2.3. 보안 영역 연결

서로 다른 신뢰 수준 또는 인증 요구 사항이 있는 여러 보안 영역에 걸쳐 제공되는 구성 요소는 신중하게 구성해야 합니다. 이러한 연결은 네트워크 아키텍처의 약한 지점이며, 연결되는 영역 중 가장 높은 신뢰 수준의 보안 요구 사항을 충족하도록 항상 구성해야 합니다. 대부분의 경우 연결된 영역의 보안 제어는 공격 가능성으로 인해 주된 우려가 되어야 합니다. 영역이 충족되는 지점에 공격자가 마이그레이션하거나 배포의 더 민감한 부분으로 공격을 대상으로 할 수 있는 기회가 있습니다.

경우에 따라 Red Hat Ceph Storage 관리자는 통합 지점이 있는 영역보다 높은 표준에서 통합 포인트를 보호하는 것을 고려할 수 있습니다. 예를 들어 Ceph Cluster Security Zone은 다른 보안 영역에 연결할 이유가 없기 때문에 다른 보안 영역과 쉽게 격리할 수 있습니다. 반면 스토리지 액세스 보안 영역은 Ceph 모니터 노드의 포트 6789 및 Ceph OSD 노드의 포트 6800-7300 에 대한 액세스를 제공해야 합니다. 그러나 포트 3000 은 Ceph 관리자에게만 노출되어야 하는 Ceph Graphana 모니터링 정보에 대한 액세스를 제공하기 때문에 스토리지 액세스 보안 영역에 배타적이어야 합니다. Ceph Client Security Zone의 Ceph Object Gateway는 Ceph Cluster Security Zone의 모니터(포트 6789) 및 OSD(포트 6800-7300)에 액세스해야 하며, HTTP 포트 80 또는 HTTPS 포트 443 을 통해 S3 및 Swift API를 공용 보안 영역에 노출시킬 수 있습니다. 그러나 여전히 admin API에 대한 액세스를 제한해야 합니다.

Red Hat Ceph Storage를 설계하기 때문에 보안 영역 분리가 어렵습니다. 핵심 서비스는 일반적으로 두 개 이상의 영역에 걸쳐 있으므로 보안 제어를 적용할 때 특별한 고려 사항을 제공해야 합니다.