Show Table of Contents
부록 F. 보안 강화
다음 섹션에서는 언더클라우드의 보안 강화를 위한 몇 가지 제안 사항을 제공합니다.
F.1. HAProxy에 대한 SSL/TLS 암호화 방식 및 규칙 변경
언더클라우드에서 SSL/TLS를 활성화한 경우(4.6절. “Director 구성” 참조) HAProxy 구성에 사용된 SSL/TLS 암호화 방식 및 규칙을 강화할 수 있습니다. 그러면 POODLE 취약성과 같은 SSL/TLS 취약성을 방지하는 데 도움이 됩니다.
hieradata_override 언더클라우드 구성 옵션을 사용하여 다음 hieradata를 설정합니다.
- tripleo::haproxy::ssl_cipher_suite
- HAProxy에서 사용할 암호화 방식 세트입니다.
- tripleo::haproxy::ssl_options
- HAProxy에서 사용할 SSL/TLS 규칙입니다.
예를 들면 다음 암호화 방식 및 규칙을 사용할 수 있습니다.
-
암호화 방식:
ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS -
규칙:
no-sslv3 no-tls-tickets
다음 컨텐츠로 hieradata 덮어쓰기 파일(haproxy-hiera-overrides.yaml)을 생성합니다.
tripleo::haproxy::ssl_cipher_suite: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS tripleo::haproxy::ssl_options: no-sslv3 no-tls-tickets
참고
암호화 방식 컬렉션은 연속된 한 줄로 되어 있습니다.
openstack undercloud install을 실행하기 전에 생성한 hieradata 덮어쓰기 파일을 사용하도록 undercloud.conf 파일에서 hieradata_override 매개 변수를 설정합니다.
[DEFAULT] ... hieradata_override = haproxy-hiera-overrides.yaml ...
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.