14.2. 모니터링 이벤트의 예

이벤트 모니터링은 환경 보안을 위해 보다 사전 예방적인 접근 방식으로 실시간 탐지 및 응답을 제공합니다. 모니터링에 도움이 되는 여러 도구가 있습니다. OpenStack 배포를 위해 하드웨어, OpenStack 서비스 및 클라우드 리소스 사용량을 모니터링해야 합니다.

이 섹션에서는 알아야 할 몇 가지 예제 이벤트에 대해 설명합니다.

중요

이 목록은 전체 목록이 아닙니다. 특정 네트워크에 적용할 수 있고 이종 동작을 고려할 수 있는 추가 사용 사례를 고려해야 합니다.

  • 로그 생성이 없음을 감지하는 것은 높은 값 이벤트입니다. 이러한 격차는 서비스 오류 또는 일시적으로 로깅을 끄거나 로그 수준을 수정하여 추적을 숨기는 침입자를 나타낼 수 있습니다.
  • 예약되지 않은 시작 또는 중지 이벤트와 같은 애플리케이션 이벤트는 보안에 영향을 미칠 수 있습니다.
  • 사용자 로그인 또는 재시작과 같은 OpenStack 노드의 운영 체제 이벤트입니다. 따라서 시스템의 적절하고 부적절한 사용을 구분하는 데 있어 중요한 통찰력을 얻을 수 있습니다.
  • 네트워크 브리지가 줄어듭니다. 이는 서비스 중단의 위험으로 인해 실행 가능한 이벤트입니다.
  • Compute 노드에서 iptables 플러시 이벤트 및 인스턴스에 대한 액세스가 손실됩니다.

ID 서비스의 사용자, 프로젝트 또는 도메인 삭제에 있는 인스턴스의 보안 위험을 줄이기 위해 시스템에서 알림을 생성하기 위한 논의가 있으며, OpenStack 구성 요소가 인스턴스 종료, 연결된 볼륨 연결 해제, CPU 및 스토리지 리소스 회수 등의 적절한 이벤트와 같이 이러한 이벤트에 응답하도록 합니다.

침입 감지 소프트웨어, 바이러스 소프트웨어, computerware 탐지 및 제거 유틸리티와 같은 보안 모니터링 제어는 공격 또는 침입 발생 시기 및 방법을 보여주는 로그를 생성할 수 있습니다. 이러한 툴은 OpenStack 노드에 배포할 때 보호 계층을 제공할 수 있습니다. 프로젝트 사용자는 인스턴스에서 이러한 툴을 실행하려고 할 수도 있습니다.