在云計算時代，存在平臺與用戶鎖定的情況，而如果大家都采用開源的軟件，遷移將變得容易。以虛擬化應用為例，OpenStack支持Xen、KVM、VMware和QEMU等虛擬機，并通過統(tǒng)一的虛擬層來調(diào)用，實現(xiàn)底層對用戶透明。

OpenStack的優(yōu)勢與劣勢

Openstack具有三大特點：免費開源、強大的兼容性以及開放性。

Openstack 本身是一個開源、免費的軟件，同商業(yè)軟件相比它給了客戶足夠的自由度，可以在任何場合使用，Openstack開放源代碼，讓技術(shù)人員了解程序如何運作，由此可以自己進行調(diào)整。在云計算時代，存在平臺與用戶鎖定的情況，而如果大家都采用開源的軟件，遷移將變得容易。以虛擬化應用為例，OpenStack支持Xen、KVM、VMware和QEMU等虛擬機，并通過統(tǒng)一的虛擬層來調(diào)用，實現(xiàn)底層對用戶透明。用戶可通過其對現(xiàn)有虛擬化技術(shù)的支持實現(xiàn)OpenStack在不同場景的部署。而且，由于OpenStack使用一個框架標準和API，只要用戶具備相應的技術(shù)能力，任何人都可以在OpenStack上自行建立和提供云端計算服務。

總而言之，OpenStack的推出解決了用戶在開發(fā)、部署與交付云環(huán)境上的靈活性、彈性和低成本問題，大大改善了以往企業(yè)如果想實現(xiàn)云計算，就必須找Amazon和IBM等云計算廠商的窘境。

然而，OpenStack也存在如下一些劣勢：

·項目中面臨的風險由于發(fā)展時間較短，還缺乏很多必要的功能。比如OpenStack在系統(tǒng)監(jiān)控方面的功能還不夠完善，當用于公有云時，其計費系統(tǒng)還有待開發(fā)和完善。DNS管理、LVS負載管理、Swift的CDN服務以及EBS塊設(shè)備存儲方面功能也不成熟。事實上，用OpenStack作最終平臺的解決方案是存在一定風險的，甚至會變成一個根棘手的問題，一個典型例子是對虛擬化管理程序的支持，OpenStack雖然支持幾乎所有的虛擬化管理程序，但對它們的支持僅僅是開啟與關(guān)閉而已。

·廠商之間的利益沖突Openstack成長勢頭強動，吸引了眾多IT廠商的支持和參與，但正是眾多廠商的參與，導致其混亂、缺乏協(xié)調(diào)的現(xiàn)狀。而且廠商之間存在利益沖突，他們都想用自己基于OpenStack所開發(fā)的產(chǎn)品來替代開源產(chǎn)品以此獲利。例如存儲解決方案提供商和Swift項目都旨在構(gòu)建存儲平臺，存儲供應商在項目中并沒有開放地提供技術(shù)支持，恰恰相反，他們只想確保API的兼容性，并以自己的收費產(chǎn)品替代開源解決方案。

·兼容性與開發(fā)成本OpenStack 是一個可以建立公有云和私有云的基礎(chǔ)架構(gòu)。但它并不是一個現(xiàn)成的產(chǎn)品，要想開展基礎(chǔ)架構(gòu)方面的工作，企業(yè)需要顧問和開發(fā)人員，很多時候還需要第三方的集成工具。

此外，新版本的發(fā)布過于頻繁，平均半年就發(fā)布一個新版本，如此快的更新頻率難免就存在新老版本兼容性的問題。

從上圖(OpenStack架構(gòu)圖)中可以看到，OpenStack平臺的主要安全問題及措施如下：

身份認證

用戶配置是注冊新用戶到一個給定系統(tǒng)的過程，用戶取消供應的過程是從系統(tǒng)中刪除用戶的過程。Openstack 對象存儲Swit 通過稱為TempAuth和SwAuth的認證授權(quán)系統(tǒng)提供用戶數(shù)據(jù)管理任務的自動化。

TempAuth和SwAuth之間的差別在于用戶數(shù)據(jù)的后端存儲。TempAuth使用戶數(shù)據(jù)以純文本形式保存在配置文件中。SwAuth是使用Swift本身提供的可擴展的認證和授權(quán)系統(tǒng)。一個Swift 帳戶是在Swift集群上創(chuàng)建的，用戶信息以JSON編碼的形式存儲在文本文件中。SwAuth和tempAuth都允許按需進行用戶配置和解除。用戶管理的特點都是基于OpenStack對象存儲Swift。

TempAuth和SwAuth通常使用用戶名和密碼進行認證。當成功進行身份驗證時，用戶會收到一個令牌，此令牌可以使用戶在一段時間內(nèi)有權(quán)訪問系統(tǒng)。提供的令牌具有可配置的到期時間，默認設(shè)置為4～6h。

密碼強度

Openstack 項目對用戶進行身份驗證所使用的都是用戶名和密碼。密碼強度要求應接受更嚴格的審查。例如依據(jù)常用密碼口令字典對密碼進行檢查，規(guī)定最小密碼長度和必須使用某些特殊字符。然而，這些要求在OpenStack規(guī)范中并不存在。

存儲密碼

密碼存儲是使用密碼驗證的所有信息系統(tǒng)中共有的一個問題。在信息安全中的一個常見做法是要求管理員保證密碼是被加密的，而不是以明文存儲。同樣重要的是要限制訪問存儲密碼的位置。TempAuth將用戶名和密碼存儲在一個配置文件中，所有密碼都記錄在普通文本格式中。

身份驗證令牌

成功的認證生成用于授權(quán)服務請求的令牌。密碼和用戶名作為輸入提供給API。如果認證成功，由此產(chǎn)生的信息包括身份驗證令牌和服務類別。令牌保持12小時有效。發(fā)出的令牌失效有兩種情況：令牌已經(jīng)過期或令牌被取消。

認證數(shù)據(jù)敏感性

將OpenStack的認證數(shù)據(jù)從一個服務器轉(zhuǎn)移到另一個服務器是不安全的。SwAuth存在的安全問題是，允許供應商管理員查看屬于此管理員管理的所有用戶數(shù)據(jù)。惡意用戶還可以獲得其他用戶訪問密碼。

惡意數(shù)據(jù)

大多數(shù)云供應商在將數(shù)據(jù)上傳到集群之前不加密數(shù)據(jù)。事實上，OpenStack未提供任何數(shù)據(jù)加密方法。因此，用戶需要先加密數(shù)據(jù)，然后上傳加密后的數(shù)據(jù)和管理密鑰本身。

標簽： 云計算 虛擬化 虛擬化技術(shù) 云端計算 云環(huán)境 系統(tǒng)監(jiān) 

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。