14장. 인스턴스 보안 관리

이 장에서는 엔트로피 라는 용어를 사용하여 인스턴스에서 사용할 수 있는 임의 데이터의 품질과 소스를 나타냅니다. 일반적으로 암호화 기술은 높은 품질의 엔트로피 풀을 만들어야 하는 임의성에 의존합니다. 이러한 작업을 지원하기에 일반적으로 인스턴스에서 충분한 엔트로피를 얻기가 어렵습니다. 이를 엔트로피 부족이라고 합니다. 이 조건은 인스턴스에 관련이 없는 것으로 표시될 수 있습니다. 예를 들어 느린 부팅 시간은 인스턴스가 SSH 키 생성을 기다리고 있기 때문일 수 있습니다. 또한 이 조건으로 인해 사용자가 인스턴스 내에서 품질이 낮은 엔트로피 소스를 사용할 위험이 있으므로 클라우드에서 실행되는 애플리케이션의 보안은 전반적으로 줄어듭니다.

다행히도 높은 품질의 엔트로피 소스를 인스턴스에 제공하여 이러한 문제를 해결할 수 있습니다. 이 작업은 인스턴스를 지원하기에 클라우드에 충분한 하드웨어 임의 번호 생성기(HRNG)를 보유하여 수행할 수 있습니다. 이 경우 도메인에 따라 충분히 제한됩니다. 일상 작업에서 최신 HRNG은 50-100 계산 노드를 지원하기에 충분한 엔트로피를 생성할 수 있습니다. Intel 아이비어 브리지 및 최신 프로세서에서 사용할 수 있는 RdRand 명령과 같은 높은 대역폭 HRNG은 더 많은 노드를 처리할 수 있었습니다. 지정된 클라우드의 경우 설계자는 애플리케이션 요구 사항을 이해하여 엔트로피를 충분히 사용할 수 있는지 확인해야 합니다.

Virtio RNG은 기본적으로 /dev/random 을 엔트로피 소스로 사용하는 임의 숫자 생성기입니다. 하드웨어 RNG 또는 엔트로피 수집 데몬(EGD)과 같은 도구를 사용하여 배포를 통해 엔트로피를 적절하게 배포하는 방법을 제공하도록 구성할 수도 있습니다. hw_rng metadata 속성을 사용하여 인스턴스 생성 시 Virtio RNG를 활성화할 수 있습니다.