4.3.4. ハードウェアの脆弱性の軽減
OpenStack は物理サーバーハードウェア上で実行されますが、これには本質的に独自のセキュリティー上の課題があります。この章では、ハードウェアベースの脅威と脆弱性を軽減するためのアプローチを紹介します。
4.3.4.1. PCI パススルーの強化
PCI パススルーを使用すると、ホストにインストールされている特定の物理ハードウェアにインスタンスが直接アクセスできるようになります。これは、多くのネットワーク機能仮想化 (NFV) のユースケースで発生する可能性があります。ただし、考慮すべきセキュリティー対策がいくつかあります。
PCI パススルーを使用する場合は、割り込みの再マッピングをサポートするハードウェアの導入を検討してください。そうしないと、allow_unsafe_interrupts
設定を有効にする必要があります。これにより、Compute ノードが悪意のあるインスタンスからの割り込みインジェクション攻撃に対して脆弱になる可能性があります。
詳しくは、『ネットワークガイド』の https://access.redhat.com/documentation/ja-jp/red_hat_openstack_platform/15/html-single/networking_guide/#review-the-allow_unsafe_interrupts-settingを参照してください。