BỘ THÔNG TIN VÀ TRUYỀN THÔNG HƯỚNG DẪN BỘ TIÊU CHÍ, CHỈ TIÊU KỸ THUẬT ĐỂ ĐÁNH GIÁ VÀ LỰA CHỌN NỀN TẢNG ĐIỆN TỐN ĐÁM MÂY PHỤC VỤ CHÍNH PHỦ ĐIỆN TỬ/CHÍNH QUYỀN ĐIỆN TỬ (Kèm theo Cơng văn số /BTTTT-CATTT ngày tháng năm 2020 Bộ Thông tin Truyền thông) Hà Nội, 2020 CHƯƠNG PHẠM VI, ĐỐI TƯỢNG ÁP DỤNG 1.1 Phạm vi áp dụng Tài liệu hướng dẫn đưa tiêu chí, tiêu kỹ thuật để đánh giá, lựa chọn giải pháp tảng điện toán đám mây Căn vào tiêu chí, tiêu kỹ thuật này, quan, tổ chức nhà nước có sở để đánh giá, lựa chọn giải pháp thuê dịch vụ điện toán đám mây (sau viết tắt ĐTĐM) phục vụ phát triển Chính phủ điện tử/Chính quyền điện tử (CPĐT/CQĐT) 1.2 Đối tượng áp dụng a) Các quan, tổ chức nhà nước xây dựng, triển khai giải pháp tảng điện toán đám mây phục vụ CPĐT/CQĐT b) Doanh nghiệp cung cấp giải pháp, dịch vụ tảng điện tốn đám mây phục vụ CPĐT/CQĐT c) Khuyến khích quan, tổ chức khác tham khảo xây dựng, triển khai giải pháp tảng điện toán đám mây 1.3 Thuật ngữ, định nghĩa STT Từ viết tắt CPU Central Processing Unit Bộ xử lý trung tâm API Application Programming Interface Giao diện lập trình ứng dụng BCP Business Continuity Plan Kế hoạch trì hoạt động kinh doanh CaaS Communications as a Service Giao tiếp dịch vụ CPU Central Processing Unit Khối xử lý trung tâm IOPS Input/output operations per second Đơn vị đo hiệu xử lý vào cho thiết bị lưu trữ SPAN Switched Port Analyzer Tính phân tích lưu lượng mạng cổng Switch DNS Domain Name System Hệ thống tên miền ETS Emergency Telecommunications Dịch vụ truyền thông khẩn cấp Service Thuật ngữ tiếng Anh Thuật ngữ tiếng Việt 10 I/O Input/Output Cổng vào/ra 11 IaaS Infrastructure as a Service Dịch vụ điện toán đám mây cung cấp sở hạ tầng 12 IAM Identity and Access Management Quản lý định danh truy cập 13 ICT Information and Communication Công nghệ thông tin Truyền Technology thông 14 IP 15 iSCSI 16 IT 17 Internet Protocol Giao thức Internet Internet Small Computer System Giao diện hệ thống máy tính Interface nhỏ kết nối Internet Information Technology Công nghệ thông tin LAN Local Area Network Mạng cục 18 NaaS Network as a Service Mạng dịch vụ 19 NAS Network Attached Storage Thiết bị lưu trữ kết nối mạng 20 TLS Transport Layer Security Giao thức bảo mật tầng giao vận 21 NTP Network Time Protocol Giao thức đồng thời gian mạng 22 OS Operating System Hệ điều hành 23 PaaS Platform as a Service Dịch vụ điện toán đám mây cung cấp dịch vụ tảng 24 SaaS Software as a Service Dịch vụ điện toán đám mây cung cấp dịch vụ phần mềm 25 RSPAN Remote Switched Port Analyzer Tính phân tích lưu lượng mạng cổng Switch từ xa 1.4 Tài liệu tham khảo ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services (ISO/IEC 27017:2015 Công nghệ thông tin – Các kỹ thuật an tồn - Quy phạm thực hành kiểm sốt bảo mật thông tin dựa ISO/IEC 27002 dành cho dịch vụ đám mây) ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors (ISO/IEC 27018:2019 Công nghệ thông tin – Các kỹ thuật an tồn - Quy phạm thực hành bảo vệ thơng tin định danh cá nhân (PII) đám mây cơng cộng có chức xử lý PII) ISO/IEC 20000-9:2015 Information technology — Service management — Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud services (ISO/IEC 20000-9:2015 Công nghệ thông tin – Quản lý dịch vụ - Phần 9: Hướng dẫn áp dụng tiêu chuẩn ISO/IEC 20000-1 cho dịch vụ điện toán đám mây) ISO/IEC 19086-1:2016 Information technology — Cloud computing — Service level agreement (SLA) framework — Part 1: Overview and concepts (ISO/IEC 19086-1:2016 Cơng nghệ thơng tin – Điện tốn đám mây – Khung thỏa thuận mức dịch vụ - Phần 1: Tổng quan khái niệm) TCVN ISO 22301:2018 (ISO/IEC 22301:2012) An ninh xã hội - Hệ thống quản lý kinh doanh liên tục - Các yêu cầu TCVN ISO/IEC 27001:2018 Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản lý an toàn thông tin – Các yêu cầu NIST 800-171 Revision Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations (NIST 800-171 Sửa đổi Bảo vệ thông tin chưa kiểm sốt hệ thống thơng tin tổ chức khơng thuộc khối Chính phủ) ITU Y.3500-Y.3999 Cloud Computing (ITU Y.3500-Y.3999 Điện toán đám mây) 1.5 Bộ tiêu chí, tiêu kỹ thuật đánh giá tảng ĐTĐM Tài liệu đưa tiêu chí, tiêu kỹ thuật để đánh giá, lựa chọn tảng ĐTĐM bao gồm tiêu chí, tiêu kỹ thuật an tồn thơng tin Các tiêu chí, tiêu kỹ thuật mô tả Chương tài liệu này, bao gồm nhóm tính liên quan đến: (1) Máy ảo, (2) Thiết bị lưu trữ, (3) Mạng mạng định nghĩa phần mềm, (4) Máy vật lý, (5) Quản trị vận hành, (6) Tích hợp yêu cầu khác liên quan Các tiêu chí, tiêu kỹ thuật an tồn thơng tin mô tả Chương tài liệu này, bao gồm yêu cầu liên quan đến: (1) Yêu cầu tính an tồn thơng tin, (2) u cầu thiết lập cấu hình bảo mật cho sở hạ tầng điện toán đám mây Cơ quan, tổ chức sử dụng tiêu chí, tiêu kỹ thuật để xây dựng yêu cầu kỹ thuật việc đánh giá, lựa chọn bên cung cấp dịch vụ ĐTĐM triển khai xây dựng hạ tầng ĐTĐM Đối với doanh nghiệp cung cấp dịch vụ ĐTĐM vào tiêu chí, tiêu kỹ thuật để đánh giá khả đáp ứng yêu cầu hệ thống mình, sở đề xuất Bộ Thông tin Truyền thống đánh giá làm sở khuyến nghị quan, tổ chức sử dụng dịch vụ Bộ tiêu chí, tiêu kỹ thuật phù hợp để đánh giá mơ hình ĐTĐM mô tả Mục 2.2 2.3 tài liệu CHƯƠNG TỔNG QUAN VỀ NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY 2.1 Khái niệm điện toán đám mây a) Điện tốn đám mây mơ hình dịch vụ cho phép sử dụng tài nguyên điện toán dùng chung (mạng, máy chủ, lưu trữ, ứng dụng, dịch vụ) thông qua kết nối mạng Tài nguyên điện toán đám mây thiết lập hủy bỏ người dùng mà không cần can thiệp Nhà cung cấp dịch vụ b) Đặc điểm ĐTĐM: - Tự phục vụ theo yêu cầu (On-demand self-service): Cho phép người dùng đưa yêu cầu hệ thống để đáp ứng nhu cầu sử dụng như: thời gian sử dụng máy chủ, tài nguyên hệ thống sách truy cập mạng - Truy cập mạng diện rộng (Broad network access): Cho phép truy cập, quản lý sử dụng dịch vụ qua kết nối mạng - Dùng chung tài nguyên không phụ thuộc vị trí vật lý: Tài nguyên nhà cung cấp dịch vụ dùng chung, phục vụ cho nhiều người dùng (mơ hình multi-tenant) Mơ hình cho phép tài nguyên phần cứng tài nguyên ảo hóa cấp phát theo nhu cầu người dùng mà khơng phụ thuộc vào vị trí vật lý - Khả đáp ứng yêu cầu thay đổi nhanh chóng (Rapid elasticity): Khả cho phép thay đổi hệ thống cách nhanh chóng theo nhu cầu người sử dụng Khả cho phép nhà cung cấp sử dụng tài nguyên hiệu quả, tận dụng triệt để tài nguyên dư thừa, phục vụ nhiều người sử dụng Đối với người sử dụng dịch vụ, khả giúp họ giảm chi phí sử dụng - Kiểm soát dịch vụ (Measured service): Hệ thống điện toán đám mây có khả tự điều khiển tinh chỉnh tài nguyên sử dụng cách áp dụng biện pháp kiểm soát cho loại dịch vụ Tài nguyên sử dụng giám sát, kiểm soát cho phép tính tốn tài ngun thực mà người dùng sử dụng nhằm tối ưu tài nguyên hệ thống 2.2 Phân loại số phương pháp triển khai ĐTĐM Hình –Các mơ hình triển khai điện tốn đám mây a) ĐTĐM công cộng (Public Cloud): Đây hạ tầng ĐTĐM dùng cho tất khách hàng hạ tầng dùng chung nhà cung cấp dịch vụ Khách hàng đăng ký với nhà cung cấp trả phí sử dụng dựa theo sách giá nhà cung cấp vào yêu cầu tài nguyên bên sử dụng dịch vụ ĐTĐM công cộng phù hợp với đối tượng khách hàng có quy mơ vừa nhỏ, liệu khách hàng không yêu cầu bảo mật mức cao Ví dụ khách hàng thuê máy chủ ảo để phục vụ hoạt động bán hàng trực tuyến b) ĐTĐM riêng (Private Cloud): Đây hạ tầng ĐTĐM dành cho khách hàng Hệ thống đặt TTDL quan, tổ chức TTDL nhà cung cấp dịch vụ quản lý khách hàng, nhà cung cấp bên thứ ba Ví dụ tường hợp khách hàng th khơng gian vật lý TTDL doanh nghiệp để đặt hệ thống thuê hạ tầng riêng TTDL doanh nghiệp tự quản lý, vận hành Mô hình ĐTĐM riêng phù hợp với đối tượng khách hàng có liệu quan trọng, yêu cầu bảo mật cao Tuy nhiên, mơ hình u cầu khách hàng có đội ngũ nhân có chun mơn để quản lý vận hành hệ thống Trách nhiệm liên quan đến bảo đảm an tồn thơng tin mạng trách nhiệm khách hàng Nhà cung cấp dịch vụ bảo đảm mặt hạ tầng thành phần mà nhà cung cấp dịch vụ quản lý vận hành Trường hợp khách hàng tự triển khai xây dựng quản lý vận hành hạ tầng ĐTĐM riêng nên thuê dịch vụ chuyên nghiệp nhà cung cấp dịch vụ trình xây dựng thiết lập hệ thống Nhà cung cấp dịch vụ chuyển giao công nghệ, đào tạo, hướng dẫn quản lý vận hành cho khách hàng sau hoàn thiện hệ thống c) ĐTĐM lai (Hybrid Cloud): Là kết hợp ĐTĐM riêng ĐTĐM công cộng Phương án cho phép khách hàng tối ưu việc sử dụng dịch vụ sở sử dụng kết hợp hai mơ hình Ví dụ thành phần hệ thống có xử lý liệu quan trọng, yêu cầu bảo mật cao sử dụng ĐTĐM riêng Đối với hệ thống thành phần xử lý liệu quan trọng, u cầu bảo mật khơng cao sử dụng ĐTĐM công cộng Theo cách khách hàng tiết kiệm chi phí, tối ưu tài nguyên hệ thống d) ĐTĐM liên kết tảng (Multicloud): Là hạ tầng ĐTĐM thiết lập sở kết nối nhiều đám mây chung nhà cung cấp dịch vụ khác Việc cho phép khách hàng sử dụng ĐTĐM chung nhà cung cấp ĐTĐM liên kết tảng không phụ thuộc vào nhà cung cấp cịn lại Điển hình việc doanh nghiệp triển khai ứng dụng gốc nhiều nhà cung cấp dịch vụ đám mây khác đồng thời Amazon Web Service, Azure Mirosoft, Google Cloud Platform… 2.3 Phân loại mơ hình cung cấp dịch vụ ĐTĐM a) Dịch vụ điện toán đám mây cung cấp sở hạ tầng (IaaS - Infrastructureas-a-Service): Là khái niệm dịch vụ cung cấp hạ tầng điện toán đám mây Khách hàng thuê dịch vụ sở hạ tầng trả họ sử dụng Trong mơ hình này, khách hàng tồn quyền quản trị hạ tầng máy chủ bao gồm hệ điều hành, ứng dụng liệu máy chủ Mơ hình cung cấp dịch vụ phù hợp với mơ hình triển khai ĐTĐM riêng, khách hàng yêu cầu hạ tầng, hệ thống độc lập b) Dịch vụ điện toán đám mây cung cấp dịch vụ tảng (PaaS - Platform as a Service): Là khái niệm dịch vụ cho thuê tảng điện toán đám mây Nhà cung cấp có nhiệm vụ quản trị vận hành tồn sở hạ tầng dịch vụ cung cấp cho khách hàng tảng phần mềm để chạy ứng dụng dịch vụ Khách hàng việc sử dụng tảng thuê để xây dựng ứng dụng dịch vụ cho người dùng mà không cần quan tâm đến hiệu năng, khả mở rộng nâng cấp hệ thống Mơ hình cung cấp dịch vụ phù hợp với mơ hình triển khai ĐTĐM cơng cộng, khách hàng có quy mô vừa nhỏ không yêu cầu bảo mật liệu mức cao c) Dịch vụ điện toán đám mây cung cấp dịch vụ phần mềm (SaaS - Software as a Service): Là khái niệm cho thuê ứng dụng điện toán đám mây Người dùng đơn giản thuê sử dụng ứng dụng mà không cần quan tâm vấn đề hạ tầng hay tảng phần mềm họ sử dụng Ví dụ, dịch vụ Office online cho phép người dùng thuê sử dụng Office online thông qua giao diện website mà không cần phải cài đặt phần mềm hay ứng dụng Mơ hình cung cấp dịch vụ phù hợp với mơ hình triển khai ĐTĐM cơng cộng, người dùng đầu cuối sử dụng dịch vụ ĐTĐM ứng dụng dịch vụ 2.4 Lựa chọn phương án triển khai tảng ĐTĐM Việc triển khai tảng ĐTĐM triển khai theo phương án tự xây dựng quản lý, vận hành thuê dịch vụ chuyên nghiệp doanh nghiệp Đối với phương án tự triển khai, quản lý vận hành yêu cầu quan, tổ chức có đội ngũ chuyên gia có kinh nghiệm lực để xây dựng, quản lý, vận hành, trì bảo đảm an tồn thơng tin cho tảng Do đó, quan, tổ chức khuyến nghị triển khai theo hướng thuê dịch vụ chuyên nghiệp doanh nghiệp Tuy nhiên, số hệ thống thơng tin có u cầu đặc thù riêng, yêu cầu đơn vị chủ quản tự quản lý, vận hành hệ thống, quan, tổ chức cần xem xét phương án thuê doanh nghiệp triển khai xây dựng hạ tầng ĐTĐM Sau hệ thống xây dựng hồn thiện doanh nghiệp bàn giao, chuyển giao công nghệ, đào tạo hướng dẫn quản lý vận hành hệ thống Trường hợp quan, tổ chức thuê dịch vụ dịch vụ hạ tầng điện tốn đám mây doanh nghiệp, Bộ Thơng tin Truyền thông khuyến nghị quan, tổ chức ưu tiên lựa chọn doanh nghiệp danh sách Bộ Thông tin Truyền thông công bố doanh nghiệp cung cấp dịch vụ ĐTĐM đáp ứng tiêu chí, tiêu kỹ thuật Doanh nghiệp lựa chọn phải tuân thủ quy định pháp luật bảo đảm an tồn hệ thống thơng tin theo cấp độ theo quy định tại Luật An tồn thơng tin mạng, Nghị định 85/2016/NĐ-CP ngày 01/7/2016, Thông tư 03/2017/TT-BTTTT ngày 24/4/2017 quy định khác liên quan; có phương án bảo đảm an tồn thơng tin đáp ứng yêu cầu tiêu chuẩn quốc gia TCVN 11930:2017; tuân thủ tiêu chuẩn kỹ thuật quy định Thông tư số 39/2017/TT-BTTTT ngày 15/12/2017 đáp ứng tiêu chí, tiêu kỹ thuật văn hướng dẫn CHƯƠNG TIÊU CHÍ, CHỈ TIÊU KỸ THUẬT TỐI THIỂU CHO CƠ SỞ HẠ TẦNG ĐIỆN TOÁN ĐÁM MÂY Cơ quan, tổ chức, doanh nghiệp xây dựng, triển khai, cung cấp dịch vụ tảng ĐTĐM phải đáp ứng tiêu chí, tiêu kỹ thuật tài liệu tiêu chuẩn, quy chuẩn kỹ thuật khác liên quan Yêu cầu tiêu chí, tiêu kỹ thuật cụ thể với tính phương pháp đánh giá mơ tả chi tiết Phụ lục tài liệu 3.1 Yêu cầu máy chủ ảo 3.1.1 Tạo máy ảo Cho phép tạo máy chủ ảo thông qua giao diện đồ họa (GUI), qua giao diện dòng lệnh (CLI) giao diện lập trình ứng dụng (API) tích hợp với hệ thống khác 3.1.2 Tạo nhiều máy ảo lúc Cho phép người dùng tạo nhiều máy ảo lúc với số lượng loại hệ điều hành khác 3.1.3 Tùy biến máy ảo Cho phép người dùng tạo máy ảo từ tệp tin hệ điều hành mà hệ thống hỗ trợ; tùy biến máy ảo muốn tạo lưu lại máy ảo sau tùy biến thành tệp tin hệ điều hành; lưu trữ tệp tin hệ điều hành người dùng tạo nhóm tệp tin hệ điều hành tùy biến; sử dụng giao diện cổng thông tin quản trị (web portal) để tạo máy ảo tùy ý 3.1.4 Nhập / xuất máy ảo Cho phép người dùng tải lên tạo máy ảo từ tệp tin hệ điều hành khác nhau; lưu lại máy ảo chạy thành tệp tin hệ điều hành có định dạng cho phép người dùng tải xuống tệp tin hệ điều hành STT Tên tính Tiêu chí, tiêu kỹ thuật Giao tiếp Giải pháp cung cấp tính cho phép thành thành phần qua kênh phần giao tiếp qua kênh TLS TLS Giải pháp cung cấp 02 tính sau: Cho phép quản trị viên tạo chứng thư điện tử tự kí (Self-signed) TLS để đẩy nhanh trình triển Hỗ trợ TLS tự kí khai (Self-signed TLS) Cho phép chứng thư điện tử tạo đơn vị cấp chứng thư (CA) tin cậy (trusted certificate authority) Tích hợp giao diện cổng thơng tin quản trị hỗ trợ sử dụng kênh TLS Giải pháp cung cấp tính cho phép quản