Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

第3章 暗号化および鍵の管理

デバイス間の通信は、深刻なセキュリティー上の懸念点です。ネットワークにおける安全な通信方法は、Heartbleed や、BEAST や CRIME などのより高度な攻撃などの重要な脆弱性によって実証されるため、はるかに重要となります。ただし、暗号化は大規模なセキュリティーストラテジーの一部にすぎません。エンドポイントが侵害されると、攻撃者は使用する暗号化を中断する必要がなくなりますが、システムが処理される際にメッセージを表示および操作できます。

本章では、内部リソースと外部リソースの両方のセキュリティーを保護するために Transport Layer Security (TLS) の設定に関する機能を確認し、特定の注意を払う必要がある特定のカテゴリーを呼び出します。

OpenStack コンポーネントは、さまざまなプロトコルを使用して相互に通信し、機密性の高いデータや機密性データが必要になる可能性があります。攻撃者は、機密情報へのアクセスを取得するためにチャネルで傍受する可能性があります。そのため、すべてのコンポーネントがセキュアな通信プロトコルを使用して相互に通信する必要があることが重要になります。

3.1. TLS および SSL の概要

OpenStack デプロイメントでネットワークトラフィックの機密性または整合性を確保するために、セキュリティー上の要件がある場合があります。通常、これは TLS プロトコルなどの暗号化手段を使用して設定されます。一般的なデプロイメントでは、パブリックネットワーク上で送信されるすべてのトラフィックはセキュリティー強化が必要ですが、セキュリティーの良い条件では内部トラフィックも保護する必要があることを期待します。保護のセキュリティーゾーンの分離に依存するだけでは不十分です。攻撃者がハイパーバイザーまたはホストのリソースへのアクセスを取得したり、API エンドポイントまたはその他のサービスを侵害した場合は、簡単にメッセージ、コマンド、またはクラウドの管理機能に影響を与えることはできません。

管理ゾーンサービスやサービス内通信など、TLS ですべてのゾーンをセキュリティーを強化する必要があります。TLS は、認証、否認防止、機密性、および OpenStack サービスへのユーザー通信の整合性を確保するためのメカニズムを提供します。

Secure Sockets Layer (SSL) プロトコルにおいて公開された脆弱性により、SSL に優先して TLS 1.2 以上を使用することを検討してください。また、古いブラウザーまたはライブラリーとの互換性が必要にならない限り、SSL はすべてのケースで無効になります。