Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 65 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
65
Dung lượng
2,09 MB
Nội dung
MỤC LỤC MỤC LỤC LỜI CẢM ƠN DANH MỤC BẢNG BIỂU DANH MỤC HÌNH ẢNH TÓM TẮT LUẬN VĂN MỞ ĐẦU Chương CÁC VẤN ĐỀ AN NINH ĐIỆN TOÁN ĐÁM MÂY 10 1.1 Những vấn đề an ninh đưa CSA .10 1.2 Các vấn đề đưa ENISA 13 1.3 Các vấn đề an ninh đưa NIST 15 1.4 So sánh vấn đề an ninh CSA, ENISA, NIST 18 1.4.1 So sánh vấn đề sách, tổ chức hợp pháp 18 1.4.2 Sự so sánh vấn đề kỹ thuật CSA, ENISA, NIST 20 1.5 Kết Luận 23 Chương QUẢN LÝ ĐỊNH DANH, TRUY CẬP VÀ DỮ LIỆU TRONG OPENSTACK 24 2.1 Quản lý định danh truy cập 24 2.1.1 Identity Provisioning/Deprovisioning 24 2.1.2 Xác thực 26 2.2 Điều khiển truy cập ủy quyền 27 2.2.1 Quyền Reseller Admin 28 2.2.2 Tính di động liệu ủy quyền 29 2.3 Dữ liệu Openstack 29 2.3.1 Vị trí liệu 29 2.3.2 Sao lưu phục hồi .31 2.3.3 Xóa liệu 32 2.4 Kết Luận 32 Chương Triển khai Openstack, phân tích vấn đề an ninh 33 3.1 Triển khai Openstack 33 3.1.1 Thông tin Lab 33 3.1.2 Các bước thực .33 3.1.3 Cài đặt thành phần Openstack 35 3.1.4 Sử dụng Openstack chạy dịch vụ .39 3.2 Phân tích vấn đề an ninh Openstack đưa giải pháp, khuyến nghị 44 3.2.1 Tấn công Injection 44 3.2.2 Lưu trữ mật yêu cầu độ mạnh yếu 46 3.2.3 Vấn đề an ninh Token 50 3.2.4 Cô lập liệu 56 3.3 Kết luận 59 KẾT LUẬN 61 TÀI LIỆU THAM KHẢO 62 PHỤ LỤC .64 LỜI CẢM ƠN Đầu tiên, mu n gửi lời biết ơn chân thành tới PGS.TS Ngô Hồng Sơn, người trực tiếp hướng dẫn tạo điều kiện cho thời gian, gi p đ tận t nh kiến thức, ch dẫn, định hướng tài liệu tham khảo quý báu Tiếp theo, xin cảm ơn thầy cô Viện Công Nghệ Thông Tin Truyền Thông – Đại h c Bách khoa Hà Nội đ giảng dạy, truyền đạt kiến thức cho su t thời gian qua Tôi c ng xin cảm ơn gia đ nh, bạn b đ chia s , gi p đ h c tập thời gian thực nghiên cứu đề tài Trong báo cáo chắn không tránh kh i ch thiếu sót, mong nhận lời góp ý, ch bảo t thầy cô để hoàn thiện đề tài m nh t t DANH MỤC BẢNG BIỂU Bảng Các vấn đề an ninh đưa CSA 11 Bảng Các vấn đề an ninh đưa ENISA .14 Bảng Các vấn đề đưa NIST 16 Bảng So sánh vấn đề an ninh CSA, ENISA, NIST 19 Bảng So sánh vấn đề kỹ thuật CSA, ENISA NIST 20 DANH MỤC HÌNH ẢNH Hình Xác thực Openstack Object Storage 27 Hình Quá trình lấy liệu Openstack Object Storage 29 Hình Mô hình Openstack 34 Hình Cấu hình Ubuntu Server 34 Hình Cấu hình mạng Ubuntu server 34 Hình Tạo user 35 Hình Tạo Databases 36 Hình Cài đặt Keystone tạo user 36 Hình Tạo tenants 37 Hình 10 Tạo role 37 Hình 11 Các image upload lên Glance 37 Hình 12 Các thành phần Nova 38 Hình 13 Danh sách Block Storage Cinder 38 Hình 14 Các thành phần Neutron 38 Hình 15 Thông tin Swift 39 Hình 16 Đăng nhập vào Horizon 39 Hình 17 Upload image lên Glance 40 Hình 18 Thông tin mạng EXT 40 Hình 19 Thông tin mạng INT 41 Hình 20 Cấu hình Router 41 Hình 21 Topolopy mạng 42 Hình 22 Cấu hình Instance 42 Hình 23 Cấu hình security 43 Hình 24 Khởi chạy Instance Centos 43 Hình 25 Chạy dịch vụ Webserver 44 Hình 26 Phần mềm SQLMap 45 Hình 27 Kết kiểm tra Injection 46 Hình 28 Tệp cấu hình Swift 47 Hình 29 Tạo user với mật ký tự 48 Hình 30 Thêm kiểm tra mật 49 Hình 31 Mật không đạt yêu