Beveiliging voor de Azure Red Hat OpenShift-landingszoneversneller

Beveiliging is een kritieke zorg voor alle online systemen. Dit artikel bevat ontwerpoverwegingen en aanbevelingen voor het beveiligen en beveiligen van uw Azure Red Hat OpenShift-implementaties.

Ontwerpoverwegingen

Azure Red Hat OpenShift werkt met andere Azure-services, zoals Microsoft Entra ID, Azure Container Registry, Azure Storage en Azure Virtual Network. Deze interfaces vereisen speciale aandacht tijdens de planningsfase. Azure Red Hat OpenShift voegt ook extra complexiteit toe, dus overweeg om dezelfde beveiligingsgovernance- en nalevingsmechanismen en -controles toe te passen als in de rest van uw infrastructuurlandschap.

Hier volgen enkele ontwerpoverwegingen voor beveiligingsgovernance en naleving:

• Als u een Azure Red Hat OpenShift-cluster implementeert met best practices voor azure-landingszones, moet u vertrouwd raken met het beleid dat wordt overgenomen door de clusters.

• Bepaal of het besturingsvlak van het cluster toegankelijk moet zijn via internet. Dit is de standaardinstelling. Zo ja, dan worden IP-beperkingen aanbevolen. Als het clusterbesturingsvlak alleen toegankelijk is vanuit uw privénetwerk, hetzij in Azure of on-premises, implementeert u het privécluster van Azure Red Hat OpenShift.

• Bepaal hoe u uitgaand verkeer van uw Azure Red Hat OpenShift-cluster beheert en beveiligt met behulp van Azure Firewall of een ander virtueel netwerkapparaat.

• Bepaal hoe geheimen worden beheerd in uw cluster. U kunt De Azure Key Vault-provider voor het CSI-stuurprogramma geheimenarchief gebruiken om geheimen te beveiligen of een Azure Red Hat OpenShift-cluster verbinden met Kubernetes met Azure Arc en de azure Key Vault Secrets Provider-extensie gebruiken om geheimen op te halen.

• Bepaal of uw containerregister toegankelijk is via internet of alleen binnen een specifiek virtueel netwerk. Het uitschakelen van internettoegang in een containerregister kan negatieve gevolgen hebben voor andere systemen die afhankelijk zijn van openbare connectiviteit, zoals pijplijnen voor continue integratie of het scannen van installatiekopieën van Microsoft Defender for Containers. Zie Verbinding maken privé naar een containerregister met behulp van Azure Private Link voor meer informatie.

• Bepaal of uw privécontainerregister wordt gedeeld in meerdere landingszones of als u een toegewezen containerregister implementeert voor elk landingszoneabonnement.

• Bepaal hoe uw containerbasisinstallatiekopieën en uitvoeringstijd van de toepassing worden bijgewerkt gedurende de levenscyclus van de container. Azure Container Registry-taken bieden ondersteuning voor het automatiseren van de patchwerkstroom voor het besturingssysteem en het toepassingsframework, het onderhouden van veilige omgevingen en het naleven van de principes van onveranderbare containers.

Ontwerpaanaanvelingen

• Beperk de toegang tot het configuratiebestand van het Azure Red Hat OpenShift-cluster door te integreren met Microsoft Entra ID of uw eigen id-provider. Wijs het juiste op rollen gebaseerd toegangsbeheer van OpenShift toe, zoals clusterbeheerder of clusterlezer.

• Beveilig podtoegang tot resources. Geef het minste aantal machtigingen op en vermijd het gebruik van escalatie met hoofd- of bevoegdheden.

• Als u geheimen, certificaten en verbindingsreeks s in uw cluster wilt beheren en beveiligen, moet u een Azure Red Hat OpenShift-cluster verbinden met Kubernetes met Azure Arc en de azure Key Vault Secrets Provider-extensie gebruiken om geheimen op te halen.

• Voor Azure Red Hat OpenShift 4-clusters worden etcd-gegevens niet standaard versleuteld, maar het wordt aanbevolen om etcd-versleuteling in te schakelen om een andere gegevensbeveiligingslaag te bieden.

• Bewaar uw clusters op de nieuwste OpenShift-versie om mogelijke beveiligings- of upgradeproblemen te voorkomen. Azure Red Hat OpenShift ondersteunt alleen de huidige en vorige algemeen beschikbare secundaire versie van Red Hat OpenShift Container Platform. Voer een upgrade uit van het cluster als het een versie heeft die ouder is dan de laatste secundaire versie.

• De configuratie bewaken en afdwingen met behulp van de Azure Policy-extensie.

• Verbinding maken Azure Red Hat OpenShift-clusters naar Kubernetes met Azure Arc.

• Gebruik Microsoft Defender for Containers die worden ondersteund via Kubernetes met Arc om clusters, containers en toepassingen te beveiligen. Scan uw afbeeldingen ook op beveiligingsproblemen met Microsoft Defender of een andere oplossing voor het scannen van afbeeldingen.

• Implementeer een toegewezen en privé-exemplaar van Azure Container Registry voor elk abonnement op de landingszone.

• Gebruik Private Link voor Azure Container Registry om deze te verbinden met Azure Red Hat OpenShift.

• Gebruik een bastionhost of jumpbox om veilig toegang te krijgen tot azure Red Hat OpenShift Private Cluster.

Volgende stappen

Meer informatie over overwegingen voor operationeel beheer en basislijn voor Azure Red Hat OpenShift-landingszone.