18.2. 가상 머신 보안을 위한 모범 사례
아래 지침에 따라 가상 머신이 악성 코드로 감염되고 호스트 시스템을 감염시키기 위해 공격 벡터로 사용되는 위험이 크게 감소합니다.
게스트 쪽에서:
가상 머신을 실제 머신처럼 보호합니다. 보안을 강화하기 위해 사용할 수 있는 특정 방법은 게스트 OS에 따라 다릅니다.
VM이 RHEL 9 를 실행하는 경우 게스트 시스템의 보안 개선에 대한 자세한 내용은 Red Hat Enterprise Linux 9 보안을 참조하십시오.
호스트 측에서:
- VM을 원격으로 관리할 때 VM에 연결하기 위한 SSL 과 같은 암호화 유틸리티(예: SSL)를 사용합니다.
SELinux가 강제 모드에 있는지 확인합니다.
# getenforce EnforcingSELinux가 비활성화되었거나 허용 모드에서 실행되는 경우 강제 모드 활성화에 대한 지침은 SELinux 문서 사용을 참조하십시오.
참고SELinux Enforcing 모드를 사용하면 TSX RHEL 9 기능을 사용할 수 있습니다. 가상화를 위한 특수 SELinux 부울 집합입니다. VM 보안 관리를 위해 수동으로 조정할 수 있습니다.
SecureBoot 에서 VM 사용:
SecureBoot는 VM이 암호화 방식으로 서명된 OS를 실행할 수 있도록 하는 기능입니다. 이로 인해 OS가 악성 코드 공격을 통해 변경된 VM이 부팅되지 않습니다.
SecureBoot는 OVMF 펌웨어를 사용하는 Linux VM을 설치할 때만 적용할 수 있습니다. 자세한 내용은 SecureBoot 가상 머신 생성을 참조하십시오.
qemu-kvm과 같은qemu-*명령을 사용하지 마십시오.QEMU는 RHEL 9의 가상화 아키텍처의 필수 구성 요소이지만 수동으로 관리하기가 어렵고 부적절한 QEMU 구성으로 인해 보안 취약점이 발생할 수 있습니다. 따라서
qemu-*명령 사용은 Red Hat에서 지원되지 않습니다. 대신, 모범 사례에 따라 QEMU를 오케스트레이션하므로virsh,virt-install,virt-xml과 같은 libvirt 유틸리티를 사용하십시오.
추가 리소스