오픈스택 보안 가이드

서문
문서 규약
01. 감사의 말
02. 목적과 방법
목적 | 방법
03. OpenStack 개요
클라우드 유형 | OpenStack 서비스 개요
04. 보안 경계와 위협
보안 도메인 | 보안 도메인 브릿지 | 위협 분류, 액터 및 공격 벡터
05. 사례 연구 개요
사례 연구: 앨리스, 사설 클라우드 구축자 | 사례 연구: 밥, 공공 클라우드 공급자
06. 시스템 문서 요구사항
시스템 역할 및 유형 | 시스템 인벤토리 | 네트워크 토폴로지 | 서비스, 프로토콜 및 포트
07. 사례 연구: 시스템 문서
앨리스의 사설 클라우드 | 밥의 공공 클라우드
08. 관리 개요
09. 지속적인 시스템 관리
취약성 관리 | 형상 관리 | 안전한 백업 및 복구 | 보안 감사 툴
10. 무결성 라이프사이클
안전한 부트스트랩 | 런타임 검증
11. 관리 인터페이스
대시보드 | OpenStack API| SSH(Secure Shell) | 관리 유틸리티 | 대역외 관리 인터페이스
12. 사례 연구: 관리 인터페이스
앨리스의 사설 클라우드 | 밥의 공공 클라우드
13. SSL/TLS 개요
인증 기관 | SSL/TLS 라이브러리 | 암호 알고리즘, 사이퍼 모드 및 프로토콜 | 요약
14. 사례 연구: PKI 및 인증서 관리
앨리스의 사설 클라우드 | 밥의 공공 클라우드
15. SSL 프록시 및 HTTP 서비스
예제 | HSTS (HTTP Strict Transport Security)
16. API 엔드포인트 구성 권고안
내부 API 통신 | Paste 및 미들웨어 | API 엔드포인트 프로세스 분리 및 정책
17. 사례 연구: API 엔드포인트
앨리스의 사설 클라우드 | 밥의 공공 클라우드
18. 아이덴티티
인증 | 인증 방법 | 인가 | 정책 | 토큰 | 미래
19. 대시보드
기본 웹 서버 구성 | HTTPS | HSTS(HTTP Strict Transport Security) | 프론트엔드 캐싱 | 도메인 이름 | 정적 미디어 | 비밀 키 | 세션 백엔드 | 허용된 호스트 | 쿠키 | 패스워드 자동 완성 | CSRF(Cross Site Request Forgery) | XSS(Cross Site Scripting)CORS (Cross Origin Resource Sharing) | Horizon 이미지 업로드 | 업그레이드 | 디버거
20. 컴퓨트
가상 콘솔 선택
21. 오브젝트 스토리지
안전화할 첫번째 대상 ? 네트워크 | 서비스 안전화 ? 일반 | 스토리지 서비스 안전화 | 프록시 서비스 안전화 | 오브젝트 스토리지 인증 | 다른 주요 항목
22. 사례 연구: 아이덴티티 관리
앨리스의 사설 클라우드 | 밥의 공공 클라우드
23. 네트워킹 상태
24. 네트워킹 아키텍처
물리적 서버에 OS 네트워킹 서비스 위치
25. 네트워킹 서비스
VLANs과 터널링을 사용하여 Layer 2 격리 | 네트워크 서비스 | 네트워크 서비스 확장 | 네트워킹 서비스 제한
26. OpenStack 네트워킹 서비스 안전화
OpenStack 네트워킹 서비스 구성
27. 네트워킹 서비스 보안 모범 사례
테넌트 네트워크 서비스 워크플로우 | 네트워킹 자원 정책 엔진 | 보안 그룹 | 쿼터
28. 사례 연구: 네트워킹
앨리스의 사설 클라우드 | 밥의 공공 클라우드
29. 메시지 큐잉 아키텍처
30. 메시징 보안
메시징 전송 보안 | 큐 인증 및 접근 통제 | 메시지 큐 프로세스 격리와 정책
31. 사례 연구 : 메시징
앨리스의 사설 클라우드 | 밥의 공공 클라우드
32. 데이터베이스 백엔드 고려사항
데이터베이스 백엔드의 보안 참조
33. 데이터베이스 접근 통제
OpenStack 데이터베이스 접근 모델 | 데이터베이스 인증 및 접근 통제 | 필요 SSL 전송에 필요 사용자 계정 | X.509 인증서로 인증 | OpenStack 서비스 데이터베이스 구성 | Nova Conductor
34. 데이터베이스 전송 보안
데이터베이스 서버 IP 주소 바인딩 | 데이터베이스 전송 | MySQL SSL 구성 | PostgreSQL SSL 구성
35. 사례 연구 : 데이터베이스
앨리스의 사설 클라우드 | 밥의 공공 클라우드
36. 데이터 프라이버시 고려사항
데이터 레지던시 | 데이터 파기
37. 데이터 암호화
오브젝트 스토리지 객체 | 블록 스토리지 볼륨 및 인스턴스 단기 파일시스템 | 네트워크 데이터
38. 키 관리
참조
39. 사례 연구: 테넌트 데이터
앨리스의 사설 클라우드 | 밥의 공공 클라우드
40. 하이퍼바이저 선택
OpenStack에서 가상화 | 선택 기준
41. 가상화 계층 강화
물리적 하드웨어(PCI Passthrough) | 가상 하드웨어(QEMU) | sVirt: SELinux + 가상화
42. 사례 연구: 인스턴스 격리
앨리스의 사설 클라우드 | 밥의 공공 클라우드
43. 인스턴스 보안 서비스
인스턴스 엔트로피 | 노드에 인스턴스 스케줄링 | 신뢰된 이미지 | 인스턴스 마이그레이션
44. 사례 연구: 인스턴스 관리
앨리스의 사설 클라우드 | 밥의 공공 클라우드
45. 포렌식과 사고 대응
사용 사례 모니터링 | 참조
46. 사례 연구: 모니터링 및 로깅
앨리스의 사설 클라우드 | 밥의 공공 클라우드
47. 컴플라이언스 개요
보안 원칙
48. 감사 프로세스 이해
감사 범위 결정 | 내부 감사 | 외부 감사 준비 | 외부 감사 | 컴플라이언스 유지보수
49. 컴플라이언스 활동
ISMS (Information Security Management System) | 위험 평가 | 접근 및 로그 리뷰 | 백업 및 재해 복구| 보안 교육 | 보안 리뷰 | 취약성 관리 | 데이터 분류화 | 예외처리 프로세스
50. 인증서 및 컴플라이언스
상용 표준 | SOC 3 | ISO 27001/2 | HIPAA/HITECH | PCI-DSS | 미국연방정부 표준
51. 프라이버시
52. 사례 연구: 컴플라이언스
앨리스의 사설 클라우드 | 밥의 공공 클라우드
부록 A. 커뮤니티 지원
부록 B. 주요 사회기반시설 사이버보안 개선 프레임워크(미국 대통령 행정명령 13636)
부록 C. 용어
부록 D. 약어