Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

1.3. セキュリティーゾーンの接続

異なる信頼レベルまたは認証要件を持つ複数のセキュリティーゾーンにまたがるコンポーネントは、慎重に設定する必要があります。このような接続は、多くの場合、ネットワークアーキテクチャーの弱いポイントであるため、接続しているゾーンの最も高い信頼レベルに対応するよう常に設定する必要があります。多くの場合、セキュリティーが接続したゾーンは、攻撃の可能性により主要な懸念になります。ゾーンの条件を満たすポイントで追加の攻撃サービスが表示され、攻撃者が攻撃をより機密部分に移行するための機会を追加します。

OpenStack オペレーターは、あるゾーンよりも高い標準で、統合ポイントのセキュリティーを考慮する必要がある場合があります。上記の API エンドポイントの例では、アドバイザリーがパブリックゾーンから Public API エンドポイントをターゲットにする可能性があり、これらのゾーンが完全に分離された場合に管理ゾーン内の内部または管理者 API へのアクセスをホップに活用したり、管理ゾーン内の内部または管理者 API へのアクセスを入手する可能性があります。

OpenStack の設計は、セキュリティーゾーンの分離が難しくなります。通常、コアサービスは少なくとも 2 つのゾーンにまたがるため、セキュリティーコントロールを適用する際に特別な考慮を指定する必要があります。