Menu Close セキュリティーおよび強化ガイド 前書き 多様性を受け入れるオープンソースの強化 Red Hat ドキュメントへのフィードバック (英語のみ) 1. セキュリティーの概要 Expand section "1. セキュリティーの概要" Collapse section "1. セキュリティーの概要" 1.1. Red Hat OpenStack Platform のセキュリティー 1.2. Red Hat OpenStack Platform におけるセキュリティーゾーンの識別 1.3. Red Hat OpenStack Platform におけるセキュリティーゾーンの位置確認 1.4. セキュリティーゾーンの接続 1.5. 脅威の軽減策 2. RHOSP 環境のドキュメント化 Expand section "2. RHOSP 環境のドキュメント化" Collapse section "2. RHOSP 環境のドキュメント化" 2.1. システムロールの文書化 2.2. ハードウェアインベントリーの作成 2.3. ソフトウェアインベントリーの作成 3. 暗号化および鍵の管理 Expand section "3. 暗号化および鍵の管理" Collapse section "3. 暗号化および鍵の管理" 3.1. TLS および SSL の概要 3.2. 公開鍵インフラストラクチャー 3.3. 認証局 3.4. director を使用した暗号化の設定 3.5. デフォルトの証明書鍵サイズの変更 3.6. TLS ライブラリー 3.7. TLS 1.0 が非推奨に Expand section "3.7. TLS 1.0 が非推奨に" Collapse section "3.7. TLS 1.0 が非推奨に" 3.7.1. TLS 1.0 が使用されているかどうかを確認する 3.8. 暗号化アルゴリズム、暗号モード、およびプロトコル 3.9. TLS プロキシーおよび HTTP サービス 3.10. Perect Forward Secrecy 3.11. Barbican を使用したシークレットの管理 4. アイデンティティーおよびアクセス管理 Expand section "4. アイデンティティーおよびアクセス管理" Collapse section "4. アイデンティティーおよびアクセス管理" 4.1. 認証 4.2. 無効なログイン試行 4.3. 承認 4.4. Formal Access Control Policies を確立 4.5. サービス承認 4.6. トークン Expand section "4.6. トークン" Collapse section "4.6. トークン" 4.6.1. fernet トークン 4.7. Keystone ドメイン 4.8. LDAP での認証 4.9. LDAP ベースのサービスとの統合 Expand section "4.9. LDAP ベースのサービスとの統合" Collapse section "4.9. LDAP ベースのサービスとの統合" 4.9.1. LDAP 統合の仕組み 5. ポリシー Expand section "5. ポリシー" Collapse section "5. ポリシー" 5.1. 既存のポリシーの確認 5.2. サービスポリシーについて 5.3. ポリシー構文 5.4. アクセス制御でのポリシーファイルの使用 5.5. 例: パワーユーザーロールの作成 5.6. 例: 属性に基づくアクセスの制限 5.7. heat を使用したポリシーの変更 5.8. ユーザーおよびロールの監査 5.9. API アクセスの監査 6. サービスアカウントパスワードのローテーション Expand section "6. サービスアカウントパスワードのローテーション" Collapse section "6. サービスアカウントパスワードのローテーション" 6.1. オーバークラウドのパスワード管理の概要 6.2. パスワードのローテーション 6.3. 停止の要件 7. インフラストラクチャーおよび仮想化の強化 Expand section "7. インフラストラクチャーおよび仮想化の強化" Collapse section "7. インフラストラクチャーおよび仮想化の強化" 7.1. ハイパーバイザー Expand section "7.1. ハイパーバイザー" Collapse section "7.1. ハイパーバイザー" 7.1.1. ハイパーバイザーとベアメタル 7.1.2. ハイパーバイザーメモリーの最適化 7.2. PCI パススルー 7.3. SELinux Expand section "7.3. SELinux" Collapse section "7.3. SELinux" 7.3.1. ラベルとカテゴリー 7.3.2. SELinux ユーザーおよびロール 7.4. コンテナー化されたサービス 7.5. コンピュートデプロイメントのハード化 7.6. ファームウェアの更新 7.7. Block Storage Expand section "7.7. Block Storage" Collapse section "7.7. Block Storage" 7.7.1. ボリュームの接続 7.7.2. 認証には keystone を使用します。 7.7.3. 認証用に TLS を有効にする 7.7.4. Block Storage が Compute との通信に TLS を使用するのを確認 7.7.5. 