Zabezpieczenia akceleratora strefy docelowej usługi Azure Red Hat OpenShift
Bezpieczeństwo jest krytycznym problemem dla wszystkich systemów online. Ten artykuł zawiera zagadnienia dotyczące projektowania i zalecenia dotyczące ochrony i zabezpieczania wdrożeń usługi Azure Red Hat OpenShift.
Uwagi dotyczące projektowania
Usługa Azure Red Hat OpenShift współpracuje z innymi usługami platformy Azure, takimi jak Microsoft Entra ID, Azure Container Registry, Azure Storage i Azure Virtual Network. Te interfejsy wymagają szczególnej uwagi podczas fazy planowania. Usługa Azure Red Hat OpenShift również zwiększa złożoność, dlatego należy rozważyć zastosowanie tych samych mechanizmów zapewniania ładu i zgodności zabezpieczeń oraz mechanizmów kontroli, jak w pozostałej części krajobrazu infrastruktury.
Poniżej przedstawiono kilka zagadnień projektowych dotyczących ładu i zgodności zabezpieczeń:
Jeśli wdrożysz klaster usługi Azure Red Hat OpenShift przy użyciu najlepszych rozwiązań dotyczących strefy docelowej platformy Azure, zapoznaj się z zasadami, które będą dziedziczone przez klastry.
Zdecyduj, czy płaszczyzna sterowania klastra powinna być dostępna za pośrednictwem Internetu, co jest ustawieniem domyślnym. Jeśli tak, zalecane są ograniczenia adresów IP. Jeśli płaszczyzna sterowania klastra będzie dostępna tylko z poziomu sieci prywatnej, na platformie Azure lub w środowisku lokalnym, wdróż klaster prywatny usługi Azure Red Hat OpenShift.
Zdecyduj, jak kontrolować i zabezpieczać ruch wychodzący z klastra usługi Azure Red Hat OpenShift przy użyciu usługi Azure Firewall lub innego wirtualnego urządzenia sieciowego.
Zdecyduj, jak wpisy tajne będą zarządzane w klastrze. Możesz użyć dostawcy usługi Azure Key Vault dla sterownika CSI magazynu wpisów tajnych w celu ochrony wpisów tajnych lub połączyć klaster Usługi Azure Red Hat OpenShift z usługą Kubernetes z włączoną usługą Azure Arc i użyć rozszerzenia dostawcy wpisów tajnych usługi Azure Key Vault, aby pobrać wpisy tajne.
Zdecyduj, czy rejestr kontenerów jest dostępny za pośrednictwem Internetu, czy tylko w określonej sieci wirtualnej. Wyłączenie dostępu do Internetu w rejestrze kontenerów może mieć negatywny wpływ na inne systemy, które opierają się na łączności publicznej, takich jak potoki ciągłej integracji lub skanowanie obrazów usługi Microsoft Defender for Containers. Aby uzyskać więcej informacji, zobacz Połączenie prywatnie do rejestru kontenerów przy użyciu usługi Azure Private Link.
Zdecyduj, czy prywatny rejestr kontenerów będzie współużytkowany w wielu strefach docelowych, czy też wdrożysz dedykowany rejestr kontenerów w każdej subskrypcji strefy docelowej.
Zdecyduj, w jaki sposób obrazy podstawowe kontenera i czas wykonywania aplikacji zostaną zaktualizowane w całym cyklu życia kontenera. Zadania usługi Azure Container Registry zapewniają obsługę automatyzowania przepływu pracy stosowania poprawek systemu operacyjnego i struktury aplikacji, zachowując bezpieczne środowiska przy jednoczesnym przestrzeganiu zasad niezmiennych kontenerów.
Zalecenia dotyczące projektowania
Ogranicz dostęp do pliku konfiguracji klastra Usługi Azure Red Hat OpenShift przez integrację z identyfikatorem Entra firmy Microsoft lub własnym dostawcą tożsamości. Przypisz odpowiednią kontrolę dostępu opartą na rolach openShift, taką jak cluster-admin lub cluster-reader.
Zabezpieczanie dostępu zasobnika do zasobów. Podaj najmniejszą liczbę uprawnień i unikaj używania eskalacji katalogu głównego lub uprzywilejowanego.
Aby zarządzać wpisami tajnymi, certyfikatami i parametry połączenia w klastrze oraz chronić je, należy połączyć klaster Usługi Azure Red Hat OpenShift z platformą Kubernetes z włączoną usługą Azure Arc i użyć rozszerzenia dