検索

1.2. ネイティブ CephFS バックエンドのセキュリティー

download PDF

ネイティブ CephFS バックエンドには、Red Hat OpenStack Platform (RHOSP) テナントに許容信頼モデルが必要です。この信頼モデルは、OpenStack Platform が提供するサービスの背後にあるインフラストラクチャーにユーザーが直接アクセスするのを意図的にブロックする汎用の OpenStack Platform クラウドには適切ではありません。

ネイティブ CephFS を使用する場合、ユーザーコンピュートインスタンスは Ceph サービスのデーモンが公開される Ceph パブリックネットワークに直接接続されます。ユーザー仮想マシンで実行される CephFS クライアントは Ceph サービスデーモンと連携し、ファイルデータブロックの読み取りおよび書き込みのために RADOS と直接対話します。

Shared File Systems (manila) 共有サイズを適用する CephFS クォータは、Red Hat OpenStack Platform (RHOSP) ユーザーが所有する仮想マシンなど、クライアント側で適用されます。ユーザー仮想マシンのクライアント側ソフトウェアは最新ではない可能性があるため、重要なクラウドインフラストラクチャーが Ceph サービスポートをターゲットにする悪意のあるまたは意図的ではないが有害なソフトウェアに対して脆弱になる可能性があります。

信頼できるユーザーがクライアント側ソフトウェアを最新の状態に維持する環境でのみ、ネイティブ CephFS をバックエンドとしてデプロイします。Ceph Storage インフラストラクチャーに影響を与える可能性のあるソフトウェアが仮想マシンで実行されないようにしてください。

数多くの信頼できないユーザーに対応する汎用 Red Hat OpenStack Platform (RHOSP) デプロイメントについては、NFS バックエンドに CephFS を使用してください。NFS バックエンドに CephFS を使用する設定についての詳細は、NFS 経由での CephFS を使用した Shared File Systems サービスのデプロイ を参照してください。

ユーザーがクライアント側のソフトウェアを最新版に維持できはない、また仮想マシンから有害なソフトウェアを除外できない状況でも、NFS バックエンドに CephFS を使用する設定を使用すると、ユーザーは NFS サーバーの公開側にだけアクセスでき、Ceph インフラストラクチャー自体にはアクセスできません。NFS は同様の協調的なクライアントを必要としないので、最悪の場合でも、ユーザー仮想マシンからの攻撃により、NFS ゲートウェイはダメージを受ける可能性がありますが、それの背後にある Ceph ストレージインフラストラクチャーはダメージを受けません。

ネイティブ CephFS バックエンドを信頼できる全ユーザーに公開できますが、以下のセキュリティー対策を実施する必要があります。

  • ストレージネットワークをプロバイダーネットワークとして設定する。
  • ロールベースのアクセス制御 (RBAC) ポリシーを適用して、Storage プロバイダーネットワークのセキュリティーを保護する。
  • プライベートファイル共有種別を作成します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.