Condividi tramite


Sicurezza per l'acceleratore di zona di destinazione di Azure Red Hat OpenShift

La sicurezza è un problema critico per tutti i sistemi online. Questo articolo fornisce considerazioni sulla progettazione e consigli per proteggere e proteggere le distribuzioni di Azure Red Hat OpenShift.

Considerazioni relative alla progettazione

Azure Red Hat OpenShift funziona con altri servizi di Azure, ad esempio Microsoft Entra ID, Registro Azure Container, Archiviazione di Azure e Azure Rete virtuale. Queste interfacce richiedono particolare attenzione durante la fase di pianificazione. Azure Red Hat OpenShift aggiunge anche complessità aggiuntive, pertanto è consigliabile applicare gli stessi meccanismi di governance e conformità della sicurezza e controlli del resto dell'infrastruttura.

Ecco alcune considerazioni di progettazione per la governance e la conformità della sicurezza:

  • Se si distribuisce un cluster Azure Red Hat OpenShift usando le procedure consigliate per la zona di destinazione di Azure, acquisire familiarità con i criteri che verranno ereditati dai cluster.

  • Decidere se il piano di controllo del cluster deve essere accessibile tramite Internet, ovvero l'impostazione predefinita. In tal caso, sono consigliate restrizioni IP. Se il piano di controllo del cluster sarà accessibile solo dall'interno della rete privata, in Azure o in locale, distribuire il cluster privato di Azure Red Hat OpenShift.

  • Decidere come controllare e proteggere il traffico in uscita dal cluster Azure Red Hat OpenShift usando Firewall di Azure o un'altra appliance virtuale di rete.

  • Decidere come verranno gestiti i segreti nel cluster. È possibile usare il provider di Azure Key Vault per il driver CSI dell'archivio segreti per proteggere i segreti oppure connettere il cluster Azure Red Hat OpenShift a Kubernetes abilitato per Azure Arc e usare l'estensione del provider di segreti di Azure Key Vault per recuperare i segreti.

  • Decidere se il registro contenitori è accessibile tramite Internet o solo all'interno di una rete virtuale specifica. La disabilitazione dell'accesso a Internet in un registro contenitori può avere effetti negativi su altri sistemi che si basano sulla connettività pubblica, ad esempio pipeline di integrazione continua o analisi delle immagini di Microsoft Defender per contenitori. Per altre informazioni, vedere Connettersi privatamente a un registro contenitori usando il collegamento privato di Azure.

  • Decidere se il registro contenitori privato verrà condiviso tra più zone di destinazione o se si distribuirà un registro contenitori dedicato a ogni sottoscrizione della zona di destinazione.

  • Decidere in che modo le immagini di base del contenitore e il tempo di esecuzione dell'applicazione verranno aggiornati nel ciclo di vita del contenitore. Registro Azure Container Attività forniscono supporto per automatizzare il flusso di lavoro di applicazione e applicazione che applica l'applicazione di patch al flusso di lavoro, mantenendo gli ambienti sicuri rispettando i principi dei contenitori non modificabili.

Suggerimenti per la progettazione

Passaggi successivi

Informazioni sulla gestione delle operazioni e sulle considerazioni di base per la zona di destinazione di Azure Red Hat OpenShift.