Red Hat Training
A Red Hat training course is available for Red Hat OpenStack Platform
第 1 章 安全简介
使用 Red Hat Openstack Platform (RHOSP)提供的工具,在规划中以及操作方面优先考虑安全性,以满足用户对隐私及其数据安全性的期望。未能实施安全标准会导致停机或数据泄露。您的用例可能会受到需要传递审计和合规性流程的法律约束。备注
按照本指南中的说明强化环境的安全性。但是,这些建议不能保证安全性或合规。您必须根据您的环境的唯一要求来评估安全性。
有关强化 Ceph 的详情,请参考数据安全性和强化指南。
1.1. Red Hat OpenStack Platform securtiy
默认情况下,Red Hat OpenStack Platform (RHOSP) director 使用以下工具和访问控制来创建 overcloud,以提高安全性:
- SElinux
- SELinux 通过提供需要每个进程对每个操作有显式权限的访问控制,为 RHOSP 提供安全增强。
- Podman
- Podman 作为容器工具是 RHOSP 的安全选项,因为它不使用需要具有 root 访问权限的进程的客户端/服务器模型。
- 系统访问限制
- 您只能使用 director 在 overcloud 部署期间为 heat-admin 创建的 SSH 密钥或您在 overcloud 上创建的 SSH 密钥登录到 overcloud 节点。您不能使用带有密码的 SSH 登录 overcloud 节点,或使用 root 登录 overcloud 节点。
您可以根据机构的需要和信任级别使用以下额外安全功能配置 director:
- 公共 TLS 和 TLS-everywhere
- 硬件安全模块与 OpenStack Key Manager (barbican)集成
- 签名的镜像和加密卷
- 使用工作流执行对密码和 fernet 密钥进行轮转
