苏宁云商大规模生产OpenStack云的安全策略与实践

在苏宁云商的案例中，该企业作为中国最大的私营零售商之一，拥有广泛的零售、物流、供应链、房地产和投资业务，其电商平台苏宁.com排名中国前三。截至2014年底，苏宁已经在多个数据中心部署了大规模的生产级OpenStack私有云，基于OpenStack Icehouse版本。云基础设施包括高度可用的控制器节点、大规模计算和存储节点，通过Pacemaker、Corosync和HAproxy实现横向扩展，同时采用区域划分和可用性区策略以确保服务的高可用性和容错能力。 在安全管理方面，苏宁对OpenStack云的安全性有着严格的要求，涵盖以下几个关键领域： 1. **操作系统层面的安全强化与入侵检测**：确保主机和虚拟机操作系统的安全，包括模板创建到虚拟机退役期间的密码管理，以及OS级别的安全策略实施和入侵检测系统（IDS）。 2. **密码策略与生命周期管理**：强调主机和虚拟机密码的安全性，包括密码策略、定期更换以及模板中的密码处理。 3. **消息层保护**：保障消息从生成到消费过程中的安全，如加密通信和路由策略，防止数据泄露或篡改。 4. **数据库安全设置**：限制未授权访问和防止特权篡改，保护敏感数据的存储和访问权限。 5. **远程控制台安全**：如VNC/Spice控制台，通过安全措施保护用户远程访问。 6. **服务端口限制**：仅开放必要的服务端口，防止恶意攻击和不必要的网络暴露。 7. **网络DDoS防护**：检测并抵御分布式拒绝服务（DDoS）攻击，确保网络稳定。 8. **账户管理**：强化账号、密码和SSH密钥的安全管理，防止未经授权的访问。 9. **OpenStack服务协议保护**：确保API和服务之间的通信安全，防止恶意利用协议漏洞。 10. **物理隔离与虚拟机访问控制**：结合物理资源规划，实施严格的虚拟机隔离策略，以提升整体安全性。 在整个部署过程中，苏宁采用了包括配置驱动在内的安全措施来满足特定需求，如静态IP地址分配和ISCSI性能优化。此外，他们还分享了如何在OpenStack上建立安全应用和服务的经验，以适应苏宁云商业务的复杂性和增长需求。通过自动化部署和运维，苏宁构建了一个高效且安全的生产级OpenStack云环境。