[chef] Re: Re: Chef and information security between nodes


Chronological Thread 
  • From: Will Maier < >
  • To:
  • Subject: [chef] Re: Re: Chef and information security between nodes
  • Date: Mon, 23 Apr 2012 16:22:18 -0500

On Mon, Apr 23, 2012 at 02:06:22PM -0700, Noah Kantrowitz wrote:
> On Apr 23, 2012, at 1:51 PM, 
> < >
>  wrote:
> > We have looked for solution, and the only one we have found so far is to
> > modify the source code of the Chef Server API in order to add restriction
> > such "a node is able to see only its own information".
> > 
> > Before we start to look more deeply in this solution, could you please let
> > us know if you see any other solution to our problem please ?
> 
> You can use the ACLs system in Hosted Chef to lock down this kind of access 
> to
> a degree. The search index will still be a problem. Chef server isn't 
> designed
> for multi-tennancy at the level of the organization (or at the level of the
> server for FOSS users), to get true isolation you need to create one org (or
> server) per tenant.

Christoph's security criterion seems to exclude the Chef server entirely -- if
looking up information about other clients concerns them, making dynamic
configuration decisions based on their data would probably also be out of
bounds. If all they want is to build isolated nodes using the Chef language,
chef-solo will do the trick (plus some glue for distributing the Chef repo).

-- 

Will Maier
http://wcm.aier.us/



Archive powered by MHonArc 2.6.16.

§