1장. 보안 소개
RHOSP(Red Hat Openstack Platform)와 함께 제공되는 툴을 사용하여 계획 및 운영 시 보안 우선 순위를 지정하면 사용자의 개인 정보 보호 및 데이터 보안에 대한 기대를 충족할 수 있습니다. 보안 표준을 구현하지 않으면 가동 중지 시간이나 데이터 침해가 발생할 수 있습니다. 사용 사례는 감사 및 규정 준수 프로세스를 통과해야 하는 법률의 적용을 받을 수 있습니다. 참고
이 가이드의 지침에 따라 사용자 환경의 보안을 강화합니다. 그러나 이러한 권장 사항은 보안 또는 규정 준수를 보장하지 않습니다. 환경의 고유한 요구 사항으로 인해 보안을 평가해야 합니다.
Ceph 강화에 대한 자세한 내용은 데이터 보안 및 강화 가이드를 참조하십시오.
1.1. Red Hat OpenStack Platform securtiy
기본적으로 RHOSP(Red Hat OpenStack Platform) director는 보안을 위한 다음 툴 및 액세스 제어를 사용하여 오버클라우드를 생성합니다.
- SElinux
- SELinux는 각 프로세스가 모든 작업에 대해 명시적 권한이 있어야 하는 액세스 제어를 제공하여 RHOSP의 보안 강화를 제공합니다.
- Podman
- Podman을 컨테이너 툴로 사용하는 것은 루트 액세스 권한이 있는 프로세스가 기능해야 하는 클라이언트/서버 모델을 사용하지 않으므로 RHOSP의 안전한 옵션입니다.
- 시스템 액세스 제한
- 오버클라우드 배포 중에 director가 heat-admin을 위해 생성하는 SSH 키 또는 오버클라우드에서 생성한 SSH 키를 사용하여 오버클라우드 노드에만 로그인할 수 있습니다. 암호와 함께 SSH를 사용하여 오버클라우드 노드에 로그인하거나 root를 사용하여 오버클라우드 노드에 로그인할 수 없습니다.
조직의 요구 사항 및 신뢰 수준에 따라 다음 추가 보안 기능을 사용하여 director를 구성할 수 있습니다.
- 공용 TLS 및 TLS-everywhere
- OpenStack Key Manager와 하드웨어 보안 모듈 통합(barbican)
- 서명된 이미지 및 암호화된 볼륨
- 워크플로우 실행을 사용한 암호 및 fernet 키 순환