現在位置: ホーム / セキュリティ ブログ / OpenStack Mitakaのセキュリティについて(3)

OpenStack Mitakaのセキュリティについて(3)

今回はOpenStack MitakaでのKeystoneのセキュリティ新機能に関して、残りのものを簡単に紹介します。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

数回に分けて、Mitakaで変更されたセキュリティについて、各コンポーネントごとに見ています。

今回は、Mitakaで変更されたセキュリティの中で、Keystoneの残りの部分について簡単に説明したいと思います。


Time-based One-Time-Passwordについて

Mitakaから、KeystoneでTime-Based One-Time-Passwordをサポートするようになりました。

Time-based One-Time-Password(TOTP)は、RFC6238で定められているHMACベースのOTPの一種で、秘密鍵と現在時間を共有する一度きりのパワードを生成するアルゴリズムです。TOTPはオープン認証規格(OATH)で使われており、二段階認証システムの一つとしても用いられています。

これを用いることにより、Keystoneでもgoogleの二段階認証と連携させることが可能になります。

mitakaのKeystoneではデフォルトでは有効になっていないため、keystone.confの[auth]セクションで

[auth]
methods = external,password,token,oauth1,totp

と設定してあげる必要が有ります。

googleの二段階認証との連携方法は、こちらのページに詳しい説明が載っているので、参考にすると良いでしょう。


X.509 SSL認証のサポート

X.509は公開鍵証明書の規格の1つで、S/MIMEやSSLなどの多くのセキュリティプロトコルがベースにしている、デファクトスタンダードの規格です。

今回のMitakaでは、Kerberosの場合と同じように、トークン無しでのX.509のSSLクライアント認証をサポートするようになりました。


URLSafe

プロジェクト名とドメインに対して、URLSafeをサポートしました。

これは、URLにBase64されたバイナリデータを埋め込む際に、 +,/,= といった(意味のある)特殊な文字が入るのが嫌だという場合に使うものです。

KeystoneのMitakaからは、これが強制的に適用されるようになります。

これにより、将来プロジェクト名などで階層的なネーミングを安心して使うことが出来るようになります。


まとめ

今回はMitakaでのセキュリティ上の改善の中で、Keystoneの残りの部分について簡単に説明しました。

次回はNeutron等、その他のコンポーネントでのセキュリティ上の改善点を説明します。

また、SIOSではOpenStackのPoC支援のサポートメニュー提供を開始しています。

OpenStackに関しての導入を検討されている方は、是非こちらもご活用頂ければと思います。


[参考]

openstack mitaka

OpenStack Releases; Mitaka

[セミナー告知]

7/22にノベル株式会社様と共催で「クラウド・OSSセキュリティセミナー」と題して、OpenStack基盤自体のセキュリティに関して、デモを交えたセミナーを行います。

https://sios.secure.force.com/webform/SeminarDetail?id=70110000000sotpAAAがプログラム内容と申し込みの

詳細になりますので、是非お申し込み下さい。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン