Jump To Close Expand all Collapse all Table of contents 安全性和强化指南 使开源包含更多 对红帽文档提供反馈 1. 安全简介 Expand section "1. 安全简介" Collapse section "1. 安全简介" 1.1. Red Hat OpenStack Platform 安全性 1.2. 了解 Red Hat OpenStack Platform 管理员角色 1.3. 识别 Red Hat OpenStack Platform 中的安全区 1.4. 在 Red Hat OpenStack Platform 中查找安全区 1.5. 连接安全区 1.6. 威胁缓解方案 2. 记录您的 RHOSP 环境 Expand section "2. 记录您的 RHOSP 环境" Collapse section "2. 记录您的 RHOSP 环境" 2.1. 记录系统角色 2.2. 创建硬件清单 2.3. 创建软件清单 3. 使用 TLS 和 PKI 保护 Red Hat OpenStack 部署 Expand section "3. 使用 TLS 和 PKI 保护 Red Hat OpenStack 部署" Collapse section "3. 使用 TLS 和 PKI 保护 Red Hat OpenStack 部署" 3.1. 公钥基础架构(PKI)的组件 3.2. 证书颁发机构要求和建议 3.3. 识别环境中的 TLS 版本 3.4. OpenStack 的身份管理(IdM)服务器建议 3.5. 使用 Ansible 实现 TLS-e 3.6. tripleo-ipa 的参数 4. 身份和访问管理 Expand section "4. 身份和访问管理" Collapse section "4. 身份和访问管理" 4.1. Red Hat OpenStack Platform fernet 令牌 4.2. OpenStack Identity 服务实体 4.3. 使用 keystone 进行身份验证 Expand section "4.3. 使用 keystone 进行身份验证" Collapse section "4.3. 使用 keystone 进行身份验证" 4.3.1. 使用 Identity service heat 参数停止无效的登录尝试 4.4. 使用外部身份提供程序进行身份验证 Expand section "4.4. 使用外部身份提供程序进行身份验证" Collapse section "4.4. 使用外部身份提供程序进行身份验证" 4.4.1. LDAP 集成如何工作 5. 策略(policy) Expand section "5. 策略(policy)" Collapse section "5. 策略(policy)" 5.1. 查看现有策略 5.2. 了解服务策略 5.3. 策略语法 5.4. 使用策略文件进行访问控制 5.5. 示例:创建电源用户角色 5.6. 示例:根据属性限制访问 5.7. 使用 heat 修改策略 5.8. 审计您的用户和角色 5.9. 审计 API 访问 6. 轮转服务帐户密码 Expand section "6. 轮转服务帐户密码" Collapse section "6. 轮转服务帐户密码" 6.1. overcloud 密码管理概述 6.2. 轮转密码 6.3. 中断要求 7. 网络时间协议 Expand section "7. 网络时间协议" Collapse section "7. 网络时间协议" 7.1. 为什么一致性时间非常重要 7.2. NTP 设计 8. 强化基础架构和虚拟化 Expand section "8. 强化基础架构和虚拟化" Collapse section "8. 强化基础架构和虚拟化" 8.1. hypervisor Expand section "8.1. hypervisor" Collapse section "8.1. hypervisor" 8.1.1. hypervisor 与裸机 8.1.2. hypervisor 内存优化 8.2. PCI Passthrough 8.3. Selinux Expand section "8.3. Selinux" Collapse section "8.3. Selinux" 8.3.1. 标签和类别 8.3.2. SELinux 用户和角色 8.4. 调查容器化服务 8.5. 对容器化服务进行临时更改 8.6. 对容器化服务进行永久更改 8.7. 固件更新 8.8. 使用 SSH 横幅文本 8.9. 系统事件的审计 8.10. 管理防火墙规则 8.11. 使用 AIDE 进行入侵检测 Expand section "8.11. 使用 AIDE 进行入侵检测" Collapse section "8.11. 使用 AIDE 进行入侵检测" 8.11.1. 使用复杂 AIDE 规则 8.11.2. 其他 AIDE 值 8.11.3. AIDE 的 Cron 配置 8.11.4. 考虑系统升级的影响 8.12. 查看 SecureTTY 8.13. Identity Service 的 CADF 审计 8.14. 查看 login.defs 值 9. 强化仪表板服务 Expand section "9. 强化仪表板服务" Collapse section "9. 强化仪表板服务" 9.1. 调试 Dashboard 服务 9.2. 选择域名 9.3. 配置 ALLOWED_HOSTS 9.4. 跨站点脚本(XSS) 9.5. 跨站点请求站(CSRF) 9.6. 允许 iframe 嵌入 9.7. 将 HTTPS 加密用于仪表板流量 9.8. HTTP 严格传输安全性(HSTS) 9.9. 前端缓存 9.10. 会话后端 9.11. 查看 secret 密钥 9.12. 配置会话 Cookie 9.13. 静态介质 9.14. 验证密码复杂性 9.15. 强制管理员密码检查 9.16. 禁用显示的密码 9.17. 显示仪表板的登录横幅 9.18. 自定义主题 9.19. 限制文件上传的大小 10. Red Hat OpenStack Platform 网络服务 Expand section "10. Red Hat OpenStack Platform 网络服务" Collapse section "10. Red Hat OpenStack Platform 网络服务" 10.1. 网络架构 10.2. Neutron 服务放置在物理服务器中 10.3. 安全区 10.4. 网络服务 10.5. 使用 VLAN 和隧道的 L2 隔离 10.6. 访问控制列表 10.7. L3 路由和 NAT 10.8. 服务质量(QoS) 10.9. 负载均衡 10.10. 强化网络服务 Expand section "10.10. 