Sicherheit für den Azure Red Hat OpenShift-Zielzonenbeschleuniger
Sicherheit ist ein wichtiger Aspekt bei allen Onlinesystemen. Dieser Artikel behandelt Entwurfsüberlegungen und Empfehlungen zum Schützen Ihrer Azure Red Hat OpenShift-Bereitstellungen.
Überlegungen zum Entwurf
Azure Red Hat OpenShift kann mit anderen Azure-Diensten wie Microsoft Entra ID, Azure Container Registry, Azure Storage und Azure Virtual Network verwendet werden. Diese Schnittstellen erfordern während der Planungsphase besondere Aufmerksamkeit. Azure Red Hat OpenShift erhöht außerdem die Komplexität, sodass Sie in Betracht ziehen sollten, die gleichen Sicherheitsgovernance- und Konformitätsmechanismen und -kontrollen wie für die restliche Infrastrukturumgebung anzuwenden.
Hier sind einige Entwurfsüberlegungen für die Sicherheitsgovernance und -compliance:
Wenn Sie einen Azure Red Hat OpenShift-Cluster mit bewährten Methoden der Azure-Zielzone bereitstellen, sollten Sie sich mit den Richtlinien vertraut machen, die von den Clustern geerbt werden.
Legen Sie fest, ob die Steuerungsebene des Clusters über das Internet (Standardeinstellung) zugänglich sein soll. Falls ja, werden IP-Einschränkungen empfohlen. Wenn auf die Steuerungsebene des Clusters nur innerhalb Ihres privaten Netzwerks (entweder in Azure oder lokal) zugegriffen werden kann, stellen Sie einen privaten Azure Red Hat OpenShift-Cluster bereit.
Entscheiden Sie, wie Sie den ausgehenden Datenverkehr aus Ihrem Azure Red Hat OpenShift-Cluster mithilfe von Azure Firewall oder einem anderen virtuellen Netzwerkgerät steuern und schützen.
Entscheiden Sie, wie Geheimnisse in Ihrem Cluster verwaltet werden. Sie können entweder den Azure Key Vault-Anbieter für den Secrets Store CSI-Treiber verwenden, um Geheimnisse zu schützen, oder den Azure Red Hat OpenShift-Cluster mit Kubernetes mit Azure Arc-Unterstützung verbinden und die Azure Key Vault-Geheimnisanbietererweiterung zum Abrufen von Geheimnissen verwenden.
Legen Sie fest, ob auf Ihre Containerregistrierung über das Internet oder nur innerhalb eines bestimmten virtuellen Netzwerks zugegriffen werden kann. Das Deaktivieren des Internetzugriffs in einer Containerregistrierung kann negative Auswirkungen auf andere Systeme haben, die auf öffentliche Konnektivität angewiesen sind, z. B. Continuous Integration-Pipelines oder Imageüberprüfung von Microsoft Defender für Container. Weitere Informationen finden Sie unter Herstellen einer privaten Verbindung mit einer Containerregistrierung über Azure Private Link.
Legen Sie fest, ob Ihre private Containerregistrierung von mehreren Zielzonen gemeinsam verwendet wird oder ob Sie für jedes Zielzonenabonnement eine dedizierte Containerregistrierung bereitstellen.
Entscheiden Sie, wie Ihre Containerbasisimages und die Anwendungslaufzeit über den Containerlebenszyklus aktualisiert werden. Azure Container Registry Tasks bietet Unterstützung, um Ihren Workflow für Betriebssystem- und Anwendungspatches zu automatisieren und so die Sicherheit von Umgebungen zu gewährleisten sowie die Prinzipien unveränderlicher Container einzuhalten.
Entwurfsempfehlungen
Beschränken Sie den Zugriff auf die Konfigurationsdatei für Azure Red Hat OpenShift-Cluster, indem Sie sie in Microsoft Entra ID oder Ihren eigenen Identitätsanbieter integrieren. Weisen Sie geeignete rollenbasierte OpenShift-Zugriffssteuerung wie Clusteradministrator oder Clusterleser zu.
Gestalten Sie den Podzugriff auf Ressourcen sicher. Erteilen Sie nur so wenige Berechtigungen wie nötig, und vermeiden Sie die Erhöhung auf Rootberechtigungen oder privilegierte Berechtigungen.
Um Geheimnisse, Zertifikate und Verbindungszeichenfolgen in Ihrem Cluster zu verwalten und zu schützen, sollten Sie Azure Red Hat OpenShift-Cluster mit Kubernetes mit Azure Arc-Unterstützung verbinden und die Azure Key Vault-Geheimnisanbietererweiterung zum Abrufen von Geheimnissen verwenden.
Bei Azure Red Hat OpenShift 4-Clustern sind etcd-Daten nicht standardmäßig verschlüsselt, es wird jedoch empfohlen, etcd-Verschlüsselung zu aktivieren, um eine weitere Sicherheitsebene für Daten bereitzustellen.
Betreiben Sie Ihren Cluster mit der neuesten OpenShift-Version, um potenzielle Sicherheits- oder Upgradeprobleme zu vermeiden. Azure Red Hat OpenShift unterstützt nur die aktuelle und vorherige allgemein verfügbare Nebenversion von Red Hat OpenShift Container Platform. Aktualisieren Sie den Cluster, wenn er eine ältere Version als die letzte Nebenversion nutzt.
Überwachen und erzwingen Sie Konfigurationen mithilfe der Azure Policy-Erweiterung.
Verbinden Sie Azure Red Hat OpenShift-Cluster mit Kubernetes mit Azure Arc-Unterstützung.
Verwenden Sie Microsoft Defender for Containers (unterstützt über Kubernetes mit Arc-Unterstützung), um Cluster, Container und Anwendungen zu schützen. Überprüfen Sie Ihre Images außerdem mit Microsoft Defender oder einer anderen Lösung für die Imageüberprüfung auf Sicherheitsrisiken.
Stellen Sie eine dedizierte und private Instanz von Azure Container Registry für jedes Zielzonenabonnement bereit.
Verwenden Sie Private Link für Azure Container Registry, um eine Verbindung mit Azure Red Hat OpenShift herzustellen.
Verwenden Sie einen Bastionhost oder eine Jumpbox, um sicher auf private Azure Red Hat OpenShift-Cluster zuzugreifen.
Nächste Schritte
Erfahren Sie mehr über die Überlegungen zur Vorgangsverwaltung und Betriebsbaseline für die Azure Red Hat OpenShift-Zielzone.