2장. Ansible Automation Platform 강화

테스트된 배포 모델에 정의된 문서화된 배포 토폴로지 중 하나를 기반으로 Ansible Automation Platform 2.5를 설치합니다. 엔터프라이즈 조직은 최고 수준의 가동 시간, 성능 및 지속적인 확장성을 보장하기 위해 프로덕션 배포를 위해 엔터프라이즈 토폴로지 중 하나를 사용해야 합니다. 리소스 제한에 해당하는 조직 또는 배포는 "확장" 토폴로지를 사용할 수 있습니다. 테스트된 배포 모델 문서를 검토하여 요구 사항에 가장 적합한 토폴로지를 확인합니다. 선택한 토폴로지에는 토폴로지 다이어그램, Red Hat Enterprise Linux 서버 수, 배포에 사용되는 네트워크 포트 및 프로토콜, 엔터프라이즈 토폴로지를 위한 로드 밸런서 정보가 포함됩니다.

다양한 인프라 토폴로지 및 다양한 환경 구성에 Ansible Automation Platform을 설치할 수 있습니다. Red Hat은 게시된 배포 모델 이외의 토폴로지를 완전히 테스트하지 않습니다.

다음 다이어그램은 테스트된 컨테이너 엔터프라이즈 토폴로지입니다.

그림 2.1. 참조 아키텍처 개요

Ansible Automation Platform과 관련된 방화벽 또는 클라우드 네트워크 보안 그룹 구성을 계획할 때 방화벽 또는 보안 그룹에서 열어야 하는 네트워크 포트를 이해하기 위해 테스트 배포 모델에서 선택한 토폴로지의 "네트워크 포트" 섹션을 참조하십시오.

인터넷에 연결된 시스템의 경우 설치 계획의 네트워크 및 프로토콜 섹션에서는 Red Hat 자동화 허브, Ansible Automation Platform용 Insights, Ansible Galaxy, registry.redhat.io 컨테이너 이미지 레지스트리 등과 같이 Ansible Automation Platform을 사용하도록 구성할 수 있는 서비스에 대한 발신 트래픽 요구 사항을 정의합니다.

Ansible Automation Platform 구성 요소에서 사용하는 포트에 대한 액세스를 보호된 네트워크 및 클라이언트에 제한합니다. 다음과 같은 제한 사항이 권장됩니다.

Red Hat Ansible Automation Platform은 인증 정보를 사용하여 머신에 대한 작업에 대한 요청을 인증하고, 인벤토리 소스와 동기화하고, 버전 제어 시스템에서 프로젝트 콘텐츠를 가져옵니다. 자동화 컨트롤러는 다음 세 가지 보안 세트를 관리합니다.

인증 정보를 손상시키지 않도록 보호하기 위해 권한 있는 액세스 또는 인증 정보 관리 솔루션을 구현하는 것이 좋습니다. 조직은 사용을 감사하고 추가 프로그래밍 방식의 제어, 액세스 및 권한 에스컬레이션을 제공해야 합니다.

자동화 인증 정보가 고유하고 자동화 컨트롤러에만 저장되도록 하여 자동화 인증 정보를 추가로 보호할 수 있습니다. OpenSSH와 같은 서비스는 특정 주소의 연결에서만 인증 정보를 허용하도록 구성할 수 있습니다. 시스템 관리자가 서버에 로그인하는 것과 다른 인증 정보를 사용하여 자동화합니다. 가능한 경우 직접 액세스를 제한해야 하지만 재해 복구 또는 기타 임시 관리에 사용할 수 있으므로 감사가 더 쉬워집니다.

자동화 작업이 서로 다른 수준에서 시스템에 액세스해야 할 수 있습니다. 예를 들어 상위 수준의 자동화 부분은 애플리케이션을 배포하는 반면, 낮은 수준의 시스템 자동화를 통해 패치를 적용하고 보안 기준 검사를 수행할 수 있습니다. 각 자동화 부분에 서로 다른 키 또는 인증 정보를 사용하면 하나의 주요 취약점이 미치는 영향을 최소화합니다. 또한 기준 감사를 쉽게 수행할 수 있습니다.