trị viên cấu hình để áp dụng sách phải sử dụng kênh Chuyển hướng kết TLS kết nối truy cập vào giao diện cổng nối qua sử dụng TLS thông tin dùng phiên HTTP khơng mã hóa giống lựa chọn dự phịng Giải pháp cung cấp 03 tính sau: Ghi log hoạt động hành động thực tất thành phần Ghi log hoạt động Cho phép quản trị viên xem xét, kiểm tra log thu hành động thông qua thành phần báo cáo Chuyển log thu thập cho bên thứ ba cung cấp giải pháp bảo mật để xem xét, kiểm tra kỹ Tách biệt máy ảo với Giải pháp cung cấp tính đảm bảo máy ảo phần mềm giám sát giám sát phần mềm giám sát máy ảo không máy ảo gây ảnh hưởng đến phần mềm giám sát 10 Giải pháp cung cấp tính đảm bảo phần mềm Phân quyền cho máy giám sát máy ảo phân quyền cho máy ảo mà giám ảo truy cập đến tài sát truy cập đến tài nguyên theo sách quản nguyên trị tảng 11 Giải pháp cung cấp tính cho phép quản trị viên Cấu hình cho phần cấu hình cho phần mềm giám sát máy ảo kiểm tra mềm giám sát máy tính hợp lệ cấu hình phần mềm giám sát ảo máy ảo Giải pháp cung cấp tính tích hợp giao diện cổng thông tin quản trị hỗ trợ sử dụng kênh TLS dành cho người dùng đầu cuối quản trị viên muốn kết nối qua kênh TLS 49 STT Tên tính Tiêu chí, tiêu kỹ thuật Giải pháp cung cấp tính phịng chống việc mát, rò rỉ, thay đổi liệu trình lưu trữ nhớ dùng chung truyền tin qua mạng chia sẻ 12 Bảo vệ liệu 13 Tách biệt máy ảo Giải pháp cung cấp tính tách biệt hồn tồn với máy ảo với logic 14 Giải pháp cung cấp 02 tính sau: Đảm bảo chức quản trị vận hành hệ thống định nghĩa sẵn 02 mức quyền truy cập cho API client (ví dụ: quyền root quyền user, quyền root cao quyền user) Đảm bảo chức quản trị vận hành hệ thống xác thực client dựa tiêu chí định nghĩa trước quản trị viên Đảm bảo API hệ thống có 02 mức quyền truy cập định nghĩa sẵn cho API client 2.2 Yêu cầu thiết lập cấu hình bảo mật cho hạ tầng điện tốn đám mây Bảng mơ tả u cầu việc thiết lập cấu hình bảo mật cho hạ tầng điện toán đám mây Việc thiết lập cấu yêu cầu áp dụng Các yêu cầu đánh giá “Đạt” việc thiết lập cấu mơ tả (nội dung Mơ tả tiêu chí) thiết lập mức bảo mật cao Đánh giá “Không đạt” việc thiết lập cấu hình mức thấp tiêu chí mơ tả Nội dung mơ tả tiêu chí bảng sở tham khảo thiết lập cấu hình bảo mật tảng OpenStack, quan, tổ chức thực đánh giá với tảng khác thực tương tự với tảng OpenStack STT I Tính Tiêu chí, tiêu kỹ thuật Dịch vụ xác thực 50 STT Tính Tiêu chí, tiêu kỹ thuật Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: Tệp tin /etc/keystone/keystone.conf gán quyền sở hữu cho tài khoản keystone nhóm tài khoản keystone Tệp tin /etc/keystone/keystone-paste.ini gán quyền sở hữu cho tài khoản keystone nhóm tài khoản keystone Tệp tin /etc/keystone/policy.json gán quyền sở hữu cho tài khoản keystone nhóm tài khoản keystone Cấp quyền sở hữu Tệp tin /etc/keystone/logging.conf gán quyền phù hợp cho tệp sở hữu cho tài khoản keystone nhóm tài khoản tin cấu hình dịch vụ keystone xác thực Tệp tin /etc/keystone/tls/certs/signing_cert.pem gán quyền sở hữu cho tài khoản keystone nhóm tài khoản keystone Tệp tin /etc/keystone/tls/private/signing_key.pem gán quyền sở hữu cho tài khoản keystone nhóm tài khoản keystone Tệp tin /etc/keystone/tls/certs/ca.pem gán quyền sở hữu cho tài khoản keystone nhóm tài khoản keystone Thư mục /etc/keystone/ gán quyền sở hữu cho tài khoản keystone nhóm tài khoản keystone Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: Tệp tin /etc/keystone/keystone.conf gán quyền truy cập tối thiểu 640 Tệp tin /etc/keystone/keystone-paste.ini gán Cấp quyền truy cập quyền truy cập tối thiểu 640 phù hợp cho tệp Tệp tin /etc/keystone/policy.json gán quyền tin cấu hình dịch vụ truy cập tối thiểu 640 xác thực Tệp tin /etc/keystone/logging.conf gán quyền truy cập tối thiểu 640 Tệp tin /etc/keystone/tls/certs/signing_cert.pem gán quyền truy cập tối thiểu 640 Tệp tin /etc/keystone/tls/private/signing_key.pem gán quyền truy cập tối thiểu 640 51 STT Tính Tiêu chí, tiêu kỹ thuật Tệp tin /etc/keystone/tls/certs/ca.pem gán quyền truy cập tối thiểu 640 Thư mục /etc/keystone/ gán quyền truy cập tối thiểu 750 Kích hoạt kênh TLS máy chủ Cho phép người quản trị kết nối, quản trị với tảng cung cấp dịch vụ điện toán đám mây thông qua kết nối bảo mật TLS xác thực Sử dụng hàm băm mạnh cho token tạo hạ tầng khóa cơng khai PKI (Public Key Infrastructure) dịch vụ xác thực Tham số thiết lập cho tệp tin cấu hình với tảng OpenStack (thực tương tự tảng Phòng chống khác) sau: công DoS (Denial- - Tham số max_request_body_size tệp tin /etc/ of-Service) keystone/keystone.conf gán giá trị 114688 (theo mặc định) gán giá trị hợp lý phù hợp với môi