Cloudová politika
Tento dokument popisuje provozní pravidla, která CESNET uplatňuje na svá cloudová zařízení. Dokumentuje technická opatření vyvinutá k dosažení přiměřené úrovně provozní bezpečnosti cloudové služby. Hlavním cílem tohoto dokumentu je definovat opatření a pravidla pro omezení bezpečnostních rizik, která představují cloudové aplikace a uživatelé, a poskytnout proveditelné mechanismy pro usnadnění řešení bezpečnostních incidentů, k nimž by mohlo dojít v cloudových zařízeních.
Dokument byl vytvořen s ohledem na stávající Bezpečnostní zásady EGI. Kdykoli je to vhodné, odkazujeme na existující zásady, abychom definovali potřebný rozsah. Například kdykoli je zmíněno "schvalování obrazů", odkazujeme na Zásady zabezpečení pro podporu a provoz obrazů virtuálních strojů. Ostatní zásady se však zabývají "klasickými" stránkami a cloudová technologie představuje některé další skutečnosti, které nejsou brány v úvahu. Například poskytovatel cloudu (web) nemůže zaručit řádnou správu oprav systémů (protože stroje nemusí být provozovány přímo lidmi z webu). Jsme si však vědomi nové třídy problémů a uvědomujeme si, že tyto problémy mohou vést k bezpečnostním incidentům, které se mohou lišit od těch, s nimiž se setkáváme u klasických gridových lokalit. Očekáváme, že budou vytvořeny některé nové zásady. Z uživatelského hlediska nám například chybí politika podobná Zásadám týkajících se Grid Pilot Jobs, která by definovala např. povinnosti vlastníků VM. Jako prozatímní krok jsme se však rozhodli specifikovat opatření pro usnadnění efektivních bezpečnostních operací, zefektivnění reakce na incidenty a dohledatelnosti uživatelů na úroveň, která je v našem cloudovém prostředí proveditelná.
Migrace pracovní zátěže
Správci cloudové služby OpenStack si vyhrazují právo migrovat projekt do jiné instance cloudu OpenStack. Uživatel o tom bude předem informován. Během migrace bude vyžadována spolupráce uživatele se správcem služby. Další podrobnosti budou k dispozici na adrese https://docs.e-infra.cz/compute/openstack/migration-to-g2-openstack-cloud .
Životní cyklus cloudových prostředků (pravidla pro dealokování)
Správci cloudové služby OpenStack dodržují níže uvedená pravidla, aby mohli zodpovědně přidělovat dostupné cloudové prostředky.
Obecná pravidla pro životní cyklus projektových zdrojů (osobní a skupinové projekty)
- Virtuální počítače, které nejsou používány po dobu 30 dnů, jsou automaticky vyřazeny. To znamená, že data zůstanou zachována, ale všechny ostatní zdroje (RAM a procesor) budou vyřazeny. Stroj lze znovu spustit pomocí odstavení instance virtuálního počítače. Uživatelé jsou na dealokaci předem upozorněni.
Pravidla životního cyklu osobních projektových zdrojů
- Osobní projekt jako nízkobariérový vstup do cloudové infrastruktury pro testování a zkoumání funkcí je trvale umožněn každému, kdo má platné členství v e-INFRA CZ. Přestože samotný osobní projekt je trvalý, cloudové prostředky spojené s tímto projektem jsou efemérní (dočasné). Cloudové prostředky v něm sdružené jsou sledovány, a pokud je alespoň JEDEN cloudový prostředek starší než 6 měsíců (na základě metadat časového razítka vytvoření), pak mohou být VŠECHNY prostředky v osobním projektu dealokovány (smazány) podle rozhodnutí správce.
- Správci cloudové služby OpenStack informují (e-mailem) uživatele cloudu předem před vyřazením prostředků osobního projektu. Nakonec jsou cloudové prostředky trvale odstraněny nebo převedeny do dlouhodobějšího skupinového projektu.
- Správci cloudu MetaCentrum jsou oprávněni vyčlenit prostředky obsazené osobním projektem po ukončení členství v e-INFRA CZ / MetaVO následujícím způsobem:
- Deaktivace aktivních zdrojů po 7 dnech od vypršení platnosti.
- Přenesení všech dat projektu z hypervizorů na diskové úložiště po 30 dnech od vypršení platnosti.
- Zablokování přístupu ke správě zdrojů po 30 dnech od vypršení platnosti.
- Odstranění dat projektu proběhne nejdříve 3 měsíce od vypršení platnosti.
Pravidla životního cyklu zdrojů skupinového projektu
Následující pravidla jsou aplikována na různé nevyužité zdroje skupinového projektu s cílem maximalizovat množství dostupných cloudových zdrojů.
- Veřejné adresy IPv4, které jsou přiděleny, ale nejsou používány (tj. nejsou připojeny k virtuálnímu počítači a/nebo nemají aktivní Neutron port), jsou automaticky vráceny do sdíleného fondu veřejných adres. Uživatelé jsou na odebrání adresy předem upozorněni.
