Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

第 14 章 管理实例安全

在虚拟化环境中运行实例的一个好处是安全控制的新机会,这些控制在部署到裸机时通常不可用。某些技术可以应用于虚拟化堆栈,从而提高 OpenStack 部署的信息保证。具有强大安全要求的 Operator 可能需要考虑部署这些技术,但并不适用于所有情况。在某些情况下,因为存在明确的业务需求,可能会排除在云中使用技术。同样,一些技术会检查实例数据,如运行状态,这可能对系统的用户不必要。

本章介绍了这些技术以及可用于帮助提高实例或底层节点的安全性的情况。也会突出显示可能的隐私问题,其中包括数据直通、内省或熵源。

14.1. 为实例提供熵

本章使用术语 来指代实例可用的随机数据的质量和来源。加密技术通常依赖于随机性,这要求从高质量的熵池中提取。实例通常难以获得足够的熵来支持这些操作;这称为熵。此条件可以在实例中作为看似不相关的操作而定。例如,引导时间较慢的原因可能是等待 SSH 密钥生成的实例。此条件还可能会使用户从实例内部使用较差质量熵源的风险,从而使应用程序在云中运行的总体安全。

需要的是,您可以通过为实例提供高质量熵来源来帮助解决这些问题。这可以通过在云中有足够的硬件随机数生成器(HRNG)来支持实例。在这种情况下,有足够的内容特定于域。对于日常操作,现代 HRNG 可能会生成足够的熵来支持 50-100 计算节点。高带宽 HRNG,如 Intel Ivy Bridge 和较新的处理器可用的 RdR 和指令可能会处理更多节点。对于给定的云,架构师需要了解应用要求,以确保有足够的熵。

Virtio RNG 是一个随机数字生成器,默认使用 /dev/random 作为熵的来源。它还可以配置为使用硬件 RNG 或熵收集守护进程(EGD)等工具来提供一种通过部署公平地分发熵的方法。您可以使用 hw_rng 元数据属性在实例创建时启用 Virtio RNG。