1장. 보안 소개
RHOSP(Red Hat Openstack Platform)와 함께 제공되는 툴을 사용하여 계획 및 운영 시 보안에 우선 순위를 정하고, 개인 정보 보호 및 데이터 보안에 대한 사용자의 기대치를 충족할 수 있습니다. 보안 표준을 구현하지 못하면 다운타임이나 데이터 유출이 발생할 수 있습니다. 사용 사례는 감사 및 규정 준수 프로세스를 통과해야 하는 법률의 적용을 받을 수 있습니다.
- Ceph 강화에 대한 자세한 내용은 데이터 보안 및 강화 가이드를 참조하십시오.
참고
이 가이드의 지침에 따라 환경 보안을 강화합니다. 그러나 이러한 권장 사항은 보안 또는 규정 준수를 보장하지 않습니다. 사용자 환경의 고유한 요구 사항에서 보안을 평가해야 합니다.
1.1. Red Hat OpenStack Platform 보안
기본적으로 RHOSP(Red Hat OpenStack Platform) director는 보안을 위해 다음과 같은 툴 및 액세스 제어를 사용하여 오버클라우드를 생성합니다.
- SElinux
- SELinux는 각 프로세스가 모든 작업에 대해 명시적 권한이 있어야 하는 액세스 제어를 제공하여 RHOSP에 대한 보안 강화 기능을 제공합니다.
- Podman
- 컨테이너 도구로서의 Podman은 작동을 위한 루트 액세스 권한이 있는 프로세스가 필요한 클라이언트/서버 모델을 사용하지 않으므로 RHOSP의 보안 옵션입니다.
- 시스템 액세스 제한
- 오버클라우드 배포 중에 director가 tripleo-admin용으로 생성하는 SSH 키 또는 오버클라우드에서 생성한 SSH 키를 사용하여 오버클라우드 노드에만 로그인할 수 있습니다. SSH를 암호로 사용하여 오버클라우드 노드에 로그인하거나 root를 사용하여 오버클라우드 노드에 로그인할 수 없습니다.
조직의 요구 사항 및 신뢰 수준에 따라 다음과 같은 추가 보안 기능을 사용하여 director를 구성할 수 있습니다.
- 공용 TLS 및 TLS-everywhere
- OpenStack Key Manager (barbican)와의 하드웨어 보안 모듈 통합
- 서명된 이미지 및 암호화된 볼륨
- 워크플로우 실행을 사용한 암호 및 fernet 키 순환