cầu 49 Hình 32 Chạy Reverse Proxy 51 Hình 33 Phần mềm OWASP WebScarab 51 Hình 34 Một Token sau đ m hóa MD5 52 Hình 35 Bảng giá trị so sánh Tokens 53 Hình 36 Đồ thị Tokens 53 Hình 37 Phần mềm Burp Sequencer 54 Hình 38 Kết sau phân tích 55 Hình 39 Biểu đồ bit token 55 Hình 40 UUID Keystone .56 Hình 41 Cấu hình mã hóa MD5 58 Hình 42 Trước thay đổi chức Md5 58 Hình 43 Sau thay đổi chức MD5 58 Hình 44 Giá trị Hash_Path_Prefix tệp cấu hình 59 TÓM TẮT LUẬN VĂN Điện toán đám mây xu hướng công nghệ lĩnh vực công nghệ thông tin với giải pháp hạ tầng dành riêng cho tổ chức giải pháp công cộng Mặc dù đ triển khai rộng rãi song rào cản lớn việc ứng dụng, triển khai tồn Bảo đảm an toàn thông tin s vấn đề quan tr ng Openstack phần mềm m nguồn mở cho việc xây dựng đám mây riêng công cộng, phát triển NASA Rackspace Hiện có nhiều công ty tổ chức triển khai sử dụng Openstack Do việc nghiên cứu, t m hiểu Openstack vấn đề an ninh thông tin Openstack xử lý đóng vai trò quan tr ng việc triển khai tảng Điện toán đám mây lĩnh vực rộng phát triển tiêu chuẩn an ninh cho dịch vụ điện toán mây tr nh phát triển Luận văn t m hiểu vấn đề thông qua khảo sát tài liệu điện toán đám mây danh sách tổng hợp vấn đề Tiếp theo luận văn đánh giá vấn đề tảng Openstack Object Storage Các công việc cần làm là: Nghiên cứu tài liệu an ninh điện toán đám mây tổ chức sử dụng, tổng hợp phân tích vấn đề chung an ninh điện toán đám mây Triển khai mô h nh Openstack s ứng dụng Phân tích vấn đề an ninh điện toán đám mây Openstack đưa khuyến cáo MỞ ĐẦU Lý chọn đề tài Hiện điện toán đám mây nói chung Openstack m nguồn mở nói riêng phát triển nhận nhiều ch ý tập đoàn, công ty lớn giới Bên cạnh việc triển khai phát triển th việc nghiên cứu phân tích vấn đề an ninh c ng quan tr ng Do việc nghiên cứu, kiểm tra vấn đề an ninh thông tin Openstack cần thực nhằm củng c thêm Openstack c ng cảnh báo, khuyến nghị công ty hoạt động với Openstack t t Mục tiêu đề tài Đề tài tập trung nghiên cứu vấn đề an ninh thông tin Openstack đưa phương pháp xử lý có nguy an ninh Đề đạt mục đích đề tài cần tập trung vào mục sau: T m hiểu phân tích tài liệu an ninh đám mây , tổng hợp Các tài liệu tạo bảng vấn đề an ninh cần kiểm tra Triển khai Openstack Phân tích vận hành Openstack danh sách vấn đề an ninh đưa khuyến cáo Phương pháp nghiên cứu Phân tích tài liệu an ninh điện toán đám mây Triển khai Openstack thực bước kiểm thử black-box and white-box Kết đạt Comment [SH1]: Cần có kết cụ thể việc m nh làm, không viết chung chung Qua phân tích, nghiên cứu luận văn đạt kết sau: Phân tích đưa vấn đề an ninh quan tr ng điện toán đám mây cần phải kiểm tra trước triển khai vào thực tiễn Triển khai thành công Openstack với s mô h nh dịch vụ Openstack Phân tích vấn đề an ninh phổ biến Openstack đưa khuyến cao nhằm nâng cao an ninh, bảo mật Bố cục luận văn Luận văn chia làm chương sau: Chương 1: Các vấn đề an ninh điện toán đám mây Chương t m hiểu tài liệu điện toán đám mây đưa so sánh c ng danh sách vấn đề an ninh cần ch ý Chương 2: Quản lý định danh, truy cập liệu Openstack Chương t m hiểu vấn đề quản lý định danh, truy cập quản lý liệu Openstack (Openstack Object Storage) nhằm ch