Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

부록 F. 보안 강화

다음 섹션에서는 언더클라우드의 보안을 강화하기 위한 몇 가지 제안 사항을 제공합니다.

F.1. HAProxy에 대한 SSL/TLS 암호화 방식 및 규칙 변경
링크 복사

언더클라우드에서 SSL/TLS를 활성화한 경우( 4.9절. “director 설정 매개변수”참조) HAProxy 구성에 사용되는 SSL/TLS 암호화 방식 및 규칙을 강화할 수 있습니다. 이를 통해 POODLE 취약점과 같은 SSL/TLS 취약점을 방지할 수 있습니다.

hieradata_override 언더클라우드 설정 옵션을 사용하여 다음 hieradata를 설정합니다.

tripleo::haproxy::ssl_cipher_suite
HAProxy에서 사용할 암호화 방식 세트입니다.
tripleo::haproxy::ssl_options
HAProxy에서 사용할 SSL/TLS 규칙입니다.

예를 들면 다음 암호화 방식 및 규칙을 사용할 수 있습니다.

  • 암호화 방식: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-AES128-AES256-AES256-AES256-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-AES256-AES256-AES256-AES256-AES256-RSA-AES256-RSA-AES256-AES256-AES256-AES256-AES256-RSA-AES128-RSA-AES128-ECDSA-AES128-RSA-AES128-AES128-AHA256:ECDHE-RSA-RSA-AES128-AES128-AES128-AES128-GCM-AHA256:ECDHE-RSA-RSA-CHACHA20-AHA384:ECDHE-RSA-RSA-RSA-RSA-ECDSA-GCM-ECDSA-ECDSA-ECDSA-ECDSA-ECDSA-GCM-GCM-GCM-GCM-GCM-GCM:ECDHE- DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-AES256-AES128-AES128-SHA256:ECDHE-RSA-AES128-AES128-AES128-AES128-AES256-SHA384:ECDHE-RSA-AES256:ECDHE-RSA-AES256:ECDHE-RSA-AES128-AES128-AHA384:ECDHE-RSA-AES128-AES128-AES256:ECDHE-RSA-AES256:ECDHE-RSA-AES256:ECDHE-RSA-AES256:ECDHE-RSA-AES256-AES128-AES256:ECDHE-RSA-RSA-AES256-RSA-AES256:ECDHE-RSA-AES128-AES128-AHA384:ECDHE-RSA-AES128-AES128-AES128-AES128-AES256-AES256-AES256-AES256-AES256-AES128-AES256:ECDHE-RSA-RSA-GCM-SHA384:DHE-RSA-RSA-GCM-RSA-RSA-RSA-ECDHE-ECDSA-GCM-GCM -AES256-SHA384:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES256-AES128-SHA256:DHE-RSA-AES128-AES128-SHA:DHE-RSA-AES256-AES256-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA256:DHE-RSA-AES256:DHE-RSA-AES256:DHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-AES128-SHA256:DHE-RSA-AES256-AES256-AES256-SHA:DHE-RSA-AES256-AES256-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA: ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA256:AES128-SHA256:AES128-SHA256:AES128-SHA:AES128-SHA:AES128-SHA:AES128-SHA256:AES128-SHA:AES128-SHA256:AES128-SHA256:AES128-SHA256:AES128-SHA256:AES128-SHA256:AES128-SHA256:AES128-SHA:AES128-SHA:AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:AES128-SHA256:AES128-SHA256:AES128-SHA-SHA:AES128-SHA-SHA:AES128-GCM-SHA256:AES128-GCM-GCM:AES128-SHA-SHA:AES128-SHA-SHA:AES128-GCM-GCM:AES128-GCM-
  • 규칙: no-sslv3 no-tls-tickets

다음 콘텐츠로 hieradata 덮어쓰기 파일(haproxy-hiera-overrides.yaml)을 생성합니다. 

tripleo::haproxy::ssl_cipher_suite: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
tripleo::haproxy::ssl_options: no-sslv3 no-tls-tickets
Copy to Clipboard Toggle word wrap
참고

암호화 방식 컬렉션은 연속된 한 행으로 되어 있습니다.

openstack undercloud install을 실행하기 전에 생성한 hieradata 재정의 파일을 사용하도록 undercloud.conf 파일의 hieradata_override 매개변수를 설정합니다. 

[DEFAULT]
...
hieradata_override = haproxy-hiera-overrides.yaml
...
Copy to Clipboard Toggle word wrap
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat