Freigeben über

Azure CycleCloud – Bewährte Methoden für Sicherheit

  • Artikel

In diesem Artikel werden die bewährten Methoden und nützlichen Tipps für die sichere und effektive Verwendung von Azure CycleCloud erläutert. Sie können die hier aufgeführten bewährten Methoden als Kurzübersicht verwenden, wenn Sie Azure CycleCloud verwenden.

Installation

Die Standardinstallation von CycleCloud verwendet nicht verschlüsseltes HTTP, das an Port 8080 ausgeführt wird. Es wird dringend empfohlen, SSL für alle Installationen zu konfigurieren, um unverschlüsselten Zugriff auf Ihre CycleCloud-Installation zu verhindern. CycleCloud sollte nicht über das Internet zugänglich sein, aber bei Bedarf sollte nur Port 443 verfügbar gemacht werden. Wenn Sie den direkten Internetzugriff einschränken möchten, konfigurieren Sie die Verwendung eines Proxys für den gesamten internetgebundenen HTTP- und/oder HTTPS-Datenverkehr. Informationen zum Deaktivieren der unverschlüsselten Kommunikation und des HTTP-Zugriffs auf CycleCloud finden Sie unter SSL-Konfiguration.

Wenn Sie auch den ausgehenden Internetzugriff einschränken möchten, ist es möglich, CycleCloud so zu konfigurieren, dass ein Proxy für den gesamten internetgebundenen HTTP- und/oder HTTPS-Datenverkehr verwendet wird. Weitere Informationen finden Sie unter Arbeiten in einer gesperrten Umgebung .

Authentifizierung und Autorisierung

Azure CycleCloud bietet vier Authentifizierungsmethoden: eine integrierte Datenbank mit Verschlüsselung, Active Directory, LDAP oder Entra ID. Jedes Konto mit fünf Autorisierungsfehlern innerhalb von 60 Sekunden wird automatisch für fünf Minuten gesperrt. Konten können manuell von einem Administrator entsperrt werden und werden nach fünf Minuten automatisch entsperrt.

CycleCloud sollte auf einem Laufwerk mit nur Administratorgruppenzugriff installiert werden. Dadurch wird verhindert, dass Nicht-Administratorbenutzer auf nicht verschlüsselte Daten zugreifen. Benutzer, die keine Administratoren sind, sollten nicht in diese Gruppe einbezogen werden. Im Idealfall sollte der Zugriff auf die CycleCloud-Installation nur auf Administratoren beschränkt sein.

Teilen Sie die CycleCloud-Installation nicht über Vertrauensgrenzen hinweg. Die RBAC-Steuerelemente innerhalb einer einzelnen CycleCloud-Installation sind in einer echten mehrinstanzenfähigen Umgebung möglicherweise nicht ausreichend. Verwenden Sie separate und isolierte CycleCloud-Installationen für jeden Mandanten mit kritischen Daten.

Netzwerk- und Geheimnisverwaltung

Das virtuelle Netzwerk , in dem Cluster gestartet werden, sollte mit Netzwerksicherheitsgruppen (Network Security Groups, NSG) gesperrt werden. Der Zugriff auf bestimmte Ports wird durch eine NSG geregelt. Sie haben die Möglichkeit, den eingehenden/ausgehenden Netzwerkdatenverkehr zu/von Azure-Ressourcen innerhalb des virtuellen Azure-Netzwerks zu konfigurieren und zu steuern. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden Netzwerkdatenverkehr oder ausgehenden Netzwerkdatenverkehr von verschiedenen Arten von Azure-Ressourcen zulassen oder verweigern.

Es wird dringend empfohlen, mindestens zwei Subnetze zu verwenden. Eine für die CycleCloud-Installations-VM und alle anderen virtuellen Computer mit den gleichen Zugriffsrichtlinien sowie zusätzliche Subnetze für die Computecluster. Beachten Sie jedoch, dass bei großen Clustern der IP-Bereich des Subnetzes zu einem einschränkenden Faktor werden kann. Im Allgemeinen sollte das CycleCloud-Subnetz also einen kleinen CIDR-Bereich (Classless Inter-Domain Routing) verwenden, und Computesubnetze sollten groß sein.

CycleCloud verwendet die Azure-Resource Manager zum Verwalten von Clustern. Um Aufrufe an Azure Resource Manager werden bestimmte Berechtigungen für CycleCloud erteilt, indem Sie verwaltete Identitäten für eine CycleCloud-VM konfigurieren. Es wird empfohlen, entweder systemseitig zugewiesene oder benutzerseitig zugewiesene verwaltete Identität zu verwenden.Eine systemseitig zugewiesene verwaltete Identität erstellt eine Identität in Azure AD, die an den Lebenszyklus dieses Diensts instance gebunden ist. Wenn diese Ressource gelöscht wird, wird die verwaltete Identität automatisch gelöscht. Eine benutzerseitig zugewiesene verwaltete Identität kann einer oder mehreren Instanzen eines Azure-Diensts zugewiesen werden. In diesem Fall wird die verwaltete Identität separat von den verwendeten Ressourcen verwaltet.

Gesicherte gesperrte Umgebung

Einige sichere Produktionsumgebungen sperren die Umgebung und verfügen über eingeschränkten Internetzugriff. Da Azure CycleCloud Zugriff auf Azure Storage-Konten und andere unterstützte Azure-Dienste erfordert, wird empfohlen, privaten Zugriff über Virtual Network-Dienstendpunkte oder Private Link bereitzustellen. Durch aktivieren von Dienstendpunkten oder Private Link können Sie Ihre Azure-Dienstressourcen in Ihrem virtuellen Netzwerk schützen. Dienstendpunkte erhöhen die Sicherheit, indem private IP-Adressen in der Virtual Network aktiviert werden, um Endpunkte eines Azure-Diensts zu erreichen.

Die CycleCloud-Anwendung und Clusterknoten können in Umgebungen mit eingeschränktem Internetzugriff ausgeführt werden, obwohl es eine minimale Anzahl von TCP-Ports gibt, die geöffnet bleiben müssen. Eine Möglichkeit, den ausgehenden Internetzugriff von der CycleCloud-VM einzuschränken, ohne den Azure Firewall oder einen HTTPS-Proxy zu konfigurieren, besteht darin, eine strenge Azure-Netzwerksicherheitsgruppe für das Subnetz des virtuellen CycleCloud-Computers zu konfigurieren. Die einfachste Möglichkeit hierfür ist die Verwendung von Diensttags in der Netzwerksicherheitsgruppe auf Subnetz- oder VM-Ebene, um den erforderlichen ausgehenden Azure-Zugriff zuzulassen. Diensttags können anstelle einer bestimmten IP-Adresse verwendet werden, wenn Sie Sicherheitsregeln erstellen. Sie können den Datenverkehr für den entsprechenden Dienst zulassen oder verweigern.