- Po skončení platnosti skupinového projektu je správce služby MetaCentrum Cloud oprávněn rozdělit prostředky obsazené projektem následujícím způsobem:
- Deaktivace aktivních zdrojů po 60 dnech od vypršení platnosti.
- Přenesení všech dat projektu z hypervizorů do diskového úložiště po 90 dnech od vypršení platnosti.
- Zablokování přístupu ke správě prostředků po 90 dnech od vypršení platnosti.
- Odstranění dat projektu po 3 letech od vypršení platnosti.
Bezpečnostní opatření
Opatření před spuštěním
Schválené obrazy
- Schválení pro implementované obrazy virtuálních počítačů
- přímo, jako kryptograficky podepsané hashe
- nepřímo, na základě ústních dohod
- pouze instance virtuálních počítačů založené na schválených obrazech mohou mít veřejné IP adresy
- upravené a následně uložené obrazy již nejsou považovány za schválené původním schvalovatelem
Důvěryhodní uživatelé
- důvěryhodní uživatelé definovaní jako uživatelé s
- ověřením identity na vysoké úrovni
- výslovné potvrzení od jiných důvěryhodných uživatelů nebo správců stránek.
- pouze důvěryhodní uživatelé mají přístup ke skupinám veřejných IP adres.
Omezený vzdálený přístup ke spuštěným virtuálním počítačům
- Povoleny jsou pouze následující kombinace přístupových a ověřovacích metod
- SSH s ověřením pomocí veřejného klíče
- SSH s ověřením GSS API
- Šifrované RDP/VNC
- metody vzdáleného ověřování založené na hesle nejsou povoleny (např. SSH s obyčejným heslem).
Automatizované testování shody před spuštěním
- všechny obrazy virtuálních počítačů a instance virtuálních počítačů založené na uvedených obrazech musí být testovány na explicitní shodu s definovaným bezpečnostním profilem (cloudová bezpečnostní politika).
- pouze obrazy a instance virtuálních počítačů založené na uvedených obrazech mohou být v souladu s těmito pravidly
- být publikovány (zpřístupněny ostatním uživatelům)
- mít přiděleny veřejné IP adresy
- být spuštěny mimo izolované privátní sítě
Opatření za běhu
Izolace sítě pro L2
- Spuštěná instance virtuálního počítače bude izolována v síti VLAN, pokud
- obraz, na kterém je instance založena, není schválen důvěryhodným uživatelem.
- nepatří důvěryhodnému uživateli
- je na ní spuštěn OS Windows
- její vlastník se rozhodne ji izolovat
Logování IP
- každá IP adresa přidělená instanci virtuálního počítače bude vázána na svého vlastníka po celou dobu jeho životnosti (tj. do vypnutí).
- vlastník instance virtuálního počítače je zodpovědný za jakoukoli nezákonnou činnost po dobu její životnosti.
Pravidla proti spoofingu pro síť
- síťové adresy přidělené instanci virtuálního počítače cloudovou platformou jsou povinné a vlastník je nemůže za běhu měnit.
- pravidla proti spoofingu jsou vynucována hypervizorem nebo místní síťovou infrastrukturou.
- pokus o změnu přidělených síťových adres okamžitě odstřihne instanci virtuálního počítače od jakékoli následné síťové komunikace
Automatizované testování shody za běhu
- všechny spuštěné instance virtuálních počítačů jsou pravidelně testovány na shodu s definovaným bezpečnostním profilem (cloudová bezpečnostní politika).
- opakované nebo dlouhodobé nedodržování požadavků vede k okamžitému nucenému vypnutí dané instance.
Automatické změny konfigurace virtuálních počítačů
- všechny obrazy virtuálních počítačů musí podporovat kontextualizaci v následujícím rozsahu
- vložení veřejného klíče pro uživatele root při spuštění systému (pokud je to relevantní)
- změna pověření RDP/VNC při spuštění systému (v příslušných případech)
Opatření po spuštění
Extrakce logů virtuálního počítače
- na konci životnosti (tj. po vypnutí) se archivuje obsah /var/log z kořenového souborového systému každé instance virtuálního počítače.
Extrakce časových značek
- na konci životnosti (tj. po vypnutí) budou archivovány časové značky z kořenového souborového systému každé instance virtuálního počítače.
Reakce na incident
- V případě, že dojde k bezpečnostnímu incidentu na virtuálním stroji, musí jeho vlastník spolupracovat s týmem Metacentrum Cloud a/nebo bezpečnostním týmem Metacentrum. Uživatelé, kteří při řešení takových incidentů nespolupracují, mohou trvale ztratit přístup ke cloudu MetaCentrum OpenStack.
- Během aktivního bezpečnostního incidentu jsou tým Metacentrum Cloud a bezpečnostní týmy oprávněny vytvořit kopii virtuálních disků (svazků) postiženého stroje (strojů) a zkontrolovat její obsah s cílem najít zdroj bezpečnostního incidentu.