가시성 및 분석은 Enterprise Security 및 Zero Trust Architecture의 중요한 요소입니다. 로깅은 작업을 캡처하고 감사를 전달하는 핵심입니다. Red Hat Enterprise Linux 보안 강화 가이드의 시스템 감사 섹션에 설명된 기본 제공 감사 지원을 사용하여 로깅 및 감사를 관리할 수 있습니다. Ansible Automation Platform의 내장 로깅 및 활동 스트림 지원 Red Hat Ansible Automation Platform은 감사 목적으로 Red Hat Ansible Automation Platform 및 자동화 로그 내의 모든 변경 사항을 기록합니다. 자세한 내용은 자동화 실행 구성의 로깅 및 집계 섹션에서 확인할 수 있습니다.

이 가이드에서는 로컬 시스템에서 검토하지 않고 로깅 및 감사를 중앙에서 수집하도록 Ansible Automation Platform 및 기본 Red Hat Enterprise Linux 시스템을 구성하는 것이 좋습니다. Ansible Automation Platform은 외부 로깅을 사용하여 Ansible Automation Platform 서버 내의 여러 구성 요소에서 로그 레코드를 컴파일하도록 구성해야 합니다. 발생하는 이벤트는 정확한 법의학 분석을 수행하는 것과 관련이 있어야합니다. 즉, Ansible Automation Platform 서버는 로깅 수집기 서비스와 Ansible Automation Platform의 대상에서도 사용하는 NTP 서버로 구성해야 합니다. 상관관계는 특정 산업 허용 요구사항을 충족해야 합니다. 즉, 로그된 다양한 이벤트의 타임스탬프가 x 초보다 크게 달라지지 않아야 한다는 다양한 요구 사항이 있을 수 있습니다. 이 기능은 외부 로깅 서비스에서 사용할 수 있어야 합니다.

로깅의 또 다른 중요한 기능은 암호화를 사용하여 로그 툴의 무결성을 보호하는 기능입니다. 로그 데이터에는 정보 시스템 활동을 성공적으로 기록하는 데 필요한 모든 정보(예: 로그 레코드, 로그 설정 및 로그 보고서)가 포함됩니다. 공격자는 로그 도구를 교체하거나 기존 도구에 코드를 삽입하여 로그에서 시스템 활동을 숨기거나 지우는 것이 일반적입니다. 이 위험을 해결하려면 로그 도구가 수정, 조작 또는 교체되었는지 확인할 수 있도록 로그 툴을 암호화 방식으로 서명해야 합니다. 예를 들어 로그 툴이 수정, 조작 또는 교체되지 않았는지 확인하는 한 가지 방법은 툴 파일에 대해 체크섬 해시를 사용하는 것입니다. 이렇게 하면 툴의 무결성이 손상되지 않습니다.

Ansible Automation Platform은 다음과 같은 일반적인 사용 사례에 NIST Cybersecurity Framework를 적용하여 보안 정책 요구 사항을 충족하는 데 사용해야 합니다.

이 작업은 보안 보안 프레임 워크의 5 단계로 수행 할 수 있습니다.

Ansible Automation Platform의 보안은 기본 Red Hat Enterprise Linux 서버의 구성에 부분적으로 의존합니다. 이러한 이유로 각 Ansible Automation Platform 구성 요소에 대한 기본 Red Hat Enterprise Linux 호스트는 Red Hat Enterprise Linux 8의 보안 강화 또는 Red Hat Enterprise Linux 9의 보안 강화 (사용할 운영 체제에 따라 다름) 및 조직에서 사용하는 모든 보안 프로필 요구 사항(CIS, STIG, HIPAA 등)에 따라 설치 및 구성해야 합니다. 새로운 배포를 위해 이 문서는 모든 새로운 배포에 대해 Red Hat Enterprise Linux 9를 권장합니다. 컨테이너 기반 설치 방법을 사용하는 경우 Red Hat Enterprise Linux 9가 필요합니다.