2.3. 보안 영역 연결

신뢰 수준 또는 인증 요구 사항이 다른 여러 보안 영역에 걸쳐 있는 모든 구성 요소를 신중하게 구성해야 합니다. 이러한 연결은 네트워크 아키텍처의 약한 지점이며 연결 중인 영역의 가장 높은 신뢰 수준의 보안 요구 사항을 충족하도록 항상 구성해야 합니다. 대부분의 경우 연결된 영역의 보안 제어가 공격 가능성으로 인한 주요 문제여야 합니다. 영역을 충족하는 지점은 공격자가 공격을 더 민감한 배포 부분으로 마이그레이션하거나 대상으로 할 수 있는 기회를 제공합니다.

경우에 따라 Red Hat Ceph Storage 관리자는 통합 지점이 있는 영역보다 높은 표준에서 통합 지점을 보호하는 것을 고려할 수 있습니다. 예를 들어 Ceph 클러스터 보안 영역은 다른 보안 영역에 연결할 이유가 없으므로 다른 보안 영역과 쉽게 격리할 수 있습니다. 반면 스토리지 액세스 보안 영역은 Ceph 모니터 노드의 포트 6789 및 Ceph OSD 노드의 포트 6800-7300 에 대한 액세스를 제공해야 합니다. 그러나 포트 3000 은 Ceph 관리자에게만 노출되어야 하는 Ceph Grafana 모니터링 정보에 액세스할 수 있으므로 스토리지 액세스 보안 영역에만 전용해야 합니다. Ceph 클라이언트 보안 영역의 Ceph Object Gateway는 Ceph Cluster Security Zone의 모니터(포트 6789) 및 OSD(포트 6800-7300)에 액세스해야 하며 HTTP 포트 80 또는 HTTPS 포트 443 과 같은 공용 보안 영역에 해당 S3 및 Swift API를 노출시킬 수 있습니다. 그러나 관리 API에 대한 액세스를 제한해야 할 수도 있습니다.

Red Hat Ceph Storage의 설계는 보안 영역을 분리하기 어렵습니다. 핵심 서비스는 일반적으로 두 개 이상의 영역에 걸쳐 있으므로 보안 제어를 적용할 때 특별한 사항을 고려해야 합니다.