Azure CycleCloud - Procedure consigliate per la sicurezza
Questo articolo illustra le procedure consigliate e suggerimenti utili per l'uso di Azure CycleCloud in modo più sicuro ed efficace. È possibile usare le procedure consigliate elencate qui come riferimento rapido quando si usa Azure CycleCloud.
Installazione
L'installazione predefinita di CycleCloud usa HTTP non crittografato in esecuzione sulla porta 8080. È consigliabile configurare SSL per tutte le installazioni per impedire l'accesso non crittografato all'installazione di CycleCloud. CycleCloud non deve essere accessibile da Internet, ma se necessario deve essere esposta solo la porta 443. Se si vuole limitare l'accesso diretto a Internet, configurare l'uso di un proxy per tutto il traffico HTTP e/o HTTPS associato a Internet. Per disabilitare le comunicazioni non crittografate e l'accesso HTTP a CycleCloud, fare riferimento alla configurazione SSL.
Se si vuole anche limitare l'accesso a Internet in uscita, è possibile configurare CycleCloud per l'uso di un proxy per tutto il traffico HTTP e/o HTTPS associato a Internet. Per informazioni dettagliate , vedere Funzionamento in un ambiente bloccato .
Autenticazione e autorizzazione
Azure CycleCloud offre quattro metodi di autenticazione: un database predefinito con crittografia, Active Directory, LDAP o ENTRA ID. Qualsiasi account con cinque errori di autorizzazione entro 60 secondi verrà automaticamente bloccato per cinque minuti. Gli account possono essere sbloccati manualmente da un amministratore e vengono sbloccati automaticamente dopo cinque minuti.
CycleCloud deve essere installato in un'unità con accesso solo al gruppo di amministratori. Ciò impedirà agli utenti non amministratori di accedere ai dati non crittografati. Gli utenti non amministratori non devono essere inclusi in questo gruppo. Idealmente, l'accesso all'installazione di CycleCloud deve essere limitato solo agli amministratori.
Non condividere l'installazione di CycleCloud attraverso i limiti di attendibilità. I controlli controllo degli accessi in base al ruolo all'interno di una singola installazione di CycleCloud potrebbero non essere sufficienti in un vero ambiente multi-tenant. Usare installazioni CycleCloud separate e isolate per ogni tenant con dati critici.
Rete e gestione dei segreti
La rete virtuale in cui vengono avviati i cluster deve essere bloccata con i gruppi di sicurezza di rete.The virtual network groups that clusters are launcheds in should be locked down with Network Security Groups(NSG). L'accesso a porte specifiche è regolato da un gruppo di sicurezza di rete, è possibile configurare e controllare il traffico di rete in ingresso/in uscita verso/dalle risorse di Azure all'interno della rete virtuale di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete in ingresso o il traffico di rete in uscita da diversi tipi di risorse di Azure.
È consigliabile usare almeno due subnet. Uno per la macchina virtuale di installazione di CycleCloud e qualsiasi altra macchina virtuale con gli stessi criteri di accesso e subnet aggiuntive per i cluster di calcolo. Tenere tuttavia presente che per i cluster di grandi dimensioni, l'intervallo IP della subnet può diventare un fattore di limitazione. In generale, la subnet CycleCloud deve usare un piccolo intervallo CIDR (Classless Inter-Domain Routing) e le subnet di calcolo devono essere grandi.
CycleCloud usa il Resource Manager di Azure per la gestione dei cluster. Per effettuare chiamate ad Azure Resource Manager a CycleCloud vengono concesse determinate autorizzazioni configurando l'identità gestita alla macchina virtuale CycleCloud. È consigliabile usare identità gestita assegnata dal sistema o assegnata dall'utente. Un'identità gestita assegnata dal sistema crea un'identità in Azure AD associata al ciclo di vita dell'istanza del servizio. Quando la risorsa viene eliminata, l'identità gestita viene eliminata automaticamente. Un'identità gestita assegnata dall'utente può essere assegnata a una o più istanze di un servizio di Azure. In questo caso, l'identità gestita viene gestita separatamente dalle risorse usate.
Ambiente protetto bloccato
Alcuni ambienti di produzione sicuri bloccano l'ambiente e hanno accesso a Internet limitato. Poiché Azure CycleCloud richiede l'accesso agli account di archiviazione di Azure e ad altri servizi di Azure supportati, è consigliabile fornire l'accesso privato tramite Rete virtuale endpoint di servizio o collegamento privato. L'abilitazione di endpoint di servizio o collegamento privato consente di proteggere le risorse del servizio di Azure nella rete virtuale. Gli endpoint di servizio aggiungono maggiore sicurezza abilitando gli indirizzi IP privati nel Rete virtuale per raggiungere gli endpoint di un servizio di Azure.
L'applicazione CycleCloud e i nodi del cluster possono operare in ambienti con accesso a Internet limitato, anche se è presente un numero minimo di porte TCP che devono rimanere aperte. Un modo per limitare l'accesso Internet in uscita dalla macchina virtuale CycleCloud senza configurare il Firewall di Azure o un proxy HTTPS consiste nel configurare un gruppo di sicurezza di rete di Azure rigoroso per la subnet della macchina virtuale CycleCloud. Il modo più semplice per eseguire questa operazione consiste nell'usare i tag del servizio nella subnet o nel gruppo di sicurezza di rete a livello di macchina virtuale per consentire l'accesso di Azure in uscita richiesto. I tag del servizio possono essere usati al posto di un indirizzo IP specifico quando si creano regole di sicurezza, è possibile consentire o negare il traffico per il servizio corrispondente.