Blogs

OpenStack Hardening: Fungsi Keamanan dari Keystone, Neutron, dan Barbican

Blog Single

OpenStack adalah platform komputasi awan sumber terbuka yang sangat kuat, menyediakan kemampuan infrastructure-as-a-service (IaaS). Dengan adopsinya yang semakin luas di lingkungan perusahaan dan penyedia layanan publik, keamanan menjadi fokus utama. Mengeraskan (hardening) OpenStack berarti memahami dan mengoptimalkan komponen intinya tidak hanya untuk fungsionalitas, tetapi juga untuk keamanan. 

Tiga layanan utama—Keystone, Neutron, dan Barbican—memainkan peran penting dalam menciptakan infrastruktur cloud yang aman dan andal. Artikel ini akan membahas fungsi keamanan dari masing-masing layanan tersebut, serta bagaimana mereka bekerja sama untuk membangun lingkungan OpenStack yang tahan terhadap ancaman keamanan. 

Contents

  1. Keystone: Identitas, Autentikasi, dan Otorisasi 
    1. Fungsi Keamanan Keystone 
      1. Autentikasi dan Token: 
      2. Role-Based Access Control (RBAC): 
      3. Federasi dan Identitas Eksternal: 
      4. Scoped Token dan Filter Endpoint: 
      5. Tips Hardening Keystone: 
  2. Neutron: Mengamankan Lapisan Jaringan 
    1. Fungsi Keamanan Neutron 
      1. Security Groups dan Aturan Firewall: 
      2. Port Security dan Anti-Spoofing: 
      3. Isolasi Jaringan Tenant: 
      4. Firewall-as-a-Service (FWaaS): 
      5. Router dan Load Balancer Virtual: 
      6. Tips Hardening Neutron: 
  3. Barbican: Manajemen Rahasia 
    1. Fungsi Keamanan Barbican 
      1. Penyimpanan Rahasia yang Aman: 
      2. Manajemen Kunci dengan Key Encryption Keys (KEK): 
      3. Integrasi dengan Cinder dan Glance: 
      4. Kontrol Akses dan Audit: 
      5. Tips Hardening Barbican: 
  4. Kesimpulan: Membangun OpenStack yang Aman 

Keystone: Identitas, Autentikasi, dan Otorisasi 

Keystone adalah layanan identitas pada OpenStack. Ia menyediakan mekanisme autentikasi terpusat dan mengelola pengguna, peran (roles), dan endpoint layanan. Dalam sistem OpenStack yang aman, Keystone bertindak sebagai penjaga gerbang utama. 

Fungsi Keamanan Keystone 

Autentikasi dan Token: 

Keystone mendukung berbagai metode autentikasi, seperti kombinasi nama pengguna/sandi, token, dan federasi (SAML, OpenID Connect). Keystone akan mengeluarkan token autentikasi yang digunakan untuk mengakses layanan OpenStack lainnya. 

Jenis token yang didukung meliputi: 

  • Token UUID: Identifier unik dan sederhana. 

  • Token Fernet: Token ringan, terenkripsi, dan tidak disimpan (stateless), lebih aman dan efisien. 

  • OAuth2/JWT: Untuk integrasi lintas-cloud atau skenario federasi identitas. 

Untuk keamanan, deployment OpenStack sebaiknya menggunakan Fernet token. 

Role-Based Access Control (RBAC): 

Keystone menggunakan RBAC untuk mengatur akses pengguna berdasarkan peran mereka dalam proyek tertentu. Kebijakan (policies) mengontrol tindakan apa saja yang diizinkan. 

Misalnya, hanya peran “admin” yang dapat menghapus instance, sementara peran “read-only” hanya bisa melihat informasi. 

Federasi dan Identitas Eksternal: 

Keystone mendukung integrasi dengan penyedia identitas eksternal seperti LDAP atau Active Directory, memungkinkan manajemen identitas terpusat dan mendukung Single Sign-On (SSO). 

Scoped Token dan Filter Endpoint: 

Keystone mendukung token yang dibatasi ruang lingkupnya, artinya pengguna hanya bisa mengakses sumber daya dalam proyek atau domain tertentu. Ini mengurangi risiko bila ada kredensial yang bocor. 

Tips Hardening Keystone

  • Gunakan TLS/SSL pada seluruh endpoint API. 

  • Gunakan Fernet tokens untuk performa dan keamanan optimal. 

  • Rutin lakukan rotasi kunci token Fernet. 

  • Terapkan multi-factor authentication (MFA) untuk admin. 

  • Terapkan prinsip least privilege pada pemberian hak akses. 

 

Neutron: Mengamankan Lapisan Jaringan 

Neutron adalah layanan jaringan di OpenStack yang menyediakan kemampuan jaringan virtual seperti jaringan Layer 2 dan Layer 3, manajemen IP, firewall, load balancing, dan VPN. Karena jaringan sering menjadi titik masuk serangan, Neutron adalah kunci keamanan infrastruktur cloud. 

