1.2. セキュリティーの境界線と脅威

クラウドデプロイメントに存在するセキュリティーリスクを理解するためには、クラウドを、共通の機能、ユーザー、共通のセキュリティー問題を持つコンポーネントの集合体として抽象的に考えることが有効ですが、本書ではこれを セキュリティーゾーン と呼びます。脅威のアクターとベクターは、その動機とリソースへのアクセスに基づいて分類されます。目的に応じて、各ゾーンのセキュリティー上の懸念を把握することを目的としています。

1.2.1. セキュリティゾーン

セキュリティーゾーンは、一般的な信頼要件とシステム内で期待するユーザー、アプリケーション、サーバー、またはネットワークで構成されます。通常、これらは同じ認証と承認の要件とユーザーを共有します。これらのゾーンの定義はさらに細かく設定することができますが、本ガイドでは、セキュリティーが強化された OpenStack クラウドを展開するために必要な最低限のセキュリティーゾーンとして、以下の明確なセキュリティーゾーンを参照しています。これらのセキュリティゾーンは、少なくとも信頼されているものから順に一覧表示されます。

  • パブリックゾーン - 外部の公開用 API、neutron の外部ネットワーク (Floating IP や SNAT による外部接続など)。
  • ゲストゾーン - プロジェクトネットワーク (VLAN または VXLAN)。
  • ストレージアクセスゾーン - ストレージ管理 (ストレージ監視およびクラスターリング)、ストレージ (SAN/オブジェクト/ブロックストレージ)。
  • マネージメントゾーン - 一般的に、アンダークラウド、ホストのオペレーティングシステム、ハードウェア、ネットワーク、アンダークラウドのコントロールプレーン (オーバークラウドホストのプロビジョニング/管理)、オーバークラウドのシステム管理者/監視/バックアップを含みます。
  • アドミンゾーン - オーバークラウドを介したエンドポイントアクセス、インフラストラクチャー API、DB、RPC を含む内部 API を許可します (オーバークラウド上のプロジェクトのさまざまな API アクセスロールによって異なります)。オーバークラウドへの管理者アクセスは、アンダークラウドとハードウェアへの管理アクセスを必要としないこと。

これらのセキュリティーゾーンは、個別にマッピングすることも、特定の OpenStack デプロイメント内で信頼の可能な領域の大部分を表すこともできます。たとえば、デプロイメントトポロジーによっては、1 つの物理ネットワーク上に複数のゾーンを組み合わせて構成していたり、他のトポロジーではこれらのゾーンが分離されていたりします。いずれの場合も、適切なセキュリティー上の注意点を知っておく必要があります。セキュリティーゾーンは、お客様の OpenStack デプロイメントトポロジーに合わせてマッピングする必要があります。ゾーンとその信頼要件は、クラウドインスタンスがパブリック、プライベート、またはハイブリッドのいずれであるかによって異なります。

1.2.1.1. パブリックゾーン

パブリックセキュリティーゾーンは、クラウドインフラストラクチャーの完全に信頼されていない領域です。この環境は、インターネット全体として参照することも、認証局がない Red Hat OpenStack Platform デプロイメント外部のネットワークにも言及することができます。このゾーンを経由する機密性または整合性要件があるデータはすべて、補正制御を使用して保護する必要があります。

注記

このゾーンは常に信頼できないものと考えてください。

1.2.1.2. ゲストゾーン

通常、Compute インスタンス間のトラフィックに使用されるゲストセキュリティーゾーンは、クラウド上のインスタンスが生成するコンピュートデータを処理しますが、API コールなどのクラウドの運用をサポートするサービスは処理しません。

インスタンスの使用を厳格に管理していない、またはインスタンスへの無制限のインターネットアクセスを許可しているパブリックおよびプライベートクラウドプロバイダーは、このゾーンを信頼できないと考えるべきです。プライベートクラウドのプロバイダーは、インスタンスとそれに関連するすべてのプロジェクト (基盤となるハードウェアと内部ネットワークを含む) が信頼できることを保証するための適切なコントロールが実装されている場合に限り、このネットワークを内部で信頼できるものとみなすことができるでしょう。

1.2.1.3. ストレージアクセスゾーン

このネットワークを介して送信されるデータのほとんどは、高いレベルの完全性と機密性を必要とします。また、デプロイメントの形態によっては、強い可用性が求められる場合もあります。

ストレージアクセスネットワークは、絶対に必要な場合を除き、デプロイ外からアクセスできないようにする必要があります。このネットワークは、レプリケーションの要件を除いて、ストレージアプライアンス以外のクラウド外部からはアクセスできないと想定されており、このゾーンにデプロイされたコンポーネントは、セキュリティーの観点から機密のものとして扱われます。

このネットワークの信頼レベルはデプロイ時の判断に大きく依存するため、本ガイドではこのゾーンにデフォルトの信頼レベルを割り当てていません。

1.2.1.4. コントロールプレーン

コントロールプレーンは、サービスが相互に作用する場所です。このゾーンのネットワークは、設定パラメーター、ユーザー名、パスワードなどの機密データを伝送します。コマンドおよびコントロールのトラフィックは通常このゾーンに存在するため、厳しい整合性要件が必要となります。このゾーンへのアクセスは厳しく制限され、監視される必要があります。同時に、このゾーンでは、本ガイドに記載されているセキュリティーのグッドプラクティスをすべて採用する必要があります。

ほとんどのデプロイメントでは、このゾーンは信頼されていると見なされます。しかし、OpenStack の導入を考えると、このゾーンと他のゾーンを橋渡しするシステムが多く、このゾーンに置ける信頼度が低下する可能性があります。

1.2.1.5. Management ネットワーク

Management ネットワークは、システムの管理、監視、バックアップに使用されますが、OpenStack の API や制御インターフェイスはホストされない場所です。この場所は、オンプレミスまたはプライベートの Red Hat OpenStack Platform のデプロイメントに使用される PXE ネットワークを配置する場所で、director および compute、storage、management ノードのハードウェア管理インターフェイス、ネットワーク機器、基本的なオペレーティングシステムのアクセスを含みます。