2.3. 보안 영역 연결

신뢰 수준 또는 인증 요구 사항이 다른 여러 보안 영역에 걸쳐 있는 모든 구성 요소를 신중하게 구성해야 합니다. 이러한 연결은 네트워크 아키텍처의 약한 지점이며 항상 연결되어 있는 영역 중 가장 높은 신뢰 수준의 보안 요구 사항을 충족하도록 구성해야 합니다. 대부분의 경우 연결된 영역의 보안 제어는 공격 가능성으로 인해 주요 우려가 되어야 합니다. 영역이 충족되는 포인트는 공격자가 배포의 더 중요한 부분으로 공격을 마이그레이션하거나 대상으로 지정할 수 있는 기회를 제공합니다.

경우에 따라 Red Hat Ceph Storage 관리자는 통합 지점이 상주하는 영역보다 높은 표준의 통합 지점을 보호하는 것을 고려할 수 있습니다. 예를 들어, Ceph Cluster Security Zone은 다른 보안 영역에 쉽게 연결할 이유가 없기 때문에 다른 보안 영역과 쉽게 분리할 수 있습니다. 반면 Storage Access Security Zone은 Ceph 모니터 노드의 포트 6789 와 Ceph OSD 노드의 포트 6800-7300 에 대한 액세스를 제공해야 합니다. 그러나 포트 3000 은 Ceph 관리자에게만 노출되어야 하는 Ceph Grafana 모니터링 정보에 대한 액세스를 제공하기 때문에 스토리지 액세스 보안 영역에만 독점적이어야 합니다. Ceph 클라이언트 보안 영역의 Ceph Object Gateway는 Ceph Cluster Security Zone의 모니터(포트 6789) 및 OSD(포트 6800-7300)에 액세스해야 하며, S3 및 Swift API를 HTTP 포트 80 또는 HTTPS 포트 443 과 같은 공용 보안 영역에 노출해야 하지만, 관리 API로 액세스를 제한해야 할 수 있습니다.

Red Hat Ceph Storage의 설계는 보안 영역을 분리하기 어렵습니다. 핵심 서비스는 일반적으로 두 개 이상의 영역에 걸쳐 있으므로 보안 제어를 적용할 때 특수 고려해야 합니다.