vấn đề an ninh hành Chương 3: Triển khai Openstack, phân tích vấn đề an ninh Openstack Chương triển khai project Openstack, sau phân tích thực tế vấn đề an ninh Openstack xử lý sao, đưa khuyến cáo Chương CÁC VẤN ĐỀ AN NINH ĐIỆN TOÁN ĐÁM MÂY Trong tr nh phân tích vấn đề an ninh phần mềm Openstack trước hết cần phải nhận diện m i an ninh có liên quan đến điện toán đám mây Để làm điều phải nghiên cứu sau so sánh tài liệu tổ chức, viện công ty lớn viện công nghệ thông tin lớn đưa Để cho tr nh so sánh t t nhất, luận văn đ lựa ch n tài liệu liên quan đến an ninh đám mây phát hành tổ chức tiêu biểu Cloud Security Alliance – CSA [1] hai tổ chức có quỹ phủ châu Âu Mỹ là: European Network and Information Security Agency – ENISA [2] National Institute of Standart and Technology – NIST [3] Trong phần đây, luận văn tr nh bày nội dung tài liệu CSA, ENISA NIST Sau tiến hành đưa so sánh vấn đề nêu tài liệu đưa kết việc phân tích 1.1 Những vấn đề an ninh đưa CSA CSA tổ chức phi lợi nhuận thành lập cu i năm 2008 sau có khởi xướng nhằm đảm bảo an ninh điện toán đưa hội nghị an ninh thông tin [1] Hầu hết công ty IT lớn có liên quan đến điện toán đám mây hợp tác làm việc với thành viên CSA bao gồm Google, Microsoft, IBM, Salesfore.com, Vmware… [1] Các vấn đề an ninh CSA đưa tài liệu "Security Guidance for Critical Areas of Focus in Cloud Computing" [4] Tài liệu hướng dẫn viếtđưa bước cần thiết cho việc công ty đ sẵn sàng cho việc chuyển đổi sang dịch vụ Cloud hay chưa Bao gồm: Xác định đánh giá tài nguyên cho việc triển khai vào Cloud, ánh xạ tài nguyên đến mô h nh triển khai sẵn có, định ước tiềm nhà cung cấp Cloud phác h a dòng liệu [4] Vấn đề an ninh mô tả sau Sau m i miêu tả vấn đề an ninh, khuyến nghị làm giảm bớt đưa Các vấn đề an ninh chia thành hai loại sau: 10 Với OWASP WebScarab ch lấy thông tin t Set-Cookie header Response body Token Openstack chứa trường X-Subject-Token, ch ng ta cần sử dụng phần mềm trung gian để lấy nội dung trường Xsubject-Token để đưa vào trường Set-Cookie header cho OWASP WebScarab để sử dụng Phần mềm Reverse proxy [25] Hình 32 Chạy Reverse Proxy Tiến hành chạy OWASP WebScarab sử dụng chức SessionID Analysis Hình 33 Phần mềm OWASP WebScarab Dựa vào hàm API Openstack cung cấp sẵn Keytone API[36], cho phép ch ng ta sử dụng hàm g i HTTP thông qua POST GET để lấy thông tin Token… dựa vào Header có tương ứng Điền thông tin người dùng đế xác thực với hệ th ng Keystone Openstack theo tham s sau: POST http://127.0.0.1:9562/v3/auth/tokens HTTP/1.0 Content-Type: application/json Content-length: 403 Name: admin 51 Password: Welcome@123 Thông qua đoạn m hàm g i HTTP API cho phép giao tiếp với Keystone để lấy Token [phục lục 1] Ch ng ta xác thực với Keystone với tài khoản user lấy Token qua trường X-Subject-TokenĐoạn m sử dụng URL keystone với lời g i HTTP 1.0 cung cấp thông tin đăng nhập Ở ch ng ta phân tích Token cho user có quyền Admin với thông tin đăng nhập Admin password: Welcome@123 Webcarab lấy Token dựa vào trường X-Storage-Token sau đưa lên biểu đồ Hình 34 Một Token sau đ m hóa MD5 Hình 34 thể Token mà phần mềm lấy sau đ xác thực thành công với Keystone thông qua API Do phần