2.2. 보안 영역

보안 영역은 시스템 내에서 공통 신뢰 요구 사항과 기대치를 공유하는 사용자, 애플리케이션, 서버 또는 네트워크로 구성됩니다. 일반적으로 동일한 인증, 권한 부여 요구 사항 및 사용자를 공유합니다. 이러한 영역 정의를 더 세분화할 수 있지만 이 가이드에서는 4개의 개별 보안 영역을 참조하며, 이 중 세 개는 보안이 강화된 Red Hat Ceph Storage 클러스터를 배포하는 데 필요한 베어 최소 3개를 구성합니다. 이러한 보안 영역은 최소에서 가장 신뢰할 수 있는 다음과 같습니다.

  • 퍼블릭 보안 영역 은 클라우드 인프라에서 완전히 신뢰할 수 없는 영역입니다. 권한이 없는 Red Hat OpenStack 배포 외부에 있는 네트워크 전체 또는 간단히 인터넷을 참조할 수 있습니다. 이 영역을 통과하는 기밀성 또는 무결성 요구 사항이 있는 데이터는 암호화와 같은 규정 준수 제어를 사용하여 보호되어야 합니다. 퍼블릭 보안 영역은 RHCS의 public_network 라고 하며 일반적으로 퍼블릭 보안 영역 또는 Ceph 클라이언트 보안 영역의 일부가 아닌 Ceph Storage 클러스터의 프런트 엔드 또는 클라이언트 측 네트워크와 혼동해서는 안 됩니다.
  • Ceph 클라이언트 보안 영역: RHCS를 사용하는 Ceph 클라이언트 보안 영역은 Ceph Object Gateway, Ceph Block Device, Ceph Filesystem 또는 librados 와 같은 Ceph 클라이언트에 액세스하는 네트워크를 나타냅니다. Ceph 클라이언트 보안 영역은 일반적으로 퍼블릭 보안 영역과 분리되는 방화벽 뒤에 있습니다. 그러나 Ceph 클라이언트가 항상 공용 보안 영역으로부터 보호되는 것은 아닙니다. 퍼블릭 보안 영역에 Ceph Object Gateway의 S3 및 Swift API를 노출할 수 있습니다.
  • 스토리지 액세스 보안 영역: 스토리지 액세스 보안 영역은 Ceph 클라이언트에 Ceph Storage 클러스터에 액세스할 수 있는 내부 네트워크를 나타냅니다. 이 문서가 OpenStack Platform 보안 및 Hardening Guide에서 사용되는 용어와 일치하도록 '스토리지 액세스 보안 영역'을 사용합니다. 스토리지 액세스 보안 영역에는 RHCS의 public_network 라는 Ceph Storage 클러스터 또는 클라이언트 측 네트워크가 포함됩니다.
  • Ceph 클러스터 보안 영역: Ceph 클러스터 보안 영역은 Ceph Storage 클러스터의 OSD 데몬에 복제, 하트비트, 백필링 및 복구를 위한 네트워크 통신을 제공하는 내부 네트워크를 나타냅니다. Ceph 클러스터 보안 영역에는 RHCS의 cluster_network 라고 하는 Ceph Storage 클러스터의 백엔드 네트워크가 포함되어 있습니다.

이러한 보안 영역은 별도로 매핑하거나 결합하여 지정된 RHCS 배포 내에서 가능한 대부분의 신뢰 영역을 나타낼 수 있습니다. 보안 영역은 특정 RHCS 배포 토폴로지에 대해 매핑해야 합니다. 영역과 신뢰 요구 사항은 Red Hat Ceph Storage가 독립 실행형 용량으로 작동하고 있는지 아니면 퍼블릭, 프라이빗 또는 하이브리드 클라우드에서 제공하고 있는지에 따라 다릅니다.

이러한 보안 영역에 대한 시각적 표시는 SecurityECDHEd Architecture를 참조하십시오.

추가 리소스

  • 자세한 내용은 Red Hat Ceph Storage Data Security and Hardening GuideNetwork ECDHE 섹션을 참조하십시오.