trường triển khai thực tế Tham số thiết lập cho tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) sau: Phòng chống lợi Tham số admin_token phần [DEFAULT] dụng token admin tệp tin /etc/keystone/keystone.conf vô hiệu hóa để chiếm quyền (được gán giá trị rỗng) quản trị Tham số AdminTokenAuthMiddleware phần [filter:admin_token_auth] tệp tin /etc/keystone /keystone-paste.ini xóa Tham số thiết lập cho tệp tin cấu hình với tảng OpenStack (thực tương tự tảng Ẩn thông tin khác) sau: nhạy cảm - Tham số insecure_debug phần [DEFAULT] trình xác thực tệp tin /etc/keystone/keystone.conf gán giá trị False Tham số thiết lập cho tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số hash_algorithm phần [token] tệp tin /etc/keystone/keystone.conf gán giá trị SHA256 52 STT Tính Tiêu chí, tiêu kỹ thuật Tham số thiết lập cho tệp tin cấu hình với tảng Thiết lập chế OpenStack (thực tương tự tảng đảm bảo an tồn khác) sau: cho q trình sinh - Tham số provider phần [token] tệp tin /etc/ token keystone/keystone.conf gán giá trị fernet II Dịch vụ quản trị giao diện dashboard Tham số thiết lập cho tệp tin cấu hình với tảng Cấp quyền sở hữu OpenStack (thực tương tự tảng phù hợp cho tệp khác) sau: tin cấu hình dịch vụ - Tệp tin /etc/openstack-dashboard/local_settings.py dashboard gán quyền sở hữu cho tài khoản root nhóm tài khoản horizon Tham số thiết lập cho tệp tin cấu hình với tảng Cấp quyền truy cập OpenStack (thực tương tự tảng phù hợp cho tệp khác) sau: tin cấu hình dịch vụ - Tệp tin /etc/openstack-dashboard/local_settings.py dashboard gán quyền truy cập tối thiểu 640 Tham số thiết lập cho tệp tin cấu hình với tảng OpenStack (thực tương tự tảng Phòng chống khác) sau: công XFS (Cross- Tham số DISALLOW_IFRAME_EMBED tệp Frame Scripting) tin /etc/openstack-dashboard/local_settings.py gán giá trị True Tham số thiết lập cho tệp tin cấu hình với tảng Phòng chống OpenStack (thực tương tự tảng công CSRF (Cross- khác) sau: Site Request - Tham số CSRF_COOKIE_SECURE tệp tin Forgery) /etc/openstack-dashboard/local_settings.py gán giá trị True Phịng chống lấy cắp session ID thơng qua cơng MitM (Man-in-theMiddle) Phòng chống lấy Tham số thiết lập cho tệp tin cấu hình với tảng cắp session ID OpenStack (thực tương tự tảng thông qua công khác) sau: Tham số thiết lập cho tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số SESSION_COOKIE_SECURE tệp tin /etc/openstack-dashboard/local_settings.py gán giá trị True 53 STT Tính Tiêu chí, tiêu kỹ thuật XSS (Cross-Site - Tham số SESSION_COOKIE_HTTPONLY Scripting) tệp tin /etc/openstack-dashboard/local_settings.py gán giá trị True Tham số thiết lập cho tệp tin cấu hình với tảng OpenStack (thực tương tự tảng Vơ hiệu hóa tính khác) sau: tự động điền - Tham số PASSWORD_AUTOCOMPLETE mật tệp tin /etc/openstack-dashboard/local_settings.py gán giá trị False Tham số thiết lập với tảng OpenStack (thực Vơ hiệu hóa tính tương tự tảng khác) sau: hiển thị rõ - Tham số DISABLE_PASSWORD_REVEAL mật tệp tin /etc/openstack-dashboard/local_settings.py gán giá trị True Tham số thiết lập với tảng OpenStack (thực Thiết lập chế tương tự tảng khác) sau: cho phép quản trị viên thay đổi mật - Tham số ENFORCE_PASSWORD_CHECK tệp tin /etc/openstack-dashboard/local_settings.py gán giá trị True 10 Tham số thiết lập với tảng OpenStack (thực Định nghĩa biểu tương tự tảng khác) sau: thức quy - Tham số PASSWORD_VALIDATOR tệp tin kiểm tra mật /etc/openstack-dashboard/local_settings.py gán giá trị khác với giá trị mặc định "regex": '.*' 11 Định nghĩa giá trị cho header XForwarded-Proto kết nối đến dịch vụ dashboard qua proxy kênh TLS III Dịch vụ tính tốn Các tệp tin cấu hình với tảng OpenStack (thực Cấp quyền sở hữu tương tự tảng khác) bao gồm: phù hợp cho tệp Tệp tin /etc/nova/nova.conf gán quyền sở hữu tin cấu hình dịch vụ cho tài khoản root nhóm tài khoản nova tính tốn Tệp tin /etc/nova/api-paste.ini gán quyền sở hữu cho tài khoản root nhóm tài khoản nova Tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số SECURE_PROXY_TLS_HEADER tệp tin /etc/openstack-dashboard/local_settings.py gán hai giá trị 'HTTP_X_FORWARDED_ PROTO', 'https' 54 STT Tính Tiêu chí, tiêu kỹ thuật Tệp tin /etc/nova/policy.json gán quyền sở hữu cho tài khoản root nhóm tài khoản nova Tệp tin /etc/nova/rootwrap.