mềm không định sẵn trước header “Token” nên ch ng đ đ dùng proxy trung gian nhằm chuyển đổi header “ Token” thành header “ JSESSIONID” header thường dùng xác thự website 52 Hình 35 Bảng giá trị so sánh Tokens Trong h nh s 35 tập hợp tất Token mà phần mềm đ lấy khoảng thời gian Cùng với giá trị sau đươc chuyển đổi sang s Token, so sánh sai khác giá trị Token Ch ng ta thấy giá trị Token khác nhiều Giá trị sai khác lớn cho thấy Token tạo t t, trường hợp Token tạo trùng sai khác khoảng thời gian gần Hình 36 Đồ thị Tokens 53 Tiếp theo ch ng ta đưa giá trị Token m hóa MD5 chuyển đổi sang giá trị s lên đồ thị để có nh n trực quan Đồ thị cho thấy giá trị Token qua m c thời gian Với đồ thị n t đ biểu thị cho Token mà gần nhau, nhóm thành cụm th Token tạo với giá trị gần gi ng khoảng thời gian ngắn Điều có nghĩa Token dễ đoán trước dự đoán Token nhờ vào Token trước Với h nh 36 ch ng ta thấy có tụ điểm Token gần Ch ng phân tán t t khoảng thời gian ngắn cho thấy Token khó dự đoán trước nhờ biết Token trước Tiếp theo ch ng ta sử dụng Burp Sequencer để kiểm tra chất lượng c ng độ ngẫu nhiên Token Hình 37 Phần mềm Burp Sequencer C ng gi ng phần mềm trước đó, Burp Sequencer sử dụng URL Keystone sử dụng hàm API để xác thực nhận lấy Token sau đ xác thực thành công Ch ng ta tiến hành thu thập Tokens qua việc cung cấp user/password Các Tokens lấy nhiều th phân tích cho kết xác Ch ng ta kiểm thử việc lấy 1000 tokens Sau phân tích ta có kết h nh 38 54 Hình 38 Kết sau phân tích Kết cho thấy chất lượng độ ngẫu nhiên Tokens ghi nhận t t Token sử dụng có độ dài 950 ký tự Với h nh 39 sau đ tính toán ký tự sai khác Token Ch ng ta có biểu đồ h nh, h nh ch ng ta thấy Token sử dụng bit cho giá trị cu i t 610 đến 950 để thay đổi giá trị, bit để thay đổi giá trị đầu Ch vài giá trị giữ nguyên Token tạo Với thay đổi thời gian ngắn, việc tạo Token t t, giá trị Token sai khác nhiều khó đoán trước, tính ngẫu nhiên Token c ng cao Hình 39 Biểu đồ bit token Sau phân tích Tokens dựa vào việc sử dụng công cụ, ch ng ta vào phân tích tệp cấu h nh dành cho việc khởi tạo Tokens Tệp cấu h nh chứa thông tin tạo Tokens uuid.py tại: /usr/lib/python2.7/dist-packages/keystone/token/providers/uuid.py 55 Hình 40 UUID Keystone Dựa vào mã nguồn thấy Tokens tạo dựa vào chế tạo mã ngẫu nhiên UUID phiên Theo RFC 4122 UUID phiên 4tạo giá trị ngẫu nhiên dựa vào truly-random Psedo-random[10].Theo RFC 4122 không gi ng phiên khác, UUID không ch bao gồm giá trị ngâu nhiên bao gồm giá trị thời gian, lock sequence gồm bits K m theo việc tạo Token tổng hợp gồm UUID chế radom Ubuntu [26] Dựa vào tài kiểm tra phân tích ch ng ta thấy việc tạo Tokens dự đoán trước, tính ngẫu nhiên Token cao m i lo ngại an ninh, l hổng tìm thấy 3.2.4 Cô lập liệu Theo chương 2, sử dụng m hóa MD5 để m hóa đường dẫn logical Object, sau dựa vào phương pháp dịch bit để có thông tin partion lưu Object thông qua vòng Ring Với mã hóa hoàn hảo với m i đường dẫn mã hóa cho giá trị tuyệt đ i không trùng lặp với giá trị khác Tuy nhiên với mã hóa MD5 sử dụng 16 bytes độ dài giá trị mà tùy ý Do g đảm bảo có hai đường dẫn khác có giá trị hash sau mã hóa Việc mã MD5 dự đoán dẫn đến kịch sau: 56 Tài khoản A tải lên FileA containerA Tài khoản B tải lên FileB containeB Tài khoản B tải xu ng fileB nhận fileA Việc xảy chức m hóa MD5 đ cho giá trị mã hóa đường dẫn khác Khi server yêu cầu lưu trữ fileA trước tiên kiểm tra thông tin đăng nhập userA Sau xác nhận UserA có quyền tải file lên ContainerA Nó cho phép tải lên Sau đó, chức m hóa m hóa đường dẫn /accountA/containerA/FileA Dựa vào phép dịch bit s thứ tự partion tính.Khi đường dẫn lý ObjectA Object/Bit arithmetic/def/hash code AccountB tài lên c ng tương tự AccountB Do giá trị mã hóa gi ng lên s partion c ng gi ng nhau, dẫn đến đường dẫn vật lý gi ng Và theo quy định, Object có timedate c bị xóa Cu i AccountA tải xu ng fileA nhận FileB thay fileA ban đầu Các nhà phát triển đ nhận m i đe d a người công t m đường dẫn mà mã MD5 mã hóa giá trị tiến hanh tải file lên liệu c khách hàng khác bị xóa Thực tế cho thấy khả m hóa MD5 cho giá trị với đầu vào khác 0.1% [11] nhiên với công ty lớn Gmail th ngày có nhiều email gửi Do khả 0.1% lớn Thêm chức hash Openstack dễ dàng tìm thấy tệp cấu hình đường dẫn sau: root@controller:/usr/lib/python2.7/dist-packages/swift/common/utils.py 57 Hình 41 Cấu h nh m hóa MD5 Dựa vào hình 40 thấy Keystone đ sử dụng đường dẫn cho Container, Object… giá trị Hash_Path_Suffix để tránh l i hổng MD5 bị khai khác Chúng ta thử nghiệm việc thay đổi cách mã hóa MD5 hệ th ng truy cập vào Container Hình 42 Trước thay đổi chức Md5 Sau thay đổi chức MD5 th Openstack đ kiểm tra thư mục tạo trước Hình 43 Sau thay đổi chức MD5 Để ngăn chặn việc thêm giá trị khác vào đường dẫn logical Object trước đem m hóa g i Hash_Path_Prefix Cho dù người 58 công dò đường dẫn có giá trị mã hóa gi ng nhau, nhiên Openstack lại thêm Hash_Path_Prefix nên giá trị mã hóa lúc khác Bởi v người công biết Hash_Path_Prefix Hình 44 Giá trị Hash_Path_Prefix tệp cấu h nh Việc Hash_Path_Prefix cần bí mật Tuy nhiên thông s cấu hình tệp đính k m đ c dạng ký tự nên có khả bị công Trong việc phân tích vấn đề ch ng ta đưa khuyến nghị sau: Người quản trị hệ th ng phải đảm bảo tệp cấu hình /etc/swift/swift.config phải bảo vệ trước việc thay đổi nội dung K m theo lưu c ng lưu ý tới T Nếu giá trị Hash_Path_Prefix mà bị thay đổi liệu tải lên Openstack Object trước truy cập, l c có lưu Hash_Path_prefix khôi phục liệu 3.3 Kết luận Trong chương ch ng ta đ triển khai thành công Openstack c ng dịch vụ K m theo ch ng ta đ kiểm thử s vấn đề an ninh cấp thiết Openstack: Vấn đề công Injection: Injection Openstack xử lý t t, không thấy m i đe d a Tuy nhiên nhà phát triển cần nhận thức việc sử dụng truy vấn sơ khai RawQuery Vấn đề mật khẩu: Openstack quản lý mật chưa t t có nhiều vấn đề cần cải thiện m hóa mật hệ th ng, yêu cầu độ mạnh mật cho user Kèm 59 theo luận văn c ng đ đưa khuyến nghị nhằm khắc phục tình trạng sử dụng Regex Hacklib Vấn đề Token: Qua phân tích Tokens thu mã nguồn ta thấy Token có tính ngẫu nhiên cao, khó để đoán Token Điều cần cải thiện cập nhập thêm UUID có thuật toán ngẫu nhiên t t Vấn đề lưu trữ liệu Openstack đ khắc phục t t l i MD5 cách thêm trường Hash_Path_Suffix nhiên lại không quản lý t t tệp Luận văn khuyến nghị nhà quản trị nên sử dụng