Red Hat Summit2.6. AWS 클래식 아키텍처에서 Red Hat OpenShift Service에 대한 보안 이해
이 문서에서는 AWS 클래식 아키텍처에서 관리되는 Red Hat OpenShift Service에 대한 Red Hat, AWS(Amazon Web Services) 및 고객 보안 책임을 자세히 설명합니다.
| Acroynm | 정의 |
| AWS | Amazon Web Services |
| * CEE | 고객 경험 및 참여 (Red Hat 지원) |
| * CI/CD | 지속적 통합/지속적 제공 |
| * CVE | 일반적인 취약점 및 노출 |
| * PV | 영구 볼륨 |
| * SRE | Red Hat 사이트 안정성 엔지니어링 |
| * VPC | 가상 프라이빗 클라우드 |
2.6.1. 보안 및 규정 준수
보안 및 규정 준수 준수에는 보안 제어 및 규정 준수 인증과 같은 작업이 포함됩니다.
2.6.1.1. 데이터 분류
Red Hat은 데이터 분류 표준을 정의하고 준수하여 데이터의 민감도를 결정하고 데이터를 수집, 사용, 전송, 저장 및 처리하는 동안 데이터의 기밀성과 무결성에 대한 고유 한 위험을 강조합니다. 고객 소유 데이터는 최고 수준의 민감도 및 처리 요구 사항으로 분류됩니다.
2.6.1.2. 데이터 관리
Red Hat OpenShift Service on AWS 클래식 아키텍처(ROSA)는 AWS KMS(Key Management Service)를 사용하여 암호화된 데이터의 키를 안전하게 관리할 수 있도록 지원합니다. 이러한 키는 기본적으로 암호화된 컨트롤 플레인, 인프라 및 작업자 데이터 볼륨에 사용됩니다. 고객 애플리케이션의 PV(영구 볼륨)도 키 관리에 AWS KMS를 사용합니다.
고객이 ROSA 클러스터를 삭제하면 컨트롤 플레인 데이터 볼륨 및 PV(영구 볼륨)와 같은 고객 애플리케이션 데이터 볼륨을 포함하여 모든 클러스터 데이터가 영구적으로 삭제됩니다.
2.6.1.3. 취약점 관리
Red Hat은 업계 표준 툴을 사용하여 ROSA의 주기적인 취약점 스캔을 수행합니다. 확인된 취약점은 심각도에 따라 타임라인에 따라 수정으로 추적됩니다. 취약점 검사 및 수정 작업은 규정 준수 인증 감사 과정에서 타사 평가자가 확인하기 위해 문서화됩니다.
2.6.1.4. 네트워크 보안
2.6.1.4.1. 방화벽 및 DDoS 보호
각 ROSA 클러스터는 AWS 보안 그룹의 방화벽 규칙을 사용하여 보안 네트워크 구성으로 보호됩니다. ROSA 고객은 AWS Shield Standard 를 사용하여 DDoS 공격으로부터도 보호됩니다.
2.6.1.4.2. 프라이빗 클러스터 및 네트워크 연결
고객은 선택적으로 웹 콘솔, API 및 애플리케이션 라우터와 같은 ROSA 클러스터 끝점을 개인용으로 설정하여 인터넷에서 클러스터 컨트롤 플레인 및 애플리케이션에 액세스할 수 없도록 할 수 있습니다. Red Hat SRE에는 여전히 IP 허용 목록으로 보호되는 인터넷 액세스 가능한 엔드포인트가 필요합니다.
AWS 고객은 AWS VPC 피어링, AWS VPN 또는 AWS Direct Connect와 같은 기술을 통해 ROSA 클러스터에 대한 사설 네트워크 연결을 구성할 수 있습니다.
2.6.1.4.3. 클러스터 네트워크 액세스 제어
세분화된 네트워크 액세스 제어 규칙은 프로젝트별로 NetworkPolicy 오브젝트 및 OpenShift SDN을 사용하여 고객이 구성할 수 있습니다.
2.6.1.5. 침투 테스트
Red Hat은 ROSA에 대해 주기적인 침투 테스트를 수행합니다. 테스트는 업계 표준 툴 및 모범 사례를 사용하여 독립적인 내부 팀에서 수행합니다.
발견될 수 있는 모든 문제는 심각도에 따라 우선순위가 지정됩니다. 오픈 소스 프로젝트에 속한 모든 문제는 커뮤니티와 공유하여 문제를 해결합니다.
2.6.1.6. 규정 준수
AWS 클래식 아키텍처의 Red Hat OpenShift Service는 보안 및 제어를 위한 일반적인 업계 모범 사례를 따릅니다. 인증은 다음 표에 설명되어 있습니다.
| 규정 준수 | Red Hat OpenShift Service on AWS 클래식 아키텍처(ROSA) | Red Hat Openshift Service on AWS |
|---|---|---|
| HIPAA 인증[1] | 제공됨 | 제공됨 |
| ISO 27001 | 제공됨 | 제공됨 |
| ISO 27017 | 제공됨 | 제공됨 |
| ISO 27018 | 제공됨 | 제공됨 |
| PCI DSS 4.0 | 제공됨 | 제공됨 |
| SOC 1 유형 2 | 제공됨 | 제공됨 |
| SOC 2 유형 2 | 제공됨 | 제공됨 |
| SOC 3 | 제공됨 | 제공됨 |
| FedRAMP High[2] | 제공됨(GovCloud 요구 사항) | 없음 |
- Red Hat의 HIPAA 자격을 갖춘 ROSA 오퍼링에 대한 자세한 내용은 HIPAA 개요 를 참조하십시오.
- GovCloud의 ROSA에 대한 자세한 내용은 FedRAMP Marketplace ROSA Agency 및 ROSA JAB 목록을 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}