Des nouvelles ont été ajoutées en tête de listes.
Remontez pour les voir.
Inscription à la newsletter
OpenStack : la check-list SecNumCloud de l'ANSSI | Silicon
Clément Bohic - Silicon -
18/06
Comment déployer OpenStack en conformité avec SecNumCloud ? L'ANSSI donne des options... en admettant certaines limites.
Glance, composant problématique pour construire des infrastructures OpenStack conformes à SecNumCloud ?
Prenez en tout cas garde, avertit l’ANSSI, aux risques résiduels qu’engendre l’absence de mécanismes de chiffrement et de cloisonnement physique des images que ce service stocke et met à disposition des VM.
Il existe, dans une certaine mesure, des palliatifs, explique l’agence. Par exemple, utiliser la capacité de chiffrement du service swift, en combinaison avec le mécanisme de contrôle d’accès oslo.policy commun aux services OpenStack. Dans ce cas, les chiffrement étant interne au service swift, les données associées aux images circulent en clair entre swift et glance. Ainsi qu’entre glance et nova (service de chiffrement des volumes). On activera donc le chiffrement de tous ces échanges.
Chiffrer les données et les flux
Au-delà du chiffrement des données, construire une infra OpenStack compatible SecNumCloud implique aussi de chiffrer les flux. En premier lieu, on configurera du TLS à l’état de l’art pour les API de tous les services. On y ajoutera du mTLS pour les service de file d’attente de messagerie et de base de données.
L’ANSSI recommande aussi la mise en place de tunnels IPSec entre le cache de jetons du service keystone et les services OpenStack. Il s’agit là de parer à l’absence de support de TLS par la ... [Courte citation de 8% de l'article original]
Loading...
🍪
Le modèle économique de notre site repose sur l'affichage de publicités personnalisées basées sur l'utilisation de cookies publicitaires. En continuant votre visite sur notre site, vous consentez à l'utilisation de ces cookies.
Politique de confidentialité