Red Hat Summit8장. 인프라 및 가상화 강화
하드웨어 및 소프트웨어 공급 업체와 정기적으로 확인하여 새로운 취약점 및 보안 업데이트에 대한 정보를 얻을 수 있습니다. Red Hat 제품 보안팀은 다음 사이트를 통해 보안 업데이트를 알립니다.
Red Hat OpenStack Platform 배포를 정기적으로 업데이트할 때는 다음을 고려하십시오.
- 모든 보안 업데이트가 포함되어 있는지 확인합니다.
- 커널을 업데이트하려면 재부팅이 필요합니다.
- 호스팅 이미지 서비스(glance) 이미지를 업데이트하여 새로 생성된 인스턴스에 최신 업데이트가 있는지 확인합니다.
8.1. 하이퍼바이저
하이퍼바이저 플랫폼을 평가할 때 하이퍼바이저가 실행될 하드웨어의 지원 가능성을 고려하십시오. 또한 하드웨어에서 사용할 수 있는 추가 기능과 OpenStack 배포의 일부로 선택한 하이퍼바이저에서 이러한 기능을 어떻게 지원하는지 살펴보겠습니다. 이를 위해 하이퍼바이저에는 각각 고유한 HCL(하드웨어 호환성 목록)이 있습니다. 호환 하드웨어를 선택할 때는 보안 측면에서 하드웨어 기반 가상화 기술이 중요한지 미리 알아야 합니다.
8.1.1. 하이퍼바이저와 베어 메탈 비교
KVM과 같은 하이퍼바이저를 사용하는 것과 비교하여 Linux 컨테이너 또는 베어 메탈 시스템 사용의 차이점을 인식하는 것이 중요합니다. 특히, 이 보안 가이드의 초점은 하이퍼바이저와 가상화 플랫폼을 기반으로 합니다. 그러나 구현에 베어 메탈 또는 컨테이너화된 환경을 사용해야 하는 경우 해당 환경 배포와 관련하여 특정 차이점에 주의해야 합니다.
베어 메탈의 경우 다시 프로비저닝 및 해제하기 전에 데이터가 올바르게 삭제되었는지 확인합니다. 또한 노드를 재사용하기 전에 하드웨어가 변조되지 않았거나 손상되지 않았음을 보장해야 합니다. 자세한 내용은 https://docs.openstack.org/ironic/queens/admin/cleaning.html에서 참조하십시오.
8.1.2. 하이퍼바이저 메모리 최적화
특정 하이퍼바이저는 메모리 최적화 기술을 사용하여 게스트 가상 머신에 메모리를 과다 할당할 수 있습니다. 매우 복잡한 컴퓨팅 클러스터를 배포할 수 있는 유용한 기능입니다. 이 기술에 대한 한 가지 접근 방식은 메모리 페이지 중복 제거 또는 공유를 통해 이루어집니다. 메모리에 두 가상 시스템에 동일한 데이터가 있는 경우 동일한 메모리를 참조하도록 하는 이점이 있습니다. 일반적으로 이 작업은 커널 동일 페이지 병합(KSM)과 같은 COW(Copy-On-Write) 메커니즘을 통해 수행됩니다. 이러한 메커니즘은 공격에 취약합니다.
- 메모리 중복 제거 시스템은 사이드 채널 공격에 취약합니다. 교육 연구에서 공격자는 옆의 가상 시스템에서 실행되는 소프트웨어 패키지 및 버전을 식별할 수 있었으며, 공격자 VM에서 메모리 액세스 시간을 분석하여 소프트웨어 다운로드 및 기타 중요한 정보를 확인할 수 있었습니다. 결과적으로 한 VM은 모든 프로젝트를 신뢰하거나 동일한 수준의 신뢰 수준을 공유하는 멀티 프로젝트 환경에 적합하지 않을 수 있는 다른 VM의 상태를 추측할 수 있습니다.
- 보다 중요한 점은, 실행 가능한 메모리의 교차 VM 수정을 시행하기 위해 KSM에 대한 행 해머 유형 공격이 입증되었습니다. 즉, hostile 인스턴스가 동일한 Compute 호스트의 다른 인스턴스에 대한 코드 실행 액세스 권한을 얻을 수 있습니다.
배포자는 강력한 프로젝트 분리가 필요한 경우 (공용 클라우드 및 일부 프라이빗 클라우드) KSM을 비활성화해야 합니다.
- KSM을 비활성화하려면 KSM 비활성화를 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}