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản nova Thư mục /etc/nova/ gán quyền sở hữu cho tài khoản root nhóm tài khoản nova Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: Tệp tin /etc/nova/nova.conf gán quyền truy cập tối thiểu 640 Cấp quyền truy cập Tệp tin /etc/nova/api-paste.ini gán quyền truy phù hợp cho tệp cập tối thiểu 640 tin cấu hình dịch vụ Tệp tin /etc/nova/policy.json gán quyền truy tính tốn cập tối thiểu 640 Tệp tin /etc/nova/rootwrap.conf gán quyền truy cập tối thiểu 640 Thư mục /etc/nova/ gán quyền truy cập tối thiểu 750 Thiết lập chế xác thực dịch vụ xác thực kết nối đến dịch vụ tính tốn Tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số auth_strategy tệp tin /etc/nova/nova conf gán giá trị keystone Thiết lập chế xác thực qua kênh TLS kết nối đến dịch vụ tính tốn Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số www_authenticate_uri phần [keystone_ authtoken] tệp tin /etc/nova/nova.conf gán giá trị đường dẫn API đầu cuối đến máy chủ cung cấp dịch vụ keystone bắt đầu với xâu https:// Tham số insecure phần [keystone_authtoken] tệp tin /etc/nova/nova.conf gán giá trị False Thiết lập chế giao tiếp qua kênh TLS dịch vụ tính tốn dịch vụ quản lý máy chủ ảo Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số api_máy chủ phần [glance] tệp tin /etc/nova/nova.conf gán giá trị đường dẫn API đầu cuối đến máy chủ cung cấp dịch vụ glance bắt đầu với xâu https:// Tham số api_insecure phần [glance] tệp tin /etc/nova/nova.conf gán giá trị False 55 STT IV Tính Tiêu chí, tiêu kỹ thuật Dịch vụ lưu trữ Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: Tệp tin /etc/cinder/cinder.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản cinder Tệp tin /etc/cinder/api-paste.ini gán quyền sở Cấp quyền sở hữu hữu cho tài khoản root nhóm tài khoản cinder phù hợp cho tệp Tệp tin /etc/cinder/policy.json gán quyền sở tin cấu hình dịch vụ hữu cho tài khoản root nhóm tài khoản cinder lưu trữ Tệp tin /etc/cinder/rootwrap.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản cinder Thư mục /etc/cinder/ gán quyền sở hữu cho tài khoản root nhóm tài khoản cinder Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: Tệp tin /etc/cinder/cinder.conf gán quyền truy cập tối thiểu 640 Cấp quyền truy cập Tệp tin /etc/cinder/api-paste.ini gán quyền truy phù hợp cho tệp cập tối thiểu 640 tin cấu hình dịch vụ Tệp tin /etc/cinder/policy.json gán quyền truy lưu trữ cập tối thiểu 640 Tệp tin /etc/cinder/rootwrap.conf gán quyền truy cập tối thiểu 640 Thư mục /etc/cinder/ gán quyền truy cập tối thiểu 750 Thiết lập chế xác thực dịch vụ xác thực kết nối đến dịch vụ lưu trữ Tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số auth_strategy tệp tin /etc/cinder/ cinder.conf gán giá trị keystone Thiết lập chế xác thực qua kênh TLS kết nối đến dịch vụ lưu trữ Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số www_authenticate_uri phần [keystone_ authtoken] tệp tin /etc/ cinder/cinder.conf gán giá trị đường dẫn API đầu cuối đến máy chủ cung cấp dịch vụ keystone bắt đầu với xâu https:// 56 STT Tính Tiêu chí, tiêu kỹ thuật Tham số insecure phần [keystone_authtoken] tệp tin /etc/cinder/cinder.conf gán giá trị False Thiết lập chế giao tiếp qua kênh TLS dịch vụ lưu trữ dịch vụ tính tốn Tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số nova_api_insecure phần [DEFAULT] tệp tin /etc/cinder/cinder.conf gán giá trị False Thiết lập chế giao tiếp qua kênh TLS dịch vụ lưu trữ dịch vụ quản lý máy chủ ảo Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số glance_api_máy chủ phần [glance] tệp tin /etc/cinder/cinder.conf gán giá trị đường dẫn API đầu cuối đến máy chủ cung cấp dịch vụ glance bắt đầu với xâu https:// Tham số glance_api_insecure phần [glance] tệp tin /etc/cinder/cinder.conf gán giá trị False Thiết lập chế đảm bảo an toàn vận hành thiết bị NAS (Network Attached Storage) Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số nas_secure_file_permissions phần [DEFAULT] tệp tin /etc/cinder/cinder.conf gán giá trị auto Tham số nas_secure_file_operations phần [DEFAULT] tệp tin /etc/cinder/cinder.conf gán giá trị auto Tham số thiết lập với tảng OpenStack (thực Phòng chống tương tự tảng khác) sau: công DoS (Denial- - Tham số max_request_body_size phần [oslo_ of-Service) middleware] tệp tin /etc/cinder/cinder.conf gán giá trị 114688 Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Kích hoạt tính Tham số backend phần [key_manager] tệp mã hóa volume tin /etc/cinder/cinder.conf gán giá trị Tham số backend phần [key_manager] tệp tin /etc/nova/nova.conf gán giá trị V Dịch vụ quản lý máy chủ ảo Cấp quyền sở hữu Các tệp tin cấu hình với tảng OpenStack (thực phù hợp cho tệp tương tự tảng khác) bao gồm: 57 STT Tính Tiêu chí, tiêu kỹ thuật tin cấu hình dịch vụ Tệp tin /etc/glance/glance-api-paste.ini gán quản lý máy chủ ảo quyền sở hữu cho tài khoản root nhóm tài khoản glance Tệp tin /etc/glance/glance-api.