Seguridad para el acelerador de zonas de aterrizaje de Red Hat OpenShift en Azure
La seguridad es una preocupación crítica para todos los sistemas en línea. En este artículo se proporcionan consideraciones y recomendaciones de diseño para proteger y proteger las implementaciones de Red Hat OpenShift en Azure.
Consideraciones de diseño
Red Hat OpenShift en Azure funciona con otros servicios de Azure, como Microsoft Entra ID, Azure Container Registry, Azure Storage y Azure Virtual Network. Estas interfaces requieren especial atención durante la fase de planificación. Red Hat OpenShift en Azure también supone una complejidad adicional, lo que implica considerar si se deben aplicar los mismos mecanismos y controles de seguridad, gobernanza y cumplimiento que en el resto de la infraestructura.
Estas son algunas consideraciones de diseño relacionadas con la gobernanza y el cumplimiento de la seguridad:
Si implementa un clúster de Red Hat OpenShift en Azure mediante los procedimientos recomendados de la zona de aterrizaje de Azure, familiarícese con las directivas heredadas por los clústeres.
Decidir si el plano de control debería ser accesible a través de Internet, que es lo predeterminado. Si es así, se recomiendan restricciones de IP. Si el plano de control del clúster solo será accesible desde dentro de la red privada, ya sea en Azure o en el entorno local, implemente un clúster privado de Red Hat OpenShift en Azure.
Decida cómo controlar y proteger el tráfico de salida desde el clúster de Red Hat OpenShift de Azure mediante Azure Firewall u otra aplicación virtual de red.
Decida cómo se administrarán los secretos en el clúster. Puede usar el proveedor de Azure Key Vault para el controlador CSI del almacén de secretos para proteger los secretos o conectar el clúster de Red Hat OpenShift de Azure a Kubernetes habilitado en Azure Arc y usar la extensión Proveedor de secretos de Azure Key Vault para capturar secretos.
Decida si se puede acceder al registro de contenedor a través de Internet o solo dentro de una red virtual específica. La deshabilitación del acceso a Internet en un registro de contenedor puede tener efectos negativos en otros sistemas que dependen de la conectividad pública, como canalizaciones de integración continua o Microsoft Defender para contenedores para el examen de imágenes. Para más información, consulte Conexión privada a un registro de contenedor de Azure mediante Azure Private Link.
Decida si el registro de contenedor privado se compartirá entre varias zonas de aterrizaje o si implementará un registro de contenedor dedicado en cada suscripción de zona de aterrizaje.
Decida cómo se actualizarán las imágenes base del contenedor y el tiempo de ejecución de la aplicación durante el ciclo de vida del contenedor. Azure Container Registry Tasks da soporte para automatizar el flujo de trabajo de aplicación de revisiones de sistema operativo y de marco de trabajo de la aplicación, y mantener los entornos seguros al tiempo que se respetan los principios de los contenedores inmutables.
Recomendaciones de diseño
Limite el acceso al archivo de configuración del clúster de Red Hat OpenShift en Azure mediante la integración con Microsoft Entra ID o su propio proveedor de identidades. Asigne el control de acceso basado en rol de OpenShift adecuado, como cluster-admin o cluster-reader.
Proteja el acceso del pod a los recursos. Proporcione el menor número de permisos, y evite el uso de la elevación de privilegios o el acceso a la raíz.
Para administrar y proteger secretos, certificados y cadenas de conexión en el clúster, debe conectar el clúster de Red Hat OpenShift de Azure a Kubernetes habilitado en Azure Arc y usar la extensión Proveedor de secretos de Azure Key Vault para capturar secretos.
En el caso de los clústeres de Red Hat OpenShift en Azure 4, etcd los datos no se cifran de forma predeterminada, pero se recomienda habilitar el cifrado etcd para proporcionar otra capa de seguridad de datos.
Mantén el clúster con la versión más reciente de OpenShift para evitar posibles problemas de seguridad y actualización. Red Hat OpenShift en Azure solo admite la versión secundaria actual y anterior disponible con carácter general de Red Hat OpenShift Container Platform. Actualice el clúster si está en una versión anterior a la última versión secundaria.
Supervise y aplique la configuración mediante la extensión de Azure Policy.
Conecte clústeres de Red Hat OpenShift de Azure a Kubernetes habilitado en Azure Arc.
Use Microsoft Defender para contenedores admitido mediante Kubernetes habilitado para Arc para proteger clústeres, contenedores y aplicaciones. También puede examinar las imágenes en busca de vulnerabilidades con Microsoft Defender o cualquier otra solución de análisis de imágenes.
Implemente una instancia dedicada y privada de Azure Container Registry en cada suscripción de zona de aterrizaje.
Use Private Link para Azure Container Registry para conectarlo a Red Hat OpenShift en Azure.
Use un host bastión o jumpbox para acceder de forma segura a un clúster privado de Red Hat OpenShift en Azure.
Pasos siguientes
Obtenga información sobre la administración de operaciones y las consideraciones de línea de base para la zona de aterrizaje de Red Hat OpenShift en Azure.