4.3.4. ハードウェアの脆弱性の軽減

PCI パススルーを使用すると、ホストにインストールされている特定の物理ハードウェアにインスタンスが直接アクセスできるようになります。これは、多くのネットワーク機能仮想化 (NFV) のユースケースで発生する可能性があります。ただし、考慮すべきセキュリティー対策がいくつかあります。

PCI パススルーを使用する場合は、割り込みの再マッピングをサポートするハードウェアの導入を検討してください。そうしないと、allow_unsafe_interrupts 設定を有効にする必要があります。これにより、Compute ノードが悪意のあるインスタンスからの割り込みインジェクション攻撃に対して脆弱になる可能性があります。

詳しくは、『ネットワークガイド』の https://access.redhat.com/documentation/ja-jp/red_hat_openstack_platform/15/html-single/networking_guide/#review-the-allow_unsafe_interrupts-settingを参照してください。