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản glance Tệp tin /etc/glance/glance-cache.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản glance Tệp tin /etc/glance/glance-manage.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản glance Tệp tin /etc/glance/glance-registry-paste.ini gán quyền sở hữu cho tài khoản root nhóm tài khoản glance Tệp tin /etc/glance/glance-registry.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản glance Tệp tin /etc/glance/glance-scrubber.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản glance Tệp tin /etc/glance/glance-swift-store conf gán quyền sở hữu cho tài khoản root nhóm tài khoản glance Tệp tin /etc/glance/policy.json gán quyền sở hữu cho tài khoản root nhóm tài khoản glance 10 Tệp tin /etc/glance/schema-image.json gán quyền sở hữu cho tài khoản root nhóm tài khoản glance 11 Tệp tin /etc/glance/schema.json gán quyền sở hữu cho tài khoản root nhóm tài khoản glance 12 Thư mục /etc/glance/ gán quyền sở hữu cho tài khoản root nhóm tài khoản glance Cấp quyền truy cập phù hợp cho tệp tin cấu hình dịch vụ quản lý máy chủ ảo Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: Tệp tin /etc/glance/glance-api-paste.ini gán quyền truy cập tối thiểu 640 58 STT Tính Tiêu chí, tiêu kỹ thuật Tệp tin /etc/glance/glance-api.conf gán quyền truy cập tối thiểu 640 Tệp tin /etc/glance/glance-cache.conf gán quyền truy cập tối thiểu 640 Tệp tin /etc/glance/glance-manage.conf gán quyền truy cập tối thiểu 640 Tệp tin /etc/glance/glance-registry-paste.ini gán quyền truy cập tối thiểu 640 Tệp tin /etc/glance/glance-registry.conf gán quyền truy cập tối thiểu 640 Tệp tin /etc/glance/glance-scrubber.conf gán quyền truy cập tối thiểu 640 Tệp tin /etc/glance/glance-swift-store.conf gán quyền truy cập tối thiểu 640 Tệp tin /etc/glance/policy.json gán quyền truy cập tối thiểu 640 10 Tệp tin /etc/glance/schema-image.json gán quyền truy cập tối thiểu 640 11 Tệp tin /etc/glance/schema.json gán quyền truy cập tối thiểu 640 12 Thư mục /etc/glance/ gán quyền truy cập tối thiểu 750 Thiết lập chế xác thực dịch vụ xác thực kết nối đến dịch vụ quản lý máy chủ ảo Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số auth_strategy phần [DEFAULT] tệp tin /etc/glance/glance-api.conf gán giá trị keystone Tham số auth_strategy phần [DEFAULT] tệp tin /etc/glance/glance-registry.conf gán giá trị keystone Thiết lập chế xác thực qua kênh TLS kết nối đến dịch vụ quản lý máy chủ ảo Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số www_authenticate_uri phần [keystone_ authtoken] tệp tin /etc/glance/glanceregistry conf gán giá trị đường dẫn API đầu cuối đến máy chủ cung cấp dịch vụ keystone bắt đầu với xâu https:// Tham số insecure phần [keystone_authtoken] tệp tin /etc/glance/glance-registry.conf gán giá trị False 59 STT Tính Tiêu chí, tiêu kỹ thuật Tham số thiết lập với tảng OpenStack (thực Phòng chống tương tự tảng khác) sau: cơng qt thăm dị - Tham số copy_from tệp tin /etc/glance/policy port json gán giá trị (ví dụ: role:admin) VI Dịch vụ chia sẻ lưu trữ Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: Tệp tin /etc/manila/manila.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản manila Tệp tin /etc/manila/api-paste.ini gán quyền sở Cấp quyền sở hữu hữu cho tài khoản root nhóm tài khoản manila phù hợp cho tệp Tệp tin /etc/manila/policy.json gán quyền sở tin cấu hình dịch vụ hữu cho tài khoản root nhóm tài khoản manila chia sẻ lưu trữ Tệp tin /etc/manila/rootwrap.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản manila Thư mục /etc/manila/ gán quyền sở hữu cho tài khoản root nhóm tài khoản manila Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: Tệp tin /etc/manila/manila.conf gán quyền truy cập tối thiểu 640 Tệp tin /etc/manila/api-paste.ini gán quyền truy Cấp quyền truy cập cập tối thiểu 640 phù hợp cho tệp Tệp tin /etc/manila/policy.json gán quyền truy tin cấu hình dịch vụ cập tối thiểu 640 chia sẻ lưu trữ Tệp tin /etc/manila/rootwrap.conf gán quyền truy cập tối thiểu 640 Thư mục /etc/manila/ gán quyền truy cập tối thiểu 750 Thiết lập chế xác thực dịch vụ xác thực kết nối đến dịch vụ chia sẻ lưu trữ Tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số auth_strategy phần [DEFAULT] tệp tin /etc/manila/manila.conf gán giá trị keystone 60 Tính Tiêu chí, tiêu kỹ thuật Thiết lập chế xác thực qua kênh TLS kết nối đến dịch vụ chia sẻ lưu trữ Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số identity_uri phần [keystone_authtoken] tệp tin /etc/manila/manila.conf gán giá trị đường dẫn API đầu cuối đến máy chủ cung cấp dịch vụ keystone bắt đầu với xâu https:// Tham