19.2. 가상 머신 보안을 위한 모범 사례
아래 지침에 따라 가상 머신이 악성 코드에 감염되는 위험을 크게 줄이고 호스트 시스템을 감염시키기 위한 공격 벡터로 사용됩니다.
게스트 측에서 다음을 수행합니다.
가상 머신은 마치 물리적 머신인 것처럼 보호합니다. 보안을 강화하기 위해 사용할 수 있는 특정 방법은 게스트 OS에 따라 다릅니다.
VM이 RHEL 9를 실행하는 경우 게스트 시스템의 보안 개선에 대한 자세한 내용은 Red Hat Enterprise Linux 9 보안을 참조하십시오.
호스트 측에서:
- VM을 원격으로 관리하는 경우 SSH 및 네트워크 프로토콜과 같은 암호화 유틸리티 를 사용하여 VM에 연결합니다.
SELinux가 강제 적용 모드에 있는지 확인합니다.
# getenforce Enforcing
SELinux가 비활성화되거나 허용 모드에서 허용되는 경우 강제 모드 활성화에 대한 지침은 SELinux 사용 문서를 참조하십시오.
참고SELinux Enforcing 모드에서는 sVirt RHEL 9 기능도 사용할 수 있습니다. 이는 가상화를 위한 특수 SELinux 부울 세트로, 세분화된 VM 보안 관리를 위해 수동으로 조정할 수 있습니다.
SecureBoot 와 함께 VM 사용 :
SecureBoot는 VM이 암호화 서명된 OS를 실행하도록 하는 기능입니다. 이렇게 하면 악성 코드 공격에 의해 OS가 변경된 VM이 부팅되지 않습니다.
SecureBoot는 AMD64 또는 Intel 64 호스트에서 OVMF 펌웨어를 사용하는 Linux VM을 설치할 때만 적용할 수 있습니다. 자세한 내용은 SecureBoot 가상 머신 생성을 참조하십시오.
qemu-kvm
과 같은qemu-*
명령을 사용하지 마십시오.QEMU는 RHEL 9의 가상화 아키텍처의 필수 구성 요소이지만 수동으로 관리하기가 어렵고 잘못된 QEMU 구성으로 인해 보안 취약점이 발생할 수 있습니다. 따라서 대부분의
qemu-*
명령 사용은 Red Hat에서 지원되지 않습니다. 대신 모범 사례에 따라 QEMU를 오케스트레이션하므로virsh
,virt-install
,virt-xml
과 같은 libvirt 유틸리티를 사용합니다.그러나
qemu-img
유틸리티는 가상 디스크 이미지 관리에 지원됩니다.
추가 리소스