要求のボディーの最大サイズの設定 7.7.6. ボリュームの暗号化の有効化 7.8. Networking Expand section "7.8. Networking" Collapse section "7.8. Networking" 7.8.1. ネットワークアーキテクチャー 7.8.2. 物理サーバーでの Neutron サービスの配置 7.8.3. セキュリティーゾーン 7.8.4. ネットワークサービス 7.8.5. VLAN およびトンネリングを使用した L2 分離 7.8.6. VLAN 7.8.7. L2 トンネリング 7.8.8. アクセス制御リスト 7.8.9. L3 ルーティングおよび NAT 7.8.10. Quality of Service (QoS) 7.8.11. Load balancing 7.8.12. Networking サービスのハードニング 7.8.13. API サーバーのバインドアドレスの制限: neutron-server 7.8.14. プロジェクトネットワークサービスのワークフロー 7.8.15. ネットワークリソースポリシーエンジン 7.8.16. セキュリティーグループ 7.8.17. ARP スプーフィングの緩和策 7.8.18. 認証にセキュアプロトコルを使用 8. ネットワークタイムプロトコル Expand section "8. ネットワークタイムプロトコル" Collapse section "8. ネットワークタイムプロトコル" 8.1. 一貫した時刻が重要な理由 8.2. NTP 設計 9. director を使用したセキュリティー強化の設定 Expand section "9. director を使用したセキュリティー強化の設定" Collapse section "9. director を使用したセキュリティー強化の設定" 9.1. SSH バナーテキストの使用 9.2. システムイベントの監査 9.3. ファイアウォールルールの管理 9.4. AIDE を使用した侵入検知 Expand section "9.4. AIDE を使用した侵入検知" Collapse section "9.4. AIDE を使用した侵入検知" 9.4.1. 複雑な AIDE ルールの使用 9.4.2. その他の AIDE 値 9.4.3. AIDE の cron 設定 9.4.4. システムアップグレードの影響に関する考慮 9.5. SecureTTY の確認 9.6. Identity サービスの CADF 監査 9.7. login.defs 値の確認 10. Dashboard サービスの強化 Expand section "10. Dashboard サービスの強化" Collapse section "10. Dashboard サービスの強化" 10.1. ドメイン名の選択 10.2. ALLOWED_HOSTS の設定 10.3. クロスサイトスクリプティング (XSS) 10.4. クロスサイトリクエストフォージェリー (CSRF) 10.5. クロスフレームスクリプティング (XFS) 10.6. Dashboard トラフィックの HTTPS 暗号化の使用 10.7. HTTP Strict Transport Security (HSTS) 10.8. フロントエンドキャッシング 10.9. セッションバックエンド 10.10. シークレットキーの確認 10.11. セッションクッキーの設定 10.12. 静的メディア 10.13. パスワードの複雑性の検証 10.14. 管理者パスワードチェックの強制 10.15. iframe 埋め込みの拒否 10.16. パスワード表示の無効化 10.17. Dashboard へのログインバナーの表示 10.18. テーマのカスタマイズ 10.19. ファイルのアップロードサイズの制限 10.20. Dashboard サービスのデバッグ 11. Shared File Systems (Manila) のセキュリティー強化 Expand section "11. Shared File Systems (Manila) のセキュリティー強化" Collapse section "11. Shared File Systems (Manila) のセキュリティー強化" 11.1. manila のセキュリティーに関する考慮事項 11.2. manila のネットワークおよびセキュリティーモデル 11.3. ファイル共有バックエンドモード 11.4. manila のネットワーク要件 11.5. manila を使用したセキュリティーサービス 11.6. セキュリティーサービスの概要 11.7. セキュリティーサービスの管理 11.8. ファイル共有へのアクセスの制御 11.9. 共有種別のアクセス制御 11.10. ポリシー 12. オブジェクトストレージ Expand section "12. オブジェクトストレージ" Collapse section "12. オブジェクトストレージ" 12.1. ネットワークセキュリティー 12.2. 非 root ユーザーとしてのサービスの実行 12.3. ファイル権限 12.4. ストレージサービスのセキュリティー保護 12.5. Object Storage アカウントの用語 12.6. プロキシーサービスのセキュリティー保護 12.7. HTTP リッスンポート 12.8. ロードバランサー 12.9. Object Storage の認証 12.10. 保存されている swift オブジェクトの暗号化 12.11. その他の項目 13. 監視およびロギング Expand section "13. 監視およびロギング" Collapse section "13. 