次の方法で共有


Azure Red Hat OpenShift ランディング ゾーン アクセラレータのセキュリティ

セキュリティは、すべてのオンライン システムにとって重要な懸念事項です。 この記事では、Azure Red Hat OpenShift デプロイを保護およびセキュリティで保護するための設計上の考慮事項と推奨事項について説明します。

設計上の考慮事項

Azure Red Hat OpenShift は、Microsoft Entra ID、Azure Container Registry、Azure Storage、Azure Virtual Network などの他の Azure サービスと連携して動作します。 これらのインターフェイスには、計画フェーズ中に特別な注意を払う必要があります。 Azure Red Hat OpenShift により、複雑度がさらに増しているため、他のインフラストラクチャ ランドスケープと同じセキュリティ ガバナンス、コンプライアンス メカニズム、コントロールの適用を検討する必要があります。

セキュリティ ガバナンスおよびコンプライアンスに関する設計上の考慮事項のいくつかを次に示します。

  • Azure ランディング ゾーンのベスト プラクティスを使用して Azure Red Hat OpenShift クラスターをデプロイする場合は、クラスターが継承するポリシーに習熟してください。

  • クラスターのコントロール プレーンへのインターネット経由でのアクセスを可能 (既定値) にするかどうかを決定します。 その場合は、IP 制限をお勧めします。 クラスター コントロール プレーンにアクセスできるのが Azure またはオンプレミスのプライベート ネットワーク内からのみの場合は、Azure Red Hat OpenShift プライベート クラスターをデプロイします。

  • Azure Firewall またはその他のネットワーク仮想アプライアンスを使用して、Azure Red Hat OpenShift クラスターからのエグレス トラフィックを制御およびセキュリティで保護する方法を決定します。

  • クラスターでシークレットを管理する方法を決定します。 シークレット ストア CSI ドライバーの Azure Key Vault プロバイダーを使用してシークレットを保護するか、Azure Arc 対応 Kubernetes に Azure Red Hat OpenShift クラスターを接続し、Azure Key Vault シークレット プロバイダー拡張機能を使用してシークレットをフェッチできます。

  • コンテナー レジストリにインターネット経由でアクセスできるようにするか、または特定の仮想ネットワーク内からのみアクセスできるようにするかを決定します。 コンテナー レジストリでインターネット アクセスを無効にすると、継続的インテグレーション パイプラインや、Microsoft Defender for Containers イメージ スキャンなどの、アクセスのためにパブリック接続に依存している他のシステムに悪影響を及ぼす可能性があります。 詳しくは、Azure Private Link を使用したコンテナー レジストリへの非公開接続に関するページを参照してください。

  • プライベート コンテナー レジストリを複数のランディング ゾーン間で共有するか、または専用のコンテナー レジストリを各ランディング ゾーン サブスクリプションにデプロイするかを決定します。

  • コンテナー のライフサイクルを通じて、コンテナーの基本イメージとアプリケーションのランタイムをどのように更新するかを決定します。 Azure Container Registry タスクでは、OS とアプリケーション フレームワークの修正プログラム適用のワークフローを自動化したり、不変のコンテナーの原則に準拠しながら、セキュリティで保護された環境を保守したりできます。

設計の推奨事項

次の手順

Azure Red Hat OpenShift ランディング ゾーンの運用管理とベースラインに関する考慮事項について説明します。