16.9. 방화벽 및 인스턴스 프로필

가장 일반적인 운영 체제에는 추가 보안 계층을 위한 호스트 기반 방화벽이 포함됩니다. 인스턴스는 가능한 한 적은 수의 애플리케이션(최대 단일 용도 인스턴스)을 실행해야 하는 반면, 인스턴스에서 실행 중인 모든 애플리케이션을 프로파일링하여 애플리케이션이 액세스해야 하는 시스템 리소스, 실행에 필요한 최저 권한 수준 및 예상 네트워크 트래픽이 가상 시스템에 들어오고 들어오는지 확인해야 합니다. 이 예상 트래픽은 SSH 또는 RDP와 같은 필요한 로깅 및 관리 통신과 함께 허용된 트래픽에 따라 호스트 기반 방화벽에 추가해야 합니다. 다른 모든 트래픽은 방화벽 구성에서 명시적으로 거부되어야 합니다.

Linux 인스턴스에서 위의 애플리케이션 프로필을 audit2allow 와 같은 도구와 함께 사용하여 대부분의 Linux 배포판에서 중요한 시스템 정보를 추가로 보호하는 SELinux 정책을 구축할 수 있습니다. SELinux는 사용자, 정책 및 보안 컨텍스트의 조합을 사용하여 애플리케이션을 실행하는 데 필요한 리소스를 구분하고 필요하지 않은 다른 시스템 리소스와 분할합니다.