<div dir="ltr">woot woot Security !!!</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 30, 2020 at 5:27 PM Julia Kreger <<a href="mailto:juliaashleykreger@gmail.com">juliaashleykreger@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Greetings everyone,<br>
<br>
One of the items the ironic team has been focused on is improving<br>
security of remote/edge deployments where machines may be deployed on<br>
networks where an un-trusted actor could also be present.<br>
<br>
Our answer to this has been the concept of utilizing a temporary<br>
token[0] for the deployment, which we use to validate the agent<br>
heartbeat operations, and commands sent back to the agent ramdisk from<br>
the conductor. While not a complete solution to all possible attack<br>
vectors, it is a step forward and we will be taking more steps during<br>
the next cycle.<br>
<br>
For the Ussuri release, this functionality is always enabled, but is<br>
not explicitly required[1]. Deployments, with older ramdisks who<br>
choose to require this capability, must update their<br>
deployment/rescue/cleaning ramdisks to a version with a newer<br>
ironic-python-agent version from Ussuri development cycle.<br>
<br>
In Victoria, the ironic team will change the default for requirement<br>
of agent tokens such that they are required by default. Pre-Ussuri<br>
agent ramdisks will no longer work and will need to be updated.<br>
<br>
Please let us know if you have any questions or concerns.<br>
<br>
-Julia<br>
<br>
[0]: <a href="https://docs.openstack.org/ironic/latest/admin/agent-token.html" rel="noreferrer" target="_blank">https://docs.openstack.org/ironic/latest/admin/agent-token.html</a><br>
[1]: <a href="https://docs.openstack.org/ironic/latest/admin/agent-token.html#how-it-works" rel="noreferrer" target="_blank">https://docs.openstack.org/ironic/latest/admin/agent-token.html#how-it-works</a><br>
<br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>~/DonnyD</div><div>C: 805 814 6800</div><div>"No mission too difficult. No sacrifice too great. Duty First"</div></div></div>