13.4. 限制硬件和软件功能
仅启用您使用的硬件和软件功能,以便减少代码受到攻击的可能性。一些功能应只在可信的环境中启用。
- PCI passthrough
- PCI 透传允许实例直接访问节点上的 PCI 设备。具有 PCI 设备访问的实例可能会允许恶意参与者对固件进行修改。另外,一些 PCI 设备具有直接内存访问(DMA)。当您为使用 DMA 的设备提供实例控制时,它可以获得任意物理内存访问。
您必须为特定用例启用 PCI 透传,如网络功能虚拟化(NFV)。除非部署需要,否则不要启用 PCI 透传。
- 内核相同的页面合并
- 内核相同的页面合并(KSM)是一种通过重复数据删除和共享内存页面来减少内存使用的功能。当两个或多个虚拟机在内存中具有相同的页面时,可以共享这些页面以获得更高的密度。内存重复数据删除(Deduplication)策略容易受到侧信通道攻击的影响,且只应在可信环境中使用。在 Red Hat OpenStack Platform 中,默认禁用 KSM。