Menu Close

第15章 インスタンスのセキュリティーの管理

仮想化環境でインスタンスを実行する利点の 1 つは、通常ベアメタルへのデプロイ時に利用できないセキュリティー制御の新しい機会です。OpenStack デプロイメントの情報セキュリティーを向上させる特定のテクノロジーを仮想化スタックに適用できます。セキュリティー要件が強固な運用者は、これらの技術のデプロイを検討する必要がある場合がありますが、すべての状況に該当する訳ではありません。場合によっては、規定されたビジネス要件により、クラウドでの使用にテクノロジーを除外できる場合があります。同様に、一部の技術は、動作状態などのインスタンスデータを検査しますが、システムのユーザーにとって望ましくない可能性があります。

本章では、これらのテクノロジーと、インスタンスまたは基盤のノードのセキュリティーを強化するために使用できる状況について説明します。プライバシーの懸念事項も詳しく説明します。これには、データパススルー、イントロスペクション、またはエントロピーソースが含まれます。

15.1. インスタンスへのエントロピーの提供

本章で使用される エントロピー という用語は、インスタンスで利用可能なランダムデータの品質およびソースを指します。暗号化技術は、通常、エントロピーの高品質なプールから取得される必要がある無作為性に強く依存します。通常、インスタンスがこれらの操作をサポートするのに十分なエントロピーを取得するのが困難です。これはエントロピー不足と呼ばれます。この状況は、無関係に思われるインスタンスに現れます。たとえば、ブート時間が遅くなるのは、インスタンスが SSH 鍵の生成を待機することが原因である可能性があります。また、この状況では、ユーザーがインスタンス内から、適切でない品質のエントロピーソースを使用するリスクを招く可能性があり、クラウド内で実行するアプリケーションの全体的なセキュリティーレベルが低くなります。

ただし、インスタンスにエントロピーの高品質ソースを提供することで、これらの問題に対処するのに役立ちます。これは、クラウド内にインスタンスをサポートするのに十分なハードウェア乱数ジェネレーター (HRNG) を持つことで実現できます。この場合、十分かどうかはドメインに依存します。毎日の操作では、今日的な HRNG は、通常 50 - 100 コンピュートノードをサポートするのに十分なエントロピーを生成します。Intel Ivy Bridge 以降のプロセッサーで利用可能な RdRand 命令など、高帯域幅 HRNG では、より多くのノードを処理できる可能性があります。特定のクラウドでは、十分なエントロピーを利用できることを確保するために、アーキテクトはアプリケーションの要件を理解する必要があります。

Virtio RNG は、デフォルトでエントロピーのソースとして /dev/random を使用する乱数ジェネレーターです。また、デプロイメント全体でエントロピーを適切に配布する方法を提供するために、ハードウェア RNG またはエントロピー収集デーモン (EGD) などのツールを使用するように設定することもできます。hw_rng メタデータプロパティーを使用して、インスタンスの作成時に Virtio RNG を有効にすることができます。