1.5. 连接安全区
您必须仔细配置跨越多个安全区(具有不同信任级别或身份验证要求)的任何组件。这些连接通常是网络架构中弱点。确保配置这些连接以满足所连接任何区域的最高信任级别的安全要求。在很多情况下,连接的区的安全控制是主要问题,因为攻击的可能性较高。区域满足额外的潜在攻击点,并为攻击者增加将攻击迁移到更敏感的部署部分的机会。
在某些情况下,OpenStack 操作员可能考虑使用比它所驻留的任何区域更高的标准来保护集成点。根据上述 API 端点示例,如果这些区域没有完全隔离,则可能会以公共区的公共 API 端点为目标,利用这个范围。
OpenStack 的设计使得分离安全区比较困难。由于核心服务通常至少跨越两个区域,因此在将安全控制应用到它们时,必须考虑特殊考虑。