9.4. 신뢰할 수 있는 컴퓨팅 풀

신뢰할 수 있는 컴퓨팅 풀은 Intel Trusted Execution Technology (Intel TXT) 기반의 보안 클러스터입니다. 신뢰할 수 있는 클러스터는 호스트 하드웨어 및 소프트웨어의 무결성을 White List 데이터베이스와 비교해서 측정하는 인텔 OpenAttestation에 의해 검증된 호스트만 허용합니다. 신뢰할 수 있는 호스트와 거기에 실행중인 가상 머신은 높은 보안을 요구하는 작업에 할당될 수 있습니다. Intel TXT, 신뢰할 수 있는 시스템, 그리고 인증에 대한 보다 자세한 내용은 https://software.intel.com/en-us/articles/intel-trusted-execution-technology-intel-txt-enabling-guide에서 참조하십시오.
신뢰할 수 있는 컴퓨팅 풀을 생성하기 위해 다음의 단계를 거칩니다:
  • Manager가 OpenAttestation 서버와 통신하도록 설정합니다.
  • 신뢰할 수 있는 호스트만 실행할 수 있는 신뢰할 수 있는 클러스터를 생성합니다.
  • 신뢰할 수 있는 클러스터에 신뢰할 수 있는 호스트를 추가합니다. OpenAttestation에 의해 신뢰할 수 있는 호스트로 검증되려면 해당 호스트는 OpenAttestation 에이전트에서 실행중이어야 합니다.
OpenAttestation 서버 설치, 호스트에 OpenAttestation 에이전트 설치, 그리고 White List 데이터베이스 생성에 대한 자세한 내용은 https://github.com/OpenAttestation/OpenAttestation/wiki에서 참조하십시오.

9.4.1. OpenAttestation 서버를 Manager에 연결

신뢰할 수 있는 클러스터를 생성하기 전에 Red Hat Virtualization Manager이 OpenAttestation 서버를 인식하도록 설정되어야 합니다. engine-config을 이용하여 OpenAttestation 서버의 FQDN 또는 IP 주소를 추가합니다: 
# engine-config -s AttestationServer=attestationserver.example.com
필요한 경우 다음의 설정을 변경할 수 있습니다:

표 9.6. engine-config을 위한 OpenAttestation 설정

옵션
기본값
설명
AttestationServer
oat-server
OpenAttestation 서버의 FQDN 또는 IP 주소입니다. 이것이 설정되어야 Manager가 OpenAttestation 서버와 통신할 수 있습니다.
AttestationPort
8443
OpenAttestation 서버가 Manager와의 통신에 사용하는 포트입니다.
AttestationTruststore
TrustStore.jks
OpenAttestation 서버와의 보안 통신에 사용되는 신뢰 저장소입니다.
AttestationTruststorePass
암호
신뢰 저장소에 액세스하기 위한 암호입니다.
AttestationFirstStageSize
10
빠른 설치에 사용됩니다. 타당한 이유 없이 해당 값을 변경하는 것은 권장되지 않습니다.
SecureConnectionWithOATServers
true
OpenAttestation 서버와의 보안 통신을 활성화 또는 비활성화합니다.
PollUri
AttestationService/resources/PollHosts
OpenAttestation 서비스에 액세스하기 위한 URI입니다.

9.4.2. 신뢰할 수 있는 클러스터 생성

신뢰할 수 있는 클러스터는 OpenAttestation 서버와 통신해서 호스트의 보안을 평가합니다. 신뢰할 수 있는 클러스터에 호스트 추가 시 OpenAttestation 서버는 호스트 하드웨어 및 소프트웨어의 무결성을 White List 데이터베이스와 비교해서 측정합니다. 신뢰할 수 있는 클러스터에 있는 신뢰할 수 있는 호스트 사이에 가상 머신을 마이그레이션할 수 있으며, 이를 통해 보안 환경에서 고가용성이 가능해집니다.

절차 9.9. 신뢰할 수 있는 클러스터 생성

  1. 클러스터 탭을 선택합니다.
  2. 새로 만들기를 클릭합니다.
  3. 클러스터의 이름을 입력합니다.
  4. Virt 서비스 활성화 라디오 버튼을 선택합니다.
  5. 스케줄링 정책 탭에서 신뢰할 수 있는 서비스 활성화 확인란을 선택합니다.
  6. OK를 클릭합니다.

9.4.3. 신뢰할 수 있는 호스트 추가

Red Hat Enterprise Linux 호스트가 신뢰할 수 있는 클러스터에 추가될 수 있으며 OpenAttestation 서버에서 White List 데이터베이스와 비교해서 해당 호스트를 측정합니다. OpenAttestation 서버에서 신뢰할 수 있는 호스트가 되려면 다음의 요구 사항을 충족해야 합니다:
  • BIOS에서 Intel TXT가 활성화됩니다.
  • OpenAttestation 에이전트가 설치되었고 실행중입니다.
  • 호스트에 실행중인 소프트웨어가 OpenAttestation 서버의 White List 데이터베이스와 일치합니다.

절차 9.10. 신뢰할 수 있는 호스트 추가

  1. 호스트 탭을 선택합니다.
  2. 새로 만들기를 클릭합니다.
  3. 호스트 클러스터 드롭 다운 목록에서 신뢰할 수 있는 클러스터를 선택합니다.
  4. 호스트의 이름을 입력합니다.
  5. 호스트의 주소를 입력합니다.
  6. 호스트의 root 암호를 입력합니다.
  7. OK를 클릭합니다.
호스트가 신뢰할 수 있는 클러스터에 추가된 후 OpenAttestation 서버에서 평가됩니다. OpenAttestation 서버가 신뢰할 수 없는 호스트는 Non Operational 상태가 되며 신뢰할 수 있는 클러스터에서 제거되어야 합니다.