JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle® VM Server for SPARC 3.1 보안 설명서
Oracle Technology Network
라이브러리
PDF
인쇄 보기
피드백
search filter icon
search icon

문서 정보

이 설명서 사용

1장 Oracle VM Server for SPARC 보안 개요

Oracle VM Server for SPARC에서 사용하는 보안 기능

Oracle VM Server for SPARC 제품 개요

Oracle VM Server for SPARC에 일반 보안 원칙 적용

가상화 환경의 보안

실행 환경

실행 환경 보안

공격 방어

운영 환경

위협: 의도하지 않은 잘못된 구성

대처 방법: 운영 기준 만들기

위협: 가상 환경 아키텍처의 오류

대처 방법: 게스트를 하드웨어 플랫폼에 주의하여 지정

대처 방법: Oracle VM Server for SPARC 도메인 마이그레이션 계획

대처 방법: 올바른 가상 연결 구성

대처 방법: VLAN 태그 지정 사용

대처 방법: 가상 보안 장치 사용

위협: 리소스 공유의 부작용

평가: 공유 리소스를 통한 부작용

대처 방법: 하드웨어 리소스를 주의하여 지정

대처 방법: 공유 리소스를 주의하여 지정

요약: 공유 리소스를 통한 부작용

실행 환경

위협: 실행 환경의 조작

평가: 실행 환경의 조작

대처 방법: 대화식 액세스 경로 보안

대처 방법: Oracle Solaris OS 최소화

대처 방법: Oracle Solaris OS 강화

대처 방법: 역할 구분 및 응용 프로그램 격리 사용

대처 방법: 전용 관리 네트워크 구성

ILOM

위협: 전체 시스템 서비스 거부

평가: 전체 시스템 서비스 거부

대처 방법: ILOM 보안

하이퍼바이저

위협: 격리 무효화

평가: 격리 무효화

대처 방법: 펌웨어 및 소프트웨어 서명 검증

대처 방법: 커널 모듈 검증

컨트롤 도메인

위협: 컨트롤 도메인 서비스 거부

평가: 컨트롤 도메인 서비스 거부

대처 방법: 콘솔 액세스 보안

Logical Domains Manager

위협: 구성 유틸리티의 허용되지 않은 사용

평가: 구성 유틸리티의 허용되지 않은 사용

대처 방법: 두 사람 규칙 적용

대처 방법: Logical Domains Manager에 대해 권한 사용

대처 방법: Logical Domains Manager 강화

대처 방법: Logical Domains Manager 감사

서비스 도메인

위협: 서비스 도메인의 조작

평가: 서비스 도메인의 조작

대처 방법: 서비스 도메인을 세밀하게 구분

대처 방법: 서비스 도메인과 게스트 도메인 격리

대처 방법: 가상 콘솔에 대한 액세스 제한

I/O 도메인

위협: I/O 도메인 또는 서비스 도메인의 서비스 거부 경험

평가: I/O 도메인 또는 서비스 도메인의 서비스 거부 경험

대처 방법: I/O 도메인을 세밀하게 구성

대처 방법: 중복 하드웨어 및 루트 도메인 구성

위협: I/O 도메인의 조작

평가: I/O 도메인의 조작

대처 방법: 가상 디스크 보호

게스트 도메인

대처 방법: 게스트 도메인 OS 보안

2장 Oracle VM Server for SPARC 보안 설치 및 구성

3장 개발자를 위한 보안 고려 사항

부록 A 보안 배포 점검 목록

하이퍼바이저

위협: 격리 무효화

공격자는 하이퍼바이저가 제공하는 격리된 런타임 환경에서 빠져 나와 게스트 도메인이나 전체 시스템을 가로챌 수 있습니다. 잠재적으로 이 위협은 시스템에 가장 심각한 피해를 줄 수 있습니다.

평가: 격리 무효화

모듈식 시스템 설계는 게스트 도메인, 하이퍼바이저 및 컨트롤 도메인에 서로 다른 레벨의 권한을 부여함으로써 격리를 향상시킬 수 있습니다. 각 기능별 모듈은 구분되고 구성 가능한 커널 모듈, 장치 드라이버 또는 데몬에서 구현됩니다. 이 모듈성에는 전체적인 오류의 위험을 줄일 수 있도록 명료한 API 및 단순한 통신 프로토콜이 필요합니다.

오류의 악용 가능성은 낮더라도 잠재적 피해는 공격자의 전체 시스템 제어로 이어질 수 있습니다.

대처 방법: 펌웨어 및 소프트웨어 서명 검증

시스템 펌웨어 및 OS 패치를 Oracle 웹 사이트에서 직접 다운로드할 수 있더라도 이러한 패치는 조작될 수 있습니다. 소프트웨어를 설치하기 전에 소프트웨어 패키지의 MD5 체크섬을 확인하십시오. 모든 다운로드 가능한 소프트웨어의 체크섬은 Oracle에 의해 게시됩니다.

대처 방법: 커널 모듈 검증

Oracle VM Server for SPARC에서는 여러 드라이버 및 커널 모듈을 사용하여 전체 가상화 시스템을 구현합니다. Oracle Solaris OS에서 배포되는 모든 커널 모듈 및 대부분의 바이너리에는 디지털 서명이 있습니다. elfsign 유틸리티를 사용하여 각 커널 모듈 및 드라이버에 대한 디지털 서명을 확인하십시오. Oracle Solaris 11 pkg verify 명령을 사용하면 Oracle Solaris 바이너리의 무결성을 확인할 수 있습니다. https://blogs.oracle.com/cmt/entry/solaris_fingerprint_database_how_it을 참조하십시오.

먼저, elfsign 유틸리티의 무결성을 설정해야 합니다. 기본적인 감사 및 보고 도구(BART)를 사용하여 디지털 서명 확인 프로세스를 자동화하십시오. Integrating BART and the Solaris Fingerprint Database in the Solaris 10 Operating System에서는 BART 및 Solaris 지문 데이터베이스를 결합하여 유사한 무결성 검사를 자동으로 수행하는 방법을 설명합니다. 지문 데이터베이스가 연결되어 있지 않더라도 이 문서에 설명된 개념은 elfsign 및 BART를 유사한 방식으로 사용하도록 전달할 수 있습니다.