第 1 章 安全简介
使用 Red Hat Openstack Platform (RHOSP)提供的工具来优先选择规划以及操作中的安全性,以满足用户隐私性和其数据的安全性。在实施安全标准时,会导致停机或数据被破坏。您的用例可能会受到需要传递审计和合规性进程的法律。
注意
按照本指南中的说明强化您的环境的安全性。但是,这些建议不能保证安全性或合规性。您必须根据环境的唯一要求评估安全性。
- 有关强化 Ceph 的详情,请参考 数据安全性和强化指南。
1.1. Red Hat OpenStack Platform 安全性
默认情况下,Red Hat OpenStack Platform (RHOSP) director 使用以下工具和访问控制来创建 overcloud:
- SElinux
- SELinux 通过提供访问控制来为 RHOSP 提供安全增强,每个进程都需要为每个操作具有显式权限。
- Podman
- podman 作为容器工具是 RHOSP 的安全选项,因为它不使用需要具有 root 访问权限的进程的客户端/服务器模型。
- 系统访问限制
- 您只能使用 director 在 overcloud 部署期间为 heat-admin 创建的 SSH 密钥或您在 overcloud 上创建的 SSH 密钥登录 overcloud 节点。您不能将 SSH 与密码用于登录 overcloud 节点,或使用 root 登录 overcloud 节点。
您可以根据机构的需求和信任级别,使用以下附加安全功能配置 director:
- 公共 TLS 和 TLS-everywhere
- 硬件安全模块与 OpenStack 密钥管理器(barbican)集成
- 签名的镜像和加密卷
- 使用工作流执行对密码和 fernet 密钥进行轮转
