13.4. 하드웨어 및 소프트웨어 기능 제한
공격 가능성에 더 적은 코드가 노출되도록 사용하는 하드웨어 및 소프트웨어 기능만 활성화합니다. 신뢰할 수 있는 환경에서만 활성화해야 하는 몇 가지 기능이 있습니다.
- PCI 패스스루
- PCI 통과를 사용하면 인스턴스가 노드의 PCI 장치에 직접 액세스할 수 있습니다. PCI 장치 액세스가 가능한 인스턴스는 악의적인 행위자가 펌웨어를 수정할 수 있도록 허용할 수 있습니다. 또한 일부 PCI 장치에는 직접 메모리 액세스(DMA)가 있습니다. Cryostat를 사용하여 인스턴스를 제어하면 임의의 물리적 메모리 액세스를 얻을 수 있습니다.
NFV(Network Functions Virtualization)와 같은 특정 사용 사례에 대해 PCI 패스스루를 활성화해야 합니다. 배포에 필요하지 않는 한 PCI 패스스루를 활성화하지 마십시오.
- 커널 동일 페이지 병합
- KSM(커널 동일 페이지 병합)은 메모리 페이지의 중복 제거 및 공유를 통해 메모리 사용을 줄이는 기능입니다. 메모리에 두 개 이상의 가상 머신이 있는 경우 해당 페이지를 공유하여 더 높은 밀도를 허용할 수 있습니다. 메모리 중복 제거 전략은 사이드 채널 공격에 취약하며 신뢰할 수 있는 환경에서만 사용해야 합니다. Red Hat OpenStack Platform에서 KSM은 기본적으로 비활성화되어 있습니다.