當前,Barbican對於一個租戶能夠存儲的密鑰數量沒有上限限制。對於以下場景,會導致資源過度膨脹,影響Barbican服務的正常功能:
1)一個客戶對於一個項目設定數以千計的密鑰管理請求,會佔用Barbican大量服務器存儲空間,並極大地消耗Barbican服務器處理能力。
2)一個惡意客戶腳本試圖創建一個generic類型的密鑰容器,而不與任何密鑰關聯,那麼Barbican數據庫會被迅速寫滿。
3)如果一個用戶創建了大量項目,進而為每個項目都創建了大量Barbican資源,勢必影響其他用戶。
所以,Barbican需要像Nova、Cinder服務一樣,增強限額機制,優化資源利用。
此外,Barbican在安全性方面也有待完善,包括:
1)允許管理員添加認證證書。
2)對於不信任Barbican的用戶,提供從後端存儲直接獲取傳輸密鑰的能力。
3)當前ACL列表僅允許添加用戶ID對指定密文的訪問權限,未來也應允許用戶組ID可以對特定密文設定訪問權限。