19.2. 모니터링할 이벤트의 예
이벤트 모니터링은 환경 보안에 대한 보다 적극적인 접근 방식으로 실시간 감지 및 대응을 제공합니다. 모니터링에 도움이 될 수 있는 여러 툴이 있습니다. OpenStack 배포의 경우 하드웨어, OpenStack 서비스 및 클라우드 리소스 사용량을 모니터링해야 합니다.
이 섹션에서는 알아야 할 몇 가지 예제 이벤트에 대해 설명합니다.
이 목록은 완전하지 않습니다. 특정 네트워크에 적용할 수 있고 비정상적인 동작을 고려할 수 있는 추가 사용 사례를 고려해야 합니다.
- 로그 생성이 없음을 감지하는 것은 높은 값의 이벤트입니다. 이러한 격차는 서비스 실패 또는 일시적으로 로깅을 해제하거나 추적을 숨기기 위해 로그 수준을 수정한 침입자도 나타낼 수 있습니다.
- 예약되지 않은 시작 또는 중지 이벤트와 같은 애플리케이션 이벤트가 보안에 영향을 미칠 수 있습니다.
- 사용자 로그인 또는 재시작과 같은 OpenStack 노드의 운영 체제 이벤트입니다. 이를 통해 시스템의 적절하고 부적절한 사용을 구분하는 데 중요한 통찰력을 제공할 수 있습니다.
- 네트워킹 브리지가 다운됩니다. 이는 서비스 중단의 위험 때문에 실행 가능한 이벤트입니다.
- iptables가 컴퓨팅 노드에서 이벤트를 플러시하고 이로 인해 인스턴스에 대한 액세스 권한이 손실됩니다.
ID 서비스의 사용자, 프로젝트 또는 도메인 삭제에서 분리된 인스턴스에서 보안 위험을 줄이기 위해 시스템에서 알림을 생성하고 OpenStack 구성 요소가 인스턴스 종료, 연결된 볼륨 연결 해제, CPU 및 스토리지 리소스 회수 등 이러한 이벤트에 적절하게 응답하도록 논의가 있습니다.
침입 탐지 소프트웨어, 안티바이러스 소프트웨어 및 제거 유틸리티와 같은 보안 모니터링 제어는 공격 또는 침입의 시기와 방법을 보여주는 로그를 생성할 수 있습니다. 이러한 툴은 OpenStack 노드에 배포할 때 보호 계층을 제공할 수 있습니다. 프로젝트 사용자는 인스턴스에서 이러한 도구를 실행하려고 할 수도 있습니다.