Crie sua própria nuvem com OpenStack
Algumas pessoas gostam de pensar que executar uma nuvem privada resolve os problemas de segurança associados a provedores públicos, como Amazon. Mas só porque a sua nuvem está por trás do seu firewall não significa que os problemas de segurança desaparecem. Talvez você não precise se preocupar tanto com os riscos de vários inquilinos (talvez), mas agora é responsável por proteger tudo até o hardware físico.
Isso pode ser especialmente difícil quando se usa uma plataforma mais nova como o OpenStack, que tem pouco mais de um ano e é mal documentada. Embora eu ainda esteja aprendendo muito sobre o OpenStack, nesta dica vou discutir como construir uma nuvem privada usando o OpenStack e abordar algumas etapas para implantá-lo com segurança, com base em minhas pesquisas e testes práticos. Saiba mais!
OpenStack: como construir uma nuvem privada
O primeiro passo é configurar o hardware e o ambiente de rede corretos. Embora o OpenStack permita implantar tudo em uma única rede plana, isso não é ideal do ponto de vista da segurança. Dependendo da interface de rede virtual que você usa, isso pode permitir que uma máquina virtual Guest fareje o tráfego de gerenciamento.
Sua rede para os nós e instâncias de computação também precisam oferecer suporte à marcação de VLAN, já que esse é o mecanismo usado para isolar o tráfego entre “projetos”. Cada projeto tem seu próprio administrador e usuários, e todas as instâncias de um determinado projeto podem conversar entre si. Isso é imposto atribuindo a cada projeto sua própria VLAN e um pool de endereços IP internos e externos.
Depois de configurar o hardware e a rede, a próxima etapa é determinar onde implantar todos os componentes do OpenStack. Uma implantação típica terá um controlador e uma série de nós de computação. O controlador executa o servidor de mensagens, o banco de dados e outros componentes para orquestrar a nuvem, enquanto os nós de cálculo executam as instâncias.
Apenas duas partes precisam ser expostas ao mundo externo (mesmo que seja apenas a sua rede corporativa): o servidor da API / console da Web (se ativado) e o gerenciador de rede. Esses servidores precisam ser protegidos e você pode até mesmo usar uma terceira interface de rede para isolar o tráfego de gerenciamento de backend das conexões de usuários.
Sugestões de mudanças especificas:
- Use uma conta de usuário designada para o servidor MySQL, não a conta de administrador do MySQL raiz. Essa conta e senha serão expostas em cada nó da nuvem, mesmo se você usar a autenticação baseada em certificado, já que todos os nós precisam de acesso ao servidor de banco de dados.
- No seu arquivo de configuração do MySQL, restrinja o acesso ao servidor e sua conta de usuário do OpenStack para apenas endereços IP aprovados.
- Remova todos os componentes do sistema operacional dos quais você não precisa e certifique-se de configurar os servidores para suportar apenas logins baseados em chave por meio do SSH.
- Por padrão, o tráfego do MySQL e RabbitMQ (o servidor de mensagens) não é criptografado. Se você isolar a rede de gerenciamento e endurecer os hosts, isso não deve ser um risco muito grave. Se a rede da sua nuvem é propensa a qualquer tipo de farejamento, então você precisa criptografar o tráfego. Você pode usar o OpenSSL para lidar com isso para MySQL e RabbitMQ.
Estes são apenas alguns dos princípios básicos para você começar. Ignoramos outros problemas, como configurar o CloudPipe (um desenvolvedor de VPN especial pode usar para acessar as instâncias do projeto), gerenciar credenciais de desenvolvedor.
Conheça os 5 Motivos para migrar para a Computação em Nuvem.
Conte para a gente aqui sua experiência com criação de nuvem utilizando o OpenStack!
Agora aproveite para conhecer a solução de Cloud OpenStack que a Linux Solutions implementa e suporta ou deixe suas dúvidas sobre esse assunto nos comentários abaixo!