强化网络服务" Collapse section "10.10. 强化网络服务" 10.10.1. 限制 API 服务器的绑定地址:neutron-server 10.10.2. 项目网络服务工作流 10.10.3. 网络资源策略引擎 10.10.4. 安全组 10.10.5. 缓解 ARP 欺骗 10.10.6. 使用安全协议进行身份验证 11. 在 Red Hat OpenStack Platform 中强化块存储 Expand section "11. 在 Red Hat OpenStack Platform 中强化块存储" Collapse section "11. 在 Red Hat OpenStack Platform 中强化块存储" 11.1. 为请求正文设置最大大小 11.2. 启用卷加密 11.3. 卷 Wiping 12. 强化共享文件系统(Manila) Expand section "12. 强化共享文件系统(Manila)" Collapse section "12. 强化共享文件系统(Manila)" 12.1. manila 的安全注意事项 12.2. manila 的网络和安全模型 12.3. 共享后端模式 12.4. manila 的网络要求 12.5. 使用 manila 的安全服务 12.6. 安全服务简介 12.7. 安全服务管理 12.8. 共享访问控制 12.9. 共享类型访问控制 12.10. 策略(policy) 13. 对象存储 Expand section "13. 对象存储" Collapse section "13. 对象存储" 13.1. 网络安全性 13.2. 以非 root 用户身份运行服务 13.3. 文件权限 13.4. 保护存储服务 13.5. Object Storage account 术语 13.6. 保护代理服务 13.7. HTTP 侦听端口 13.8. 负载均衡器 13.9. 对象存储身份验证 13.10. 加密 at-rest swift 对象 13.11. 其他项目 14. 监控和日志记录 Expand section "14. 监控和日志记录" Collapse section "14. 监控和日志记录" 14.1. 强化监控基础架构 14.2. 要监控的事件示例 15. 项目的数据隐私 Expand section "15. 项目的数据隐私" Collapse section "15. 项目的数据隐私" 15.1. 数据驻留在 15.2. 数据分布 Expand section "15.2. 数据分布" Collapse section "15.2. 数据分布" 15.2.1. 数据不安全删除 15.2.2. 实例内存清理 15.3. 加密 Cinder 卷数据 15.4. 镜像服务延迟删除功能 15.5. 计算软删除功能 15.6. 裸机置备的安全强化 15.7. 硬件标识 15.8. 数据加密 Expand section "15.8. 数据加密" Collapse section "15.8. 数据加密" 15.8.1. 卷加密 15.8.2. Object Storage 对象 15.8.3. 块存储性能和后端 15.8.4. 网络数据 15.9. 密钥管理 16. 管理实例安全性 Expand section "16. 管理实例安全性" Collapse section "16. 管理实例安全性" 16.1. 为实例提供熵 16.2. 将实例调度到节点 16.3. 使用可信镜像 16.4. 创建镜像 16.5. 验证镜像签名 16.6. 迁移实例 Expand section "16.6. 迁移实例" Collapse section "16.6. 迁移实例" 16.6.1. 实时迁移风险 16.6.2. 禁用实时迁移 16.6.3. 加密的实时迁移 16.7. 监控、警报和报告 16.8. 更新和补丁 16.9. 防火墙和实例配置集 16.10. 安全组 16.11. 访问实例控制台 16.12. 证书注入 17. 消息排队 Expand section "17. 消息排队" Collapse section "17. 消息排队" 17.1. 消息传递传输安全性 Expand section "17.1. 消息传递传输安全性" Collapse section "17.1. 消息传递传输安全性" 17.1.1. RabbitMQ 服务器 SSL 配置 17.2. 队列身份验证和访问控制 17.3. RabbitMQ 的 OpenStack 服务配置 17.4. 用于qpid 的 OpenStack 服务配置 17.5. 消息队列进程隔离和策略 17.6. 命名空间 18. 保护 Red Hat OpenStack Platform 中的端点 Expand section "18. 保护 Red Hat OpenStack Platform 中的端点" Collapse section "18. 保护 Red Hat OpenStack Platform 中的端点" 18.1. 内部 API 通信 18.2. 在 Identity 服务目录中配置内部 URL 18.3. 为内部 URL 配置应用程序 18.4. 粘贴和中间件 18.5. API 端点进程隔离和策略 Expand section "18.5. API 端点进程隔离和策略" Collapse section "18.5. API 端点进程隔离和策略" 18.5.1. 安全 metadef API 18.5.2. 配置策略来限制 metadef API 18.5.3. 启用 metadef API 18.6. 更改 HAProxy 的 SSL/TLS 密码和规则 18.7. 网络策略 18.8. 强制访问控制 18.9. API 端点速率限制 19. 实现联邦 Expand section "19. 实现联邦" Collapse section "19. 实现联邦" 19.1. 使用红帽单点登录与 IdM 联合 19.2. 联邦工作流 法律通告 Settings Close Language: 한국어 简体中文 日本語 English Language: 한국어 简体中文 日本語 English Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 한국어 简体中文 日本語 English Language: 한국어 简体中文 日本語 English Format: Multi-page Single-page Format: Multi-page Single-page 18.8. 强制访问控制 您应该将 API 端点进程相互隔离,以及计算机上的其他进程。这些进程的配置应受 Discretionary Access Controls (DAC)和强制访问控制(MAC)的限制。这些增强的访问控制的目标是帮助包含 API 端点安全破坏。 Previous Next