21.9. 방화벽 및 인스턴스 프로필
대부분의 일반적인 운영 체제에는 추가 보안 계층을 위한 호스트 기반 방화벽이 포함됩니다. 인스턴스는 가능한 한 적은 수의 애플리케이션(사용 가능한 경우 단일 용도의 인스턴스)을 실행해야 하지만, 인스턴스에서 실행 중인 모든 애플리케이션은 애플리케이션에 액세스해야 하는 시스템 리소스, 실행을 위해 필요한 가장 낮은 수준의 권한, 가상 시스템에서 들어오고 들어오는 예상 네트워크 트래픽을 결정하도록 프로파일링해야 합니다. 이 예상 트래픽은 SSH 또는 RDP와 같은 필요한 로깅 및 관리 통신과 함께 허용된 트래픽으로 호스트 기반 방화벽에 추가해야 합니다. 다른 모든 트래픽은 방화벽 구성에서 명시적으로 거부되어야 합니다.
Linux 인스턴스에서 위의 애플리케이션 프로필을 audit2allow
와 같은 툴과 함께 사용하여 대부분의 Linux 배포판에서 중요한 시스템 정보를 추가로 보호하는 SELinux 정책을 구축할 수 있습니다. SELinux는 사용자, 정책 및 보안 컨텍스트를 결합하여 애플리케이션을 실행하는 데 필요한 리소스를 구분하고 필요하지 않은 다른 시스템 리소스에서 분할합니다.
Red Hat OpenStack Platform에는 OpenStack 서비스에 맞게 사용자 지정된 정책과 함께 SELinux가 기본적으로 활성화되어 있습니다. 필요에 따라 정기적으로 이러한 정책을 검토하는 것이 좋습니다.