Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

14.3. 신뢰할 수 있는 이미지 사용

클라우드 환경에서 사용자는 업로드된 사전 설치된 이미지 또는 이미지를 사용합니다. 두 경우 모두 사용자는 사용 중인 이미지가 로 변조되지 않았는지 확인할 수 있어야 합니다. 이미지를 확인하는 기능은 보안을 위한 기본적인 필수 요소입니다. 이미지 소스에서 사용되는 대상까지 신뢰할 수 있는 체인이 필요합니다. 이 작업은 신뢰할 수 있는 소스에서 얻은 이미지에 서명하고 사용하기 전에 서명을 확인하여 수행할 수 있습니다. 아래에서 확인된 이미지를 가져오고 생성하는 다양한 방법에 대해 설명한 다음 이미지 서명 확인 기능에 대한 설명이 나와 있습니다.

14.3.1. 이미지 생성
링크 복사

OpenStack 설명서에서는 이미지를 만들고 이미지 서비스에 업로드하는 방법에 대한 지침을 제공합니다. 또한 게스트 운영 체제를 설치하고 강화하는 프로세스가 있다고 가정합니다. 다음 항목은 이미지를 OpenStack으로 전송하는 방법에 대한 추가 지침을 제공합니다. 이미지를 가져오는 데는 다양한 옵션이 있습니다. 각각에는 이미지의 출처를 확인하는 데 도움이 되는 특정 단계가 있습니다.

  • 옵션 1: 신뢰할 수 있는 소스에서 부팅 미디어를 가져옵니다. 예를 들어 공식 Red Hat 소스에서 이미지를 다운로드한 다음 추가 체크섬 유효성 검사를 수행할 수 있습니다.
  • 옵션 2: OpenStack 가상 시스템 이미지 가이드 사용. 이 경우 조직 OS 강화 지침을 준수하려고 합니다.
  • 옵션 3: 자동화된 이미지 빌더 사용. 다음 예제에서는 Oz 이미지 빌더를 사용합니다. OpenStack 커뮤니티는 최근에 disk-image-builder 라는 새로운 도구를 생성했으며 아직 보안 평가를 받지 않았습니다.

이 예제에서 RHEL 6 CCE-26976-1 은 Oz 내에서 NIST 800-53 섹션 AC-19(d)를 구현하는 데 도움이 됩니다. 

<template>
<name>centos64</name>
<os>
  <name>RHEL-6</name>
  <version>4</version>
  <arch>x86_64</arch>
  <install type='iso'>
  <iso>http://trusted_local_iso_mirror/isos/x86_64/RHEL-6.4-x86_64-bin-DVD1.iso</iso>
  </install>
  <rootpw>CHANGE THIS TO YOUR ROOT PASSWORD</rootpw>
</os>
<description>RHEL 6.4 x86_64</description>
<repositories>
  <repository name='epel-6'>
  <url>http://download.fedoraproject.org/pub/epel/6/$basearch</url>
  <signed>no</signed>
  </repository>
</repositories>
<packages>
  <package name='epel-release'/>
  <package name='cloud-utils'/>
  <package name='cloud-init'/>
</packages>
<commands>
  <command name='update'>
  yum update
  yum clean all
  sed -i '/^HWADDR/d' /etc/sysconfig/network-scripts/ifcfg-eth0
  echo -n > /etc/udev/rules.d/70-persistent-net.rules
  echo -n > /lib/udev/rules.d/75-persistent-net-generator.rules
  chkconfig --level 0123456 autofs off
  service autofs stop
  </command>
</commands>
</template>
Copy to Clipboard Toggle word wrap

수동 이미지 빌드 프로세스는 복잡하고 오류가 발생하기 쉬운 것을 피하는 것이 좋습니다. 또한 이미지 빌드를 위해 Oz와 같은 자동 시스템 또는 부팅 후 이미지 강화를 위한 구성 관리 유틸리티(예: Chef 또는 Puppet)를 사용하면 일관된 이미지를 생성할 수 있으며, 시간 경과에 따라 기본 이미지의 규정 준수를 추적할 수 있습니다.

공용 클라우드 서비스를 서브스크립션하는 경우 클라우드 공급자에게 기본 이미지를 생성하는 데 사용되는 프로세스의 개요를 확인해야 합니다. 공급자가 자체 이미지를 업로드할 수 있는 경우 인스턴스를 생성하는 데 사용하기 전에 이미지가 수정되지 않았는지 확인해야 합니다. 이렇게 하려면 _ 이미지 서명 확인에 있는 다음 섹션을 참조하거나 서명을 사용할 수 없는 경우 다음 단락을 참조하십시오.

이미지 서비스(glance)는 이미지를 노드의 계산 서비스에 업로드하는 데 사용합니다. 이 전송은 TLS를 통해 더욱 강화되어야 합니다. 이미지가 노드에 있으면 기본 체크섬으로 확인되며, 해당 디스크는 시작 중인 인스턴스의 크기에 따라 확장됩니다. 나중에 이 노드에서 동일한 인스턴스 크기로 동일한 이미지가 시작되면 동일한 확장된 이미지에서 시작됩니다. 이 확장된 이미지는 시작하기 전에 기본적으로 다시 확인되지 않으므로 변조를 겪은 위험이 있습니다. 결과 이미지에서 파일을 수동으로 검사하지 않는 한 사용자는 변조를 알지 못합니다. 이 문제를 완화하려면 이미지 서명 확인 항목에 대한 다음 섹션을 참조하십시오.

14.3.2. 이미지 서명 확인
링크 복사

이미지 서명과 관련된 특정 기능을 OpenStack에서 사용할 수 있습니다. Red Hat OpenStack Platform 13부터 이미지 서비스는 이러한 서명된 이미지를 확인할 수 있으며 전체 신뢰 체인을 제공하기 위해 계산 서비스에는 이미지 부팅 전에 이미지 서명 확인을 수행할 수 있는 옵션이 있습니다. 이미지를 부팅하기 전에 서명된 이미지가 변경되지 않았는지 확인합니다. 이 기능을 활성화하면 이미지의 무단 수정(예: 맬웨어 또는 루트킷을 포함하도록 이미지 수정)을 탐지할 수 있습니다.

/var/lib/config-data/puppet-generated/nova _libvirt/etc/nova/nova.conf 파일에서 verify_glance_ signatures 플래그를 True 로 설정하여 인스턴스 서명 확인을 활성화할 수 있습니다. 활성화되면 Compute 서비스는 Glance에서 검색할 때 서명된 인스턴스의 유효성을 자동으로 검사합니다. 이 확인에 실패하면 부팅 프로세스가 시작되지 않습니다.

참고

이 기능이 활성화되면 서명되지 않은 이미지(서브스크립트되지 않은 이미지)가 없는 이미지도 확인에 실패하고 부팅 프로세스가 시작되지 않습니다.

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat