit USB-C-Buchse liefern zudem Ports mit. Wir haben fünf 4K-Monitore mit 27 Zoll getestet.

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Wir zeigen, welche Smart-Home-Lösung sich für wen lohnt: Amazons Echo Hub für 200 Euro oder die kostenlose Smart-Home-Software Home Assistant.

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

ETF: So sicher ist der MSCI World

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

OpenStack absichern: REST-APIs und Datenbanken härten

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Günstigerer Strom für die Wärmepumpe: Was Sie jetzt wissen müssen

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Fujifilm X100VI im Test: Neuauflage der beliebten Edelkompaktkamera

Günstigerer Strom für die Wärmepumpe: Was Sie jetzt wissen müssen

Karrierewechsel: Warum sich ein Informatikstudium auch für Quereinsteiger lohnt

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Smart-Home-Zentralen im Vergleich: Amazons Echo Hub gegen Home Assistant

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.