Azure CycleCloud – osvědčené postupy zabezpečení
Tento článek popisuje osvědčené postupy a užitečné tipy pro bezpečnější a efektivnější používání Azure CycleCloudu. Při používání Azure CycleCloudu můžete použít zde uvedené osvědčené postupy jako stručný přehled.
Instalace
Výchozí instalace CycleCloudu používá nešifrovaný protokol HTTP spuštěný na portu 8080. Důrazně doporučujeme nakonfigurovat ssl pro všechny instalace, aby se zabránilo nešifrovaný přístup k instalaci CycleCloudu. CycleCloud by neměl být přístupný z internetu, ale v případě potřeby by měl být zpřístupněn pouze port 443. Pokud chcete omezit přímý přístup k internetu, nakonfigurujte použití proxy serveru pro veškerý internetový provoz HTTP nebo HTTPS. Pokud chcete zakázat nešifrovanou komunikaci a přístup HTTP k CycleCloudu, projděte si konfiguraci SSL.
Pokud chcete také omezit odchozí přístup k internetu, je možné nakonfigurovat CycleCloud tak, aby používal proxy server pro veškerý internetový provoz HTTP nebo HTTPS. Podrobnosti najdete v tématu Provoz v uzamčených prostředích .
Ověřování a autorizace
Azure CycleCloud nabízí čtyři metody ověřování: integrovanou databázi s šifrováním, Active Directory, LDAP nebo Entra ID. Každý účet s pěti selháními autorizace během 60 sekund se automaticky uzamkne na pět minut. Účty může ručně odemknout správce a automaticky se odemknou po pěti minutách.
CycleCloud by měl být nainstalovaný na jednotce s přístupem jenom pro správce a skupiny. Tím zabráníte uživatelům bez oprávnění správce v přístupu k nešifrovaným datům. Do této skupiny by neměli být zahrnuti uživatelé bez oprávnění správce. V ideálním případě by měl být přístup k instalaci CycleCloud omezený pouze na správce.
Nesdílejte instalaci CycleCloudu přes hranice důvěryhodnosti. Řízení řízení přístupu na základě role v rámci jedné instalace CycleCloud nemusí být ve skutečném prostředí s více tenanty dostatečné. Pro každého tenanta s důležitými daty použijte samostatné a izolované instalace CycleCloudu.
Správa sítí a tajných kódů
Virtuální síť, ve které se clustery spouští, by měla být uzamčená pomocí skupin zabezpečení sítě (NSG). Přístup ke konkrétním portům se řídí skupinou zabezpečení sítě. Máte možnost nakonfigurovat a řídit příchozí/odchozí síťový provoz do a z prostředků Azure v rámci virtuální sítě Azure. Skupina zabezpečení sítě obsahuje pravidla zabezpečení, která povolují nebo zakazují příchozí síťový provoz nebo odchozí síťový provoz z několika typů prostředků Azure.
Důrazně doporučujeme používat alespoň dvě podsítě. Jedna pro instalační virtuální počítač CycleCloud a všechny ostatní virtuální počítače se stejnými zásadami přístupu a další podsítě pro výpočetní clustery. Mějte ale na paměti, že u velkých clusterů se rozsah IP adres podsítě může stát omezujícím faktorem. Obecně by tedy podsíť CycleCloud měla používat malý rozsah CIDR (Classless Inter-Domain Routing) a výpočetní podsítě by měly být velké.
CycleCloud používá ke správě clusterů azure Resource Manager. Pokud chcete volat Azure Resource Manager jsou službě CycleCloud udělena určitá oprávnění tím, že nakonfigurujete spravovanou identitu na virtuální počítač CycleCloud. Doporučuje se použít spravovanou identitu přiřazenou systémem nebo spravovanou identitu přiřazenou uživatelem. Spravovaná identita přiřazená systémem vytvoří identitu v Azure AD, která je svázaná s životním cyklem dané instance služby. Když se tento prostředek odstraní, spravovaná identita se automaticky odstraní. Spravovanou identitu přiřazenou uživatelem je možné přiřadit k jedné nebo více instancím služby Azure. V tomto případě je spravovaná identita samostatně spravována použitými prostředky.
Zabezpečené uzamčené prostředí
Některá zabezpečená produkční prostředí zamknou prostředí a mají omezený přístup k internetu. Vzhledem k tomu, že Azure CycleCloud vyžaduje přístup k účtům Azure Storage a dalším podporovaným službám Azure, doporučeným způsobem, jak poskytnout privátní přístup, je prostřednictvím koncových bodů služby Virtual Network nebo Private Link. Povolením koncových bodů služby nebo Private Link můžete zabezpečit prostředky služby Azure pro virtuální síť. Koncové body služby přidávají větší zabezpečení tím, že umožňují privátní IP adresy v Virtual Network, aby se dostaly ke koncovým bodům služby Azure.
Uzly aplikací a clusterů CycleCloud můžou fungovat v prostředích s omezeným přístupem k internetu, i když musí zůstat otevřený minimální počet portů TCP. Jedním ze způsobů, jak omezit odchozí internetový přístup z virtuálního počítače CycleCloud bez konfigurace Azure Firewall nebo proxy serveru HTTPS, je nakonfigurovat striktní skupinu zabezpečení sítě Azure pro podsíť virtuálního počítače CycleCloud. Nejjednodušší způsob, jak to udělat, je použít značky služeb v podsíti nebo skupině zabezpečení sítě na úrovni virtuálního počítače k povolení požadovaného odchozího přístupu Azure. Značky služeb se dají použít místo konkrétní IP adresy, když vytváříte pravidla zabezpečení, můžete povolit nebo odepřít provoz pro příslušnou službu.