Fungsi Keamanan Neutron 

Security Groups dan Aturan Firewall: 

Neutron memungkinkan pembuatan security groups, semacam firewall virtual yang mengatur lalu lintas keluar-masuk dari instance (VM). 

Contohnya, hanya mengizinkan akses SSH (port 22) dan HTTP (port 80) dari alamat IP tertentu. 

Security groups bersifat stateful – koneksi balasan dari trafik yang diizinkan secara otomatis diperbolehkan. 

Port Security dan Anti-Spoofing: 

Neutron mendukung ekstensi port security untuk mencegah pemalsuan alamat MAC dan IP. Ini mencegah serangan seperti man-in-the-middle (MITM) atau ARP spoofing dalam lingkungan multi-tenant. 

Isolasi Jaringan Tenant: 

Dengan segmentasi jaringan menggunakan VLAN, VXLAN, atau GRE, Neutron memastikan setiap tenant memiliki jaringan yang terisolasi. Ini mencegah lalu lintas dari tenant satu mengakses tenant lain. 

Firewall-as-a-Service (FWaaS): 

Neutron dapat mengelola firewall virtual tingkat lanjut. Meski dalam banyak produksi layanan ini digantikan oleh solusi pihak ketiga, fungsinya tetap vital untuk kontrol lalu lintas. 

Router dan Load Balancer Virtual: 

Layanan jaringan seperti router, NAT, dan load balancer bisa dijalankan secara terdistribusi. Dengan pengaturan keamanan yang baik, hal ini mengurangi titik kegagalan tunggal (single point of failure). 

Tips Hardening Neutron: 

  • Terapkan kebijakan default-deny pada semua security group. 

  • Aktifkan port security dan fitur anti-spoofing. 

  • Gunakan enkripsi jaringan seperti IPsec atau TLS untuk lalu lintas antar-node. 

  • Pisahkan trafik manajemen, data, dan kontrol ke VLAN yang berbeda. 

  • Monitor log lalu lintas untuk deteksi anomali atau pemindaian tidak sah. 

 

Barbican: Manajemen Rahasia 

Barbican adalah layanan manajemen rahasia (secret management) di OpenStack. Ia bertugas menyimpan dan menyediakan akses ke data rahasia seperti token, kunci enkripsi, sertifikat, dan sandi. 

Dalam sistem yang aman, Barbican menjadi pusat pengelolaan materi kriptografi secara terpusat dan aman. 

Fungsi Keamanan Barbican 

Penyimpanan Rahasia yang Aman: 

Barbican memungkinkan pengguna atau layanan menyimpan rahasia melalui REST API. Rahasia ini bisa berupa: 

  • Kunci privat TLS 

  • Token API 

  • Kunci enkripsi volume 

  • Kunci tanda tangan image 

Rahasia ini disimpan di backend seperti HSM (Hardware Security Module), sistem KMIP, atau backend perangkat lunak terenkripsi. 

Manajemen Kunci dengan Key Encryption Keys (KEK): 

Semua rahasia dienkripsi dengan KEK yang disimpan secara aman. Ini menambahkan lapisan perlindungan tambahan. 

Integrasi dengan Cinder dan Glance: 

Barbican dapat terintegrasi dengan layanan Cinder (penyimpanan blok) dan Glance (image service), memberikan enkripsi data saat disimpan (encryption at rest). 

  • Cinder menggunakan Barbican untuk menyimpan kunci enkripsi volume. 

  • Glance menggunakan Barbican untuk menyimpan kunci penandatanganan image agar keasliannya bisa diverifikasi. 

Kontrol Akses dan Audit: 

Akses ke rahasia diatur oleh Keystone, memastikan hanya pengguna atau layanan yang berwenang dapat mengaksesnya. Barbican juga mendukung audit logging untuk kebutuhan kepatuhan dan forensik. 

Tips Hardening Barbican

  • Gunakan backend HSM untuk penyimpanan kunci tingkat tinggi. 

  • Terapkan RBAC ketat untuk akses rahasia. 

  • Pastikan seluruh komunikasi API menggunakan TLS. 

  • Rotasi KEK secara berkala. 

  • Batasi masa berlaku rahasia jika memungkinkan. 

 

Kesimpulan: Membangun OpenStack yang Aman 

Mengamankan OpenStack bukan hanya soal firewall atau enkripsi. Ini adalah proses menyeluruh yang melibatkan kontrol identitas (Keystone), jaringan (Neutron), dan manajemen rahasia (Barbican). Ketiganya membentuk fondasi keamanan: 

  • Keystone menjaga agar hanya pengguna sah yang bisa mengakses layanan. 

  • Neutron memastikan isolasi jaringan dan membatasi lalu lintas dengan tepat. 

  • Barbican menyimpan informasi sensitif secara terpusat dan aman. 

Dengan konfigurasi yang tepat, rotasi kunci, audit, serta pemantauan yang rutin, OpenStack dapat digunakan dalam skenario enterprise tanpa mengorbankan keamanan. 

Gunakan OpenStack bersaa Btech

Hubungi kami di contact@btech.id / +62-811-1123-242

Categories
Cloud Computing OpenStack Private Cloud Hardening OpenStack Hardening