modul mã hóa kèm theo tạo lưu trường hợp cần phục hồi 60 KẾT LUẬN Trong luận văn đ phân tích s vấn đề an ninh Openstack, đưa vấn đề an ninh cần ch ý, đảm bảo sử dụng dịch vụ đám mây Trong tr nh thực hiện, đ t m hiểu tài liệu cung cấp tổ chức lớn CSA, ENISA, NIST lập danh sách vấn đề an ninh sử dụng đánh giá giải pháp đám mây Openstack Tiếp theo, luận văn đ thực phân tích quản lý truy cập định danh Openstack, bao gồm: Quá tr nh định danh, xác thực, điều khiển truy cập ủy quyền c ng liệu Openstack K m theo kết tìm vấn đề an nình hữu như: Tấn công Injection, độ mạnh yếu bảo vệ mật khẩu, vấn đề an ninh token, cô lập liệu người dùng Openstack phát triển nhanh m i tháng update Do công việc tương lai đánh giá update này, với project c ng đưa Heat, Ceilometer, Trove[28] Thêm vấn đề an ninh đưa chương tiến hành kiểm thử thêm vấn đề cấp thiết đ phân tích chương 61 TÀI LIỆU THAM KHẢO [1] Cloud Security Alliance About Cloud Security Alliance https://cloudsecurityalliance.org/about/ [2] The European Union Agency for Network and Information Security https://www.enisa.europa.eu/about-enisa [3] The National Institute of Standards and Technology https://www.nist.gov/about-nist [4] G Brunette and R Mogull Security Guidance for Critical Areas of Focus in Cloud Computing, Version 2.1 Technical report, Cloud Security Alliance, December 2009 http://www.cloudsecurityalliance.org/guidance/csaguide.v2.1.pdf [5] D Catteddu and G Hogben Cloud Computing Security Risk Assessment Technical report, European Network and Information Security Agency, November 2009 http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment/at_download/fullReport [6] E Brown Cloud Computing at NIST: Two New Draft Documents and a Wiki http://www.nist.gov/itl/csd/cloud-020111.cfm [7] NIST NIST Cloud Computing Collaboration Site http://collaborate.nist.gov/twiki-cloud-computing/bin/view/CloudComputing/ [8] W Jansen and T Grance Guidelines on security and privacy in public cloud computing Technical report, National Institute of Standards and Technology, January 2011 Draft Special Publication 800-144 http://csrc.nist.gov/publications/drafts/800-144/Draft-SP-800-144_cloud-computing.pdf [9] Tombstone (data store) https://en.wikipedia.org/wiki/Tombstone_(data_store) [10 P Leach, M Mealling, and R Salz RFC 4122: A Universally Unique IDentifier (UUID) URN http://www.ietf.org/rfc/rfc4122.txt [17] Security of Django https://docs.djangoproject.com/es/1.9/topics/security/ [18] SQLmap for injection testing http://sqlmap.org [19] Hashlib - secure hashes http://docs.python.org/library/hashlib.html [20] Electronic Authentication Guideline http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf 62 [21] Password validator http://docs.openstack.org/developer/horizon/topics/settings.html#password-validator [22] Python-crack https://pypi.python.org/pypi/python-crack/0.5 [23] OWASP WebScarab Project https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project [24] PortSwigger Web Security Burp Sequencer https://portswigger.net/burp/sequencer.html [25] Reverse proxy https://github.com/wunderlist/moxy [26] Ubuntu Manpage: random, urandom - kernel random