Partager via

Azure CycleCloud – Meilleures pratiques de sécurité

  • Article

Cet article présente les meilleures pratiques et des conseils utiles pour utiliser Azure CycleCloud de manière plus sécurisée et plus efficace. Vous pouvez utiliser les bonnes pratiques répertoriées ici comme référence rapide lors de l’utilisation d’Azure CycleCloud.

Installation

L’installation par défaut de CycleCloud utilise http non chiffré s’exécutant sur le port 8080. Nous vous recommandons vivement de configurer SSL pour toutes les installations afin d’empêcher l’accès non chiffré à votre installation CycleCloud. CycleCloud ne doit pas être accessible à partir d’Internet, mais si nécessaire, seul le port 443 doit être exposé. Si vous souhaitez restreindre l’accès Direct à Internet, configurez pour utiliser un proxy pour tout le trafic HTTP et/ou HTTPS lié à Internet. Pour désactiver les communications non chiffrées et l’accès HTTP à CycleCloud, reportez-vous à la configuration SSL.

Si vous souhaitez également restreindre l’accès Internet sortant, il est possible de configurer CycleCloud pour utiliser un proxy pour tout le trafic HTTP et/ou HTTPS lié à Internet. Pour plus d’informations, consultez Fonctionnement dans un environnement verrouillé .

Authentification et autorisation

Azure CycleCloud propose quatre méthodes d’authentification : une base de données intégrée avec chiffrement, Active Directory, LDAP ou Entra ID. Tout compte avec cinq échecs d’autorisation dans les 60 secondes sera automatiquement verrouillé pendant cinq minutes. Les comptes peuvent être déverrouillés manuellement par un administrateur et sont automatiquement déverrouillés au bout de cinq minutes.

CycleCloud doit être installé sur un lecteur avec uniquement un accès administrateur-groupe. Cela empêchera les utilisateurs non administrateurs d’accéder aux données non chiffrées. Les utilisateurs non administrateurs ne doivent pas être inclus dans ce groupe. Dans l’idéal, l’accès à l’installation de CycleCloud doit être limité uniquement aux administrateurs.

Ne partagez pas l’installation de CycleCloud au-delà des limites d’approbation. Les contrôles RBAC au sein d’une installation CycleCloud unique peuvent ne pas être suffisants dans un véritable environnement multilocataire. Utilisez des installations CycleCloud distinctes et isolées pour chaque locataire avec des données critiques.

Mise en réseau et gestion des secrets

Le réseau virtuel dans lequel les clusters sont lancés doit être verrouillé avec des groupes de sécurité réseau (NSG). L’accès à des ports spécifiques est régi par un groupe de sécurité réseau. Vous avez la possibilité de configurer et de contrôler le trafic réseau entrant/sortant vers/depuis les ressources Azure au sein du réseau virtuel Azure. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou refusent le trafic réseau entrant ou sortant provenant de plusieurs types de ressources Azure.

Nous vous recommandons vivement d’utiliser au moins deux sous-réseaux. Une pour la machine virtuelle d’installation CycleCloud et toutes les autres machines virtuelles avec les mêmes stratégies d’accès, ainsi que des sous-réseaux supplémentaires pour les clusters de calcul. Toutefois, gardez à l’esprit que pour les clusters volumineux, la plage d’adresses IP du sous-réseau peut devenir un facteur de limitation. Ainsi, en général, le sous-réseau CycleCloud doit utiliser une petite plage CIDR (Classless Inter-Domain Routing) et les sous-réseaux de calcul doivent être volumineux.

CycleCloud utilise le Resource Manager Azure pour la gestion des clusters. Pour effectuer des appels vers Azure Resource Manager certaines autorisations sont accordées à CycleCloud en configurant l’identité managée sur une machine virtuelle CycleCloud. Il est recommandé d’utiliser une identité managée affectée par le système ou affectée par l’utilisateur. Une identité managée affectée par le système crée dans Azure AD une identité liée au cycle de vie de ce service instance. Lorsque cette ressource est supprimée, l’identité managée est automatiquement supprimée. Une identité managée affectée par l’utilisateur peut être affectée à une ou plusieurs instances d’un service Azure. Dans ce cas, l’identité managée est gérée séparément par les ressources utilisées.

Environnement verrouillé sécurisé

Certains environnements de production sécurisés verrouillent l’environnement et ont un accès Internet limité. Étant donné qu’Azure CycleCloud nécessite l’accès aux comptes de stockage Azure et à d’autres services Azure pris en charge, la méthode recommandée pour fournir un accès privé consiste à utiliser des points de terminaison de service Réseau virtuel ou des Private Link. L’activation des points de terminaison de service ou Private Link vous permet de sécuriser vos ressources de service Azure sur votre réseau virtuel. Les points de terminaison de service ajoutent plus de sécurité en permettant aux adresses IP privées dans le Réseau virtuel d’atteindre les points de terminaison d’un service Azure.

L’application CycleCloud et les nœuds de cluster peuvent fonctionner dans des environnements avec un accès Internet limité, bien qu’il y ait un nombre minimal de ports TCP qui doivent rester ouverts. Une façon de limiter l’accès Internet sortant à partir de la machine virtuelle CycleCloud sans configurer le Pare-feu Azure ou un proxy HTTPS consiste à configurer un groupe de sécurité réseau Azure strict pour le sous-réseau de la machine virtuelle CycleCloud. Le moyen le plus simple consiste à utiliser des étiquettes de service dans le sous-réseau ou le groupe de sécurité réseau au niveau de la machine virtuelle pour autoriser l’accès sortant Azure requis. Les étiquettes de service peuvent être utilisées à la place d’une adresse IP spécifique lorsque vous créez des règles de sécurité. Vous pouvez autoriser ou refuser le trafic pour le service correspondant.