Что планы там для расширения модели обеспечения безопасности в Амулете? Мы видим две значительных проблемы с текущей моделью - никакой внутренний брандмауэринг в среде и неспособность выставить порты системам вне среды выборочно.
В среде кажется, что все машины могут получить доступ к любому порту на любой другой машине в той среде. Например, смотря на группы безопасности в среде Амулета, развернутой на AWS, каждый экземпляр, запущенный Амулетом, находится в амулете - группа безопасности со всеми портами UDP и TCP, открытыми для той группы безопасности. Это означает, что, если взломщик ставит под угрозу какую-либо систему в среде, они могут, вероятно, пойти куда угодно.
Кроме того, единственный способ выставить порты за пределами среды состоит в том, чтобы выставить их любой внешней системе - нет никакого способа, например, ограничить доступ к ряду IP-адресов.
И EC2 и OpenStack поддерживают внутренний брандмауэринг и выборочно вводные порты, и другие дирижеры, такие как Шеф-повар и Марионетка поддерживают эти функции, таким образом, было бы хорошо, если Амулет мог также.
Так, Вы правы. Мы могли быть более трудными на безопасности, чем мы прямо сейчас относительно того, как мы обрабатываем порты. Мы знаем о проблеме, но к сожалению это не находится в нашем списке вещей обратиться в течение следующих нескольких месяцев. Я зарегистрировал пару ошибок для отслеживания эти проблемы, таким образом, они не проваливаются трещины. Возможно, что они могли быть взяты как задачи завершиться в ближайшем времени, но я не могу сказать наверняка.
, Если бы требуется говорить больше о вариантах использования и что требуется видеть реализованный для Амулета, я поощряю Вас отправлять на список рассылки Амулета - juju@lists.ubuntu.com