Delen via

Overwegingen voor identiteits- en toegangsbeheer voor Azure Red Hat OpenShift

  • Artikel

Identiteits- en toegangsbeheer is een belangrijk onderdeel van de beveiligingsinstellingen van een organisatie wanneer de Azure Red Hat OpenShift-landingszoneversneller wordt geïmplementeerd. Identiteits- en toegangsbeheer omvat gebieden zoals clusteridentiteiten, workloadidentiteiten en operatortoegang.

Gebruik deze ontwerpoverwegingen en aanbevelingen om een plan voor identiteits- en toegangsbeheer te maken dat voldoet aan de vereisten van uw organisatie in uw Azure Red Hat OpenShift-implementatie.

Ontwerpoverwegingen

  • Bepaal hoe u uw service-principal en de machtigingen voor de Azure Red Hat OpenShift-clusteridentiteit moet maken en beheren:
    • Maak de service-principal en wijs handmatig machtigingen toe.
    • Maak automatisch de service-principal en wijs machtigingen toe wanneer u het cluster maakt.
  • Bepaal hoe u clustertoegang verifieert:
  • Beslis over een multitenancycluster en hoe u op rollen gebaseerd toegangsbeheer (RBAC) instelt in uw Azure Red Hat OpenShift-cluster.
    • Kies een methode voor isolatie: Red Hat OpenShift-projecten, netwerkbeleid of cluster.
    • Bepaal de OpenShift-projecten, projectrollen, clusterrollen en rekentoewijzing per toepassingsteam voor isolatie.
    • Bepaal of toepassingsteams andere OpenShift-projecten in hun cluster kunnen lezen.
  • Bepaal aangepaste Azure RBAC-rollen voor uw Azure Red Hat OpenShift-landingszone.
    • Bepaal welke machtigingen vereist zijn voor de SRE-rol (Site Reliability Engineering) om het hele cluster te beheren en problemen op te lossen.
    • Bepaal welke machtigingen vereist zijn voor beveiligingsbewerkingen (SecOps).
    • Bepaal welke machtigingen vereist zijn voor de eigenaar van de landingszone.
    • Bepaal welke machtigingen vereist zijn voor de toepassingsteams om te implementeren in het cluster.
  • Bepaal hoe u geheimen en gevoelige informatie opslaat in uw cluster. U kunt geheimen en gevoelige informatie opslaan als Met Base64 gecodeerde Kubernetes-geheimen of een provider voor het geheimarchief gebruiken, zoals Azure Key Vault-provider voor het CSI-stuurprogramma geheimenarchief.

Ontwerpaanaanvelingen

  • Clusteridentiteiten
    • Maak een service-principal en definieer de aangepaste Azure RBAC-rollen voor uw Azure Red Hat OpenShift-landingszone. Rollen vereenvoudigen hoe u machtigingen beheert voor uw Azure Red Hat OpenShift-clusterservice-principal.
  • Clustertoegang
    • Configureer Microsoft Entra-integratie om Microsoft Entra ID te gebruiken om gebruikers te verifiëren in uw Azure Red Hat OpenShift-cluster.
    • OpenShift-projecten definiëren om RBAC-bevoegdheden te beperken en workloads in uw cluster te isoleren.
    • Definieer de vereiste RBAC-rollen in OpenShift die zijn gericht op een lokaal projectbereik of een clusterbereik.
    • Gebruik Azure Red Hat OpenShift om rolbindingen te maken die zijn gekoppeld aan Microsoft Entra-groepen voor toegang tot SRE, SecOps en ontwikkelaars.
    • Gebruik Azure Red Hat OpenShift met Microsoft Entra ID om gebruikersrechten te beperken en het aantal gebruikers met beheerdersrechten te minimaliseren. Door gebruikersrechten te beperken, worden de configuratie- en geheimentoegang beschermd.
    • Geef alleen volledige toegang indien nodig en Just-In-Time. Gebruik Privileged Identity Management in Microsoft Entra ID en identiteits- en toegangsbeheer in Azure-landingszones.
  • Clusterworkloads
    • Voor toepassingen waarvoor toegang tot gevoelige informatie is vereist, gebruikt u een service-principal en de Azure Key Vault-provider voor het CSI-stuurprogramma voor het geheimarchief om geheimen die zijn opgeslagen in Azure Key Vault te koppelen aan uw pods.

Volgende stappen

Netwerktopologie en -connectiviteit voor Azure Red Hat OpenShift