監視およびロギング" 13.1. モニタリングインフラストラクチャーの強化 13.2. 監視するイベントの例 14. プロジェクトのデータのプライバシー Expand section "14. プロジェクトのデータのプライバシー" Collapse section "14. プロジェクトのデータのプライバシー" 14.1. データ保持 14.2. データの破棄 Expand section "14.2. データの破棄" Collapse section "14.2. データの破棄" 14.2.1. 安全に消去されないデータ 14.2.2. インスタンスメモリーのスクラブ 14.3. cinder ボリュームデータの暗号化 14.4. Image サービスの削除遅延機能 14.5. Compute のソフト削除機能 14.6. ベアメタルプロビジョニングのセキュリティー強化 14.7. ハードウェアの特定 14.8. データの暗号化 Expand section "14.8. データの暗号化" Collapse section "14.8. データの暗号化" 14.8.1. ボリュームの暗号化 14.8.2. Object Storage オブジェクト 14.8.3. Block Storage のパフォーマンスおよびバックエンド 14.8.4. ネットワークデータ 14.9. キー管理 15. インスタンスのセキュリティーの管理 Expand section "15. インスタンスのセキュリティーの管理" Collapse section "15. インスタンスのセキュリティーの管理" 15.1. インスタンスへのエントロピーの提供 15.2. ノードへのインスタンスのスケジューリング 15.3. 信頼できるイメージの使用 15.4. イメージの作成 15.5. イメージの署名の確認 15.6. インスタンスの移行 Expand section "15.6. インスタンスの移行" Collapse section "15.6. インスタンスの移行" 15.6.1. ライブマイグレーションのリスク 15.6.2. ライブマイグレーションの無効化 15.6.3. 暗号化されたライブマイグレーション 15.7. モニタリング、アラート、およびレポート 15.8. 更新およびパッチ 15.9. ファイアウォールおよびインスタンスプロファイル 15.10. セキュリティーグループ 15.11. インスタンスのコンソールへのアクセス 15.12. 証明書の挿入 16. メッセージキュー Expand section "16. メッセージキュー" Collapse section "16. メッセージキュー" 16.1. メッセージングトランスポートのセキュリティー Expand section "16.1. メッセージングトランスポートのセキュリティー" Collapse section "16.1. メッセージングトランスポートのセキュリティー" 16.1.1. RabbitMQ サーバーの SSL 設定 16.2. キュー認証およびアクセス制御 16.3. RabbitMQ 用 OpenStack サービスの設定 16.4. Qpid 用 OpenStack サービスの設定 16.5. メッセージキュープロセスの分離およびポリシー 16.6. 名前空間 17. Red Hat OpenStack Platform でのエンドポイントのセキュリティー保護 Expand section "17. Red Hat OpenStack Platform でのエンドポイントのセキュリティー保護" Collapse section "17. Red Hat OpenStack Platform でのエンドポイントのセキュリティー保護" 17.1. 内部 API 通信 17.2. Identity サービスカタログでの内部 URL の設定 17.3. 内部 URL のアプリケーションの設定 17.4. Paste およびミドルウェア 17.5. API エンドポイントプロセスの分離およびポリシー Expand section "17.5. API エンドポイントプロセスの分離およびポリシー" Collapse section "17.5. API エンドポイントプロセスの分離およびポリシー" 17.5.1. metadef API の保護 17.5.2. metadef API を制限するためのポリシーの設定 17.5.3. metadef API の有効化 17.6. HAProxy の SSL/TLS の暗号およびルールの変更 17.7. ネットワークポリシー 17.8. 必須のアクセス制御 17.9. API エンドポイントのレート制限 18. フェデレーションの実装 Expand section "18. フェデレーションの実装" Collapse section "18. フェデレーションの実装" 18.1. Red Hat Single Sign-On を使用した IdM でのフェデレーション 18.2. フェデレーションのワークフロー Document options Language: 한국어 日本語 简体中文 English Format: Single-page HTML PDF ePub 16.5. メッセージキュープロセスの分離およびポリシー 各プロジェクトは、メッセージを送信および消費するサービスを多数提供します。メッセージを送信する各バイナリーは、返信のみの場合、キューからのメッセージを消費します。 メッセージキューサービスのプロセスは、互いに、およびマシン上の他のプロセスから分離する必要があります。 Previous Next