13.4. 하드웨어 및 소프트웨어 기능 제한


공격 가능성에 더 적은 코드가 노출되도록 사용하는 하드웨어 및 소프트웨어 기능만 활성화합니다. 신뢰할 수 있는 환경에서만 활성화해야 하는 몇 가지 기능이 있습니다.

PCI 패스스루
PCI 통과를 사용하면 인스턴스가 노드의 PCI 장치에 직접 액세스할 수 있습니다. PCI 장치 액세스가 가능한 인스턴스는 악의적인 행위자가 펌웨어를 수정할 수 있도록 허용할 수 있습니다. 또한 일부 PCI 장치에는 직접 메모리 액세스(DMA)가 있습니다. Cryostat를 사용하여 인스턴스를 제어하면 임의의 물리적 메모리 액세스를 얻을 수 있습니다.

NFV(Network Functions Virtualization)와 같은 특정 사용 사례에 대해 PCI 패스스루를 활성화해야 합니다. 배포에 필요하지 않는 한 PCI 패스스루를 활성화하지 마십시오.

커널 동일 페이지 병합
KSM(커널 동일 페이지 병합)은 메모리 페이지의 중복 제거 및 공유를 통해 메모리 사용을 줄이는 기능입니다. 메모리에 두 개 이상의 가상 머신이 있는 경우 해당 페이지를 공유하여 더 높은 밀도를 허용할 수 있습니다. 메모리 중복 제거 전략은 사이드 채널 공격에 취약하며 신뢰할 수 있는 환경에서만 사용해야 합니다. Red Hat OpenStack Platform에서 KSM은 기본적으로 비활성화되어 있습니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.