Menu Close

1.4. セキュリティーゾーンの接続

信頼レベルや認証要件が異なる複数のセキュリティーゾーンにまたがるコンポーネントは、慎重に設定する必要があります。これらの接続は、ネットワークアーキテクチャーの弱点になることが多々あります。これらの接続は、接続されるいずれかのゾーンの最高の信頼レベルのセキュリティー要件を満たすように構成されていることを確認してください。多くの場合、攻撃の可能性があるため、接続されたゾーンのセキュリティー制御が主要な懸念事項になります。ゾーンが交わるポイントは、新たな潜在的な攻撃サービスを提供し、攻撃者がデプロイメントのより繊細な部分に攻撃を移行する機会を増やします。

OpenStack オペレーターは、あるゾーンよりも高い標準で、統合ポイントのセキュリティーを考慮する必要がある場合があります。上記の API エンドポイントの例では、アドバイザリーがパブリックゾーンから Public API エンドポイントをターゲットにする可能性があり、これらのゾーンが完全に分離された場合に管理ゾーン内の内部または管理者 API へのアクセスをホップに活用したり、管理ゾーン内の内部または管理者 API へのアクセスを入手する可能性があります。

OpenStack の設計は、セキュリティーゾーンの分離が難しくなります。コアサービスは通常 2 つのゾーンにまたがるので、セキュリティーコントロールを適用する際には、特別な考慮が必要になります。