number source devices http://manpages.ubuntu.com/manpages/xenial/en/man4/random.4.html [27] OpenStack Swift and the hash_path_suffix https://www.mirantis.com/blog/openstack-swift-hash_path_suffix-can-go-wrong [28] Openstack Mitaka https://www.openstack.org/software/mitaka/ [29] Reseller admins being able to manipulate files from every account https://answers.launchpad.net/swift/+question/154305 [30] Rings http://swift.openstack.org/1.2/overview_ring.html [31] R Slipetskyy Suggestion for data backup/recovery in swift https://lists.launchpad.net/openstack/msg02632.html [32] Security in Openstack http://www2.imm.dtu.dk/pubdb/views/edoc_download.php/6075/pdf/imm6075.pdf [33] Service Provisioning Markup Language https://en.wikipedia.org/wiki/Service_Provisioning_Markup_Language [34] OATH https://openauthentication.org/about-oath/ [35] R Slipetskyy Privacy concern: Reseller admins being able to manipulate files from every account https://answers.launchpad.net/swift/+question/154305 [36] Keystone API http://developer.openstack.org/api-ref-identity-v3.html 63 PHỤ LỤC [1] M giao tiếp với Keystone thông qua RESTFUL API POST http://10.51.177.190:5000/v3/auth/tokens HTTP/1.1 content-type: application/json Content-length: 402 { "auth": { "identity": { "methods": [ "password" ], "password": { "user": { "name": "admin", "password": "Welcome@123", "domain": { "name":"Default" } } } } } } [2] Cài đặt NTP, RabbitMQ, Cấu h nh Interfaces https://github.com/diepnt90/Openstack_lab/blob/master/0-icehouse-aio-prepare.sh [3] Cài đặt SQL, tạo databases https://github.com/diepnt90/Openstack_lab/blob/master/1-icehouse-aio-install-mysql.sh [4] Cài đặt Keystone 64 https://github.com/diepnt90/Opehttps://github.com/diepnt90/Openstack_lab/blob/master/2icehouse-aio-install-keystone.sh [5] Create user, tenant, role https://github.com/diepnt90/Openstack_lab/blob/master/3-icehouse-aio-creatusetenant.sh [6] Cài đặt Glance upload images https://github.com/diepnt90/Openstack_lab/blob/master/4-icehouse-aio-install-glance.sh [7] Cài đặt Nova dịch vụ https://github.com/diepnt90/Openstack_lab/blob/master/5-icehouse-aio-install-nova.sh [8] Cài đặt Cinder https://github.com/diepnt90/Openstack_lab/blob/master/6-icehouse-aio-install-cinder.sh [9] Cài đặt Neutron https://github.com/diepnt90/Openstack_lab/blob/master/8-icehouse-aio-install-neutron.sh [10] Cài đặt Swift https://github.com/vietstacker/icehouse-aio-ubuntu14.04/blob/master/10-icehouse-aioswift.sh [11] Cài đặt Hozion https://github.com/diepnt90/Openstack_lab/blob/master/9-icehouse-aio-install-horizon.sh 65 ... hoàn thiện đề tài m nh t t DANH MỤC BẢNG BIỂU Bảng Các vấn đề an ninh đưa CSA 11 Bảng Các vấn đề an ninh đưa ENISA .14 Bảng Các vấn đề đưa NIST 16 Bảng So sánh vấn đề an ninh CSA,... tất vấn đề chia xác mục lớn: Vấn đề tổ chức sách, vấn đề kỹ thuật vấn đề pháp lý Một mô tả vấn đề an ninh đưa 13 Bảng Các vấn đề an ninh đưa ENISA Khóa (Lock-in) mục bảng 2: Dữ liệu vấn đề dịch... Storage) nhằm ch vấn đề an ninh hành Chương 3: Triển khai Openstack, phân tích vấn đề an ninh Openstack Chương triển khai project Openstack, sau phân tích thực tế vấn đề an ninh Openstack xử lý