Azure Red Hat OpenShift ランディング ゾーン アクセラレータのセキュリティ
セキュリティは、すべてのオンライン システムにとって重要な懸念事項です。 この記事では、Azure Red Hat OpenShift デプロイを保護およびセキュリティで保護するための設計上の考慮事項と推奨事項について説明します。
設計上の考慮事項
Azure Red Hat OpenShift は、Microsoft Entra ID、Azure Container Registry、Azure Storage、Azure Virtual Network などの他の Azure サービスと連携して動作します。 これらのインターフェイスには、計画フェーズ中に特別な注意を払う必要があります。 Azure Red Hat OpenShift により、複雑度がさらに増しているため、他のインフラストラクチャ ランドスケープと同じセキュリティ ガバナンス、コンプライアンス メカニズム、コントロールの適用を検討する必要があります。
セキュリティ ガバナンスおよびコンプライアンスに関する設計上の考慮事項のいくつかを次に示します。
Azure ランディング ゾーンのベスト プラクティスを使用して Azure Red Hat OpenShift クラスターをデプロイする場合は、クラスターが継承するポリシーに習熟してください。
クラスターのコントロール プレーンへのインターネット経由でのアクセスを可能 (既定値) にするかどうかを決定します。 その場合は、IP 制限をお勧めします。 クラスター コントロール プレーンにアクセスできるのが Azure またはオンプレミスのプライベート ネットワーク内からのみの場合は、Azure Red Hat OpenShift プライベート クラスターをデプロイします。
Azure Firewall またはその他のネットワーク仮想アプライアンスを使用して、Azure Red Hat OpenShift クラスターからのエグレス トラフィックを制御およびセキュリティで保護する方法を決定します。
クラスターでシークレットを管理する方法を決定します。 シークレット ストア CSI ドライバーの Azure Key Vault プロバイダーを使用してシークレットを保護するか、Azure Arc 対応 Kubernetes に Azure Red Hat OpenShift クラスターを接続し、Azure Key Vault シークレット プロバイダー拡張機能を使用してシークレットをフェッチできます。
コンテナー レジストリにインターネット経由でアクセスできるようにするか、または特定の仮想ネットワーク内からのみアクセスできるようにするかを決定します。 コンテナー レジストリでインターネット アクセスを無効にすると、継続的インテグレーション パイプラインや、Microsoft Defender for Containers イメージ スキャンなどの、アクセスのためにパブリック接続に依存している他のシステムに悪影響を及ぼす可能性があります。 詳しくは、Azure Private Link を使用したコンテナー レジストリへの非公開接続に関するページを参照してください。
プライベート コンテナー レジストリを複数のランディング ゾーン間で共有するか、または専用のコンテナー レジストリを各ランディング ゾーン サブスクリプションにデプロイするかを決定します。
コンテナー のライフサイクルを通じて、コンテナーの基本イメージとアプリケーションのランタイムをどのように更新するかを決定します。 Azure Container Registry タスクでは、OS とアプリケーション フレームワークの修正プログラム適用のワークフローを自動化したり、不変のコンテナーの原則に準拠しながら、セキュリティで保護された環境を保守したりできます。
設計の推奨事項
Microsoft Entra ID または独自の ID プロバイダーと統合することで、Azure Red Hat OpenShift クラスターの構成ファイルへのアクセスを制限します。 クラスター管理者やクラスター閲覧者などの適切な OpenShift ロールベースのアクセス制御を割り当てます。
リソースへのポッド アクセスをセキュリティで保護します。 最小限のアクセス許可を付与し、ルートまたは特権エスカレーションの使用を避けます。
クラスター内のシークレット、証明書、接続文字列を管理して保護するには、Azure Red Hat OpenShift クラスターを Azure Arc 対応 Kubernetes に接続し、Azure Key Vault シークレット プロバイダー拡張機能を使用してシークレットをフェッチする必要があります。
Azure Red Hat OpenShift 4 クラスターの場合、etcd データは既定では暗号化されませんが、etcd 暗号化を有効にして別のレイヤーのデータ セキュリティを提供することをお勧めします。
潜在的なセキュリティやアップグレードの問題を回避するために、クラスターを最新の OpenShift バージョンに維持してください。 Azure Red Hat OpenShift でサポートされているのは、Red Hat OpenShift Container Platform の現在および前の一般公開されているマイナー リリースのみです。 クラスターが最新のマイナー リリースより古いバージョンの場合は、それをアップグレードしてください。
Azure Policy 拡張機能を使用して、構成を監視および適用します。
Azure Red Hat OpenShift クラスターを Azure Arc 対応 Kubernetes に接続します。
Arc 対応 Kubernetes を介してサポートされる Microsoft Defender for Containers を使用して、クラスター、コンテナー、アプリケーションをセキュリティで保護してください。 Microsoft Defender またはその他のイメージ スキャン ソリューションを使用して、脆弱性がないか、イメージのスキャンも行ってください。
Azure Container Registry の専用プライベート インスタンスを各ランディング ゾーン サブスクリプションにデプロイします。
Azure Container Registry 用のプライベート リンクを使用して、これを Azure Red Hat OpenShift に接続します。
踏み台ホスト、つまりジャンプボックスを使用して、Azure Red Hat OpenShift プライベート クラスターに安全にアクセスします。
次の手順
Azure Red Hat OpenShift ランディング ゾーンの運用管理とベースラインに関する考慮事項について説明します。