Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

1.2. セキュリティーゾーン

セキュリティーゾーンは、共通のセキュリティー上の懸念を共有する一般的なリソース、アプリケーション、ネットワーク、およびサーバーです。セキュリティーゾーンは、同じ認証および承認要件およびユーザーを共有する必要があります。

独自のセキュリティーゾーンを再定義して、クラウドの一意のアーキテクチャー、環境内で許可される信頼レベル、および標準化された要件に基づいて、より粒度の高いセキュリティーゾーンを再定義する必要がある場合があります。ゾーンとその信頼要件は、クラウドインスタンスがパブリック、プライベート、またはハイブリッドであるかによって異なります。

セキュリティーが強化された OpenStack クラウドをデプロイするのに必要な最小ゾーンは、少なくとも信頼されているものから最も高いものになります。

  • パブリックゾーン: パブリックゾーンは、パブリック向け API およびインスタンスの外部接続向けに Floating IP や SNAT などの neutron 外部ネットワークをホストします。このゾーンは、クラウドインフラストラクチャーの信頼できない領域です。これは、クラウドアクセス、またはご自分の領域外のネットワークへのクラウドアクセス、または Red Hat OpenStack Platform デプロイメント外にある責任のいずれかを指します。

このゾーンを通過する機密性または整合性要件のあるデータは、補正制御を使用して保護する必要があります。

  • ゲストゾーン: ゲストゾーンのプロジェクトネットワーク (VXLAN または GENEVE のいずれか)これは、インスタンスが使用する文字列に関連する制御を持たないパブリックおよびプライベートクラウドプロバイダーでは信頼されないか、インスタンスへの無制限のインターネットアクセスを許可します。

プライベートのクラウドプロバイダーの場合は、インスタンスと関連するプロジェクトをアサートして基盤のハードウェアと物理ネットワークを組み込むように制御が実装されている場合には、このネットワークを内部と信頼済みとみなすことができます。

  • ストレージアクセスゾーン: ストレージアクセスゾーンは、ストレージ管理、モニタリング、およびクラスタリング用で、ストレージトラフィック自体です。

このネットワーク上で送信されるデータには、高いレベルの整合性と機密性が必要です。利用できる利用できる要件もある。

レプリケーション要件を除き、このゾーンにデプロイされたストレージアプライアンスコンポーネント以外、クラウド外からこのネットワークにアクセスできるようにしないでください。

  • 管理ゾーン: 管理ゾーンには、アンダークラウド、ホストオペレーティングシステム、サーバーハードウェア、物理ネットワーク、および Red Hat OpenStack Platform director コントロールプレーンが含まれます。

管理ネットワークは、システム管理、監視、またはバックアップに使用されます。このゾーン上で、OpenStack API をホストしたり、インターフェースを制御したりしないでください。

  • 管理ゾーン: 管理ゾーンは、システム管理、モニタリング、またはバックアップのトラフィックをホストしますが、OpenStack API または制御インターフェースがホストされない場所です。