Red Hat Summit2.3. パブリッククラウドオペレーター向けの特殊な考慮事項
パブリッククラウドサービスプロバイダーは、従来の仮想化ユーザーのリスクを超える数多くのセキュリティーリスクにさらされます。悪意のあるゲストの脅威や、仮想化インフラストラクチャー全体にわたる顧客データの機密性および整合性に関する要件により、ホスト/ゲスト間ならびにゲスト間における仮想ゲストの分離は極めて重要となります。
パブリッククラウドオペレーターは、上記の Red Hat Enterprise Linux 仮想化推奨プラクティスに加えて、以下の点も考慮する必要があります。
- ゲストからのハードウェアへの直接のアクセスを無効にしてください。PCI、USB、FireWire、Thunderbolt、eSATA などのデバイスパススルーメカニズムは、管理を難しくする上、多くの場合は基礎となるハードウェアに依存してゲスト間の分離を強制します。
- クラウドオペレーターのプライベート管理ネットワークを顧客のゲストネットワークから分離し、顧客ネットワークを相互に分離します。これにより、
- ゲストはネットワーク経由でホストシステムにアクセスできなくなります。
- ある顧客は、クラウドプロバイダーの内部ネットワークを介して別の顧客のゲストシステムに直接アクセスできなくなります。
