Implémentation des services de stockage d'objets et de fichiers partagés dans la solution cloud openstack

3.6.3. Accessibilité et administration

Les volumes sont consommés uniquement via des instances et ne peuvent être attachés et montés que dans une instance à la fois. Les utilisateurs peuvent créer des instantanés de volumes, qui peuvent être utilisés pour cloner ou restaurer un volume à un état précédent[45].

Comme les volumes, les partages sont consommés via des instances. Cependant, les partages peuvent être directement montés dans une instance et n'ont pas besoin d'être attachés via le tableau de bord ou la CLI (interface en ligne de commande). Les partages peuvent également être montés par plusieurs instances simultanément. Le service de système de fichiers partagés prend également en charge les Snapshots (instantanées) de partage et le clonage[45].

Les objets d'un conteneur sont accessibles via l'API REST et peuvent être rendus accessibles aux instances mais pas uniquement, en effet, contrairement des volumes et des partages, les objets sont aussi accessibles aux autres services dans le cloud. Cela les rend idéaux comme référentiels d'objets pour les services ; par exemple, le service Image (openstack-glance) peut stocker ses images dans des conteneurs gérés par le service Object Storage[45].

3.6.4. Sécurité

Le service Block Storage (Cinder) offre une sécurité de base des données grâce au cryptage de volume. Avec cela, lors de la création des types de volume, une configuration l'option de chiffrement via une clé statique est possible ; la clé est ensuite utilisée pour chiffrer tous les volumes créés à partir du type de volume configuré[45].

La sécurité des objets et des conteneurs est configurée au niveau du service et du noeud. Le service Object Storage (Swift) ne fournit aucun chiffrement natif pour les conteneurs et les objets. Au lieu de cela, le service Object Storage donne la priorité à l'accessibilité au sein du cloud et, en tant que tel, s'appuie uniquement sur la sécurité du réseau cloud pour protéger les données des objets[45].Il existe plusieurs façons de sécurisé le stockage en objets : Keystone, Tempauth et Swauth.sont les plus utilisé. Keystone étant le service d'identification par défaut d'OpenStack, Tempauth est un type d'authentification qui ne chiffre pas les mots de passe mais les stockent en mode texte. Swauth est un Middleware intergiciel : logiciel agissant comme passerelle entre les applications) prend en charge les ACL pour autoriser les requêtes d'accès doit être installé manuellement.

Le service de système de fichiers partagés (Manila) peut sécuriser les partages via des restrictions d'accès, que ce soit par instance IP, utilisateur ou groupe, ou certificat TLS^3(*). En outre, certains déploiements de services de systèmes de fichiers partagés peuvent comporter des serveurs de partage distincts pour gérer la relation entre les réseaux de partage et les partages ; certains serveurs de partage prennent en charge, voire nécessitent, une sécuritéréseau supplémentaire. Par exemple, un serveur de partage CIFS nécessite le déploiement d'un service d'authentification LDAP^4(*), Active Directory ou Kerberos^5(*)[45].

* ³Un certificat TLS (Transport Layer Security), également nommé certificat SSL (Secure Sockets Layer) est un certificat numérique que l'on associe à un nom de domaine ou une URL. Il permet d'établir avec certitude le lien entre le site internet et son propriétaire (entreprise, marchand ou individu).

* ⁴LDAP (Lightweight Directory Access Protocol) est un protocole ouvert et multiplateforme utilisé pour l'authentification des services d'annuaire. LDAP fournit le langage de communication utilisé par les applications pour communiquer avec d'autres serveurs de services d'annuaire

* ⁵Kerberos est un protocole d'authentification réseau qui repose sur un mécanisme de clés secrètes (chiffrement symétrique) et l'utilisation de tickets, et non de mots de passe en clair, évitant ainsi le risque d'interception frauduleuse des mots de passe des utilisateurs.