số insecure phần [keystone_authtoken] tệp tin /etc/manila/manila.conf gán giá trị False Thiết lập chế giao tiếp qua kênh TLS dịch vụ chia sẻ lưu trữ dịch vụ tính tốn Tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số nova_api_insecure phần [DEFAULT] tệp tin /etc/manila/manila.conf gán giá trị False Thiết lập chế giao tiếp qua kênh TLS dịch vụ chia sẻ lưu trữ dịch vụ quản lý mạng Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số neutron_api_insecure phần [DEFAULT] tệp tin /etc/manila/manila.conf gán giá trị False Thiết lập chế giao tiếp qua kênh TLS dịch vụ chia sẻ lưu trữ dịch vụ lưu trữ Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số cinder_api_insecure phần [DEFAULT] tệp tin /etc/manila/manila.conf gán giá trị False Các tham số thiết lập với tảng OpenStack Phòng chống (thực tương tự tảng khác) sau: công DoS (Denial- - Tham số max_request_body_size phần [oslo_ of-Service) middleware] tệp tin /etc/manila/manila.conf gán giá trị 114688 STT VII Dich vụ quản lý mạng (networking) Các tệp tin cấu hình với tảng OpenStack (thực Cấp quyền sở hữu tương tự tảng khác) bao gồm: phù hợp cho tệp Tệp tin /etc/neutron/neutron.conf gán quyền sở tin cấu hình dịch vụ hữu cho tài khoản root nhóm tài khoản neutron quản lý mạng Tệp tin /etc/neutron/api-paste.ini gán quyền sở hữu cho tài khoản root nhóm tài khoản neutron 61 STT Tính Tiêu chí, tiêu kỹ thuật Tệp tin /etc/neutron/policy.json gán quyền sở hữu cho tài khoản root nhóm tài khoản neutron Tệp tin /etc/neutron/rootwrap.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản neutron Thư mục /etc/neutron/ gán quyền sở hữu cho tài khoản root nhóm tài khoản neutron Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: Tệp tin /etc/neutron/neutron.conf gán quyền truy cập tối thiểu 640 Cấp quyền truy cập Tệp tin /etc/neutron/api-paste.ini gán quyền phù hợp cho tệp truy cập tối thiểu 640 tin cấu hình dịch vụ Tệp tin /etc/neutron/policy.json gán quyền truy quản lý mạng cập tối thiểu 640 Tệp tin /etc/neutron/rootwrap.conf gán quyền truy cập tối thiểu 640 Thư mục /etc/neutron/ gán quyền truy cập tối thiểu 750 Thiết lập chế xác thực dịch vụ xác thực kết nối đến dịch vụ quản lý mạng Tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số auth_strategy phần [DEFAULT] tệp tin /etc/neutron/neutron.conf gán giá trị keystone Thiết lập chế xác thực qua kênh TLS kết nối đến dịch vụ quản lý mạng Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số www_authenticate_uri phần [keystone_ authtoken] tệp tin /etc/neutron/neutron.conf gán giá trị đường dẫn API đầu cuối đến máy chủ cung cấp dịch vụ keystone bắt đầu với xâu https:// Tham số insecure phần [keystone_authtoken] tệp tin /etc/neutron/neutron.conf gán giá trị False Thiết lập chế giao tiếp qua kênh TLS dịch vụ quản lý mạng đối tượng khác Tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số use_tls phần [DEFAULT] tệp tin /etc/neutron/neutron.conf gán giá trị True VIII Dịch vụ quản lý thông tin mật 62 Tính Tiêu chí, tiêu kỹ thuật Cấp quyền sở hữu phù hợp cho tệp tin cấu hình dịch vụ quản lý thơng tin mật Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: File /etc/barbican/barbican.conf gán quyền sở hữu cho tài khoản root nhóm tài khoản barbican File /etc/barbican/barbican-api-paste.ini gán quyền sở hữu cho tài khoản root nhóm tài khoản barbican File /etc/barbican/policy.json gán quyền sở hữu cho tài khoản root nhóm tài khoản barbican Directory /etc/barbican/ gán quyền sở hữu cho tài khoản root nhóm tài khoản barbican Cấp quyền truy cập phù hợp cho tệp tin cấu hình dịch vụ quản lý thơng tin mật Các tệp tin cấu hình với tảng OpenStack (thực tương tự tảng khác) bao gồm: File /etc/barbican/barbican.conf gán quyền truy cập tối thiểu 640 File /etc/barbican/barbican-api-paste.ini gán quyền truy cập tối thiểu 640 File /etc/barbican/policy.json gán quyền truy cập tối thiểu 640 Directory /etc/barbican/ gán quyền truy cập tối thiểu 750 Thiết lập chế xác thực dịch vụ xác thực kết nối đến dịch vụ quản lý thông tin mật Tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: - Tham số auth_strategy liệt kê phần [pipeline:barbican-api-keystone] file /etc/ barbican/barbican-api-paste.ini Thiết lập chế xác thực qua kênh TLS kết nối đến dịch vụ quản lý thông tin mật Các tham số thiết lập với tảng OpenStack (thực tương tự tảng khác) sau: Tham số identity_uri phần [keystone_authtoken] file /etc/barbican/barbican.conf gán giá trị đường dẫn API đầu cuối đến máy chủ cung cấp dịch vụ keystone bắt đầu với xâu https:// Tham số insecure phần [keystone_authtoken] file /etc/barbican/barbican.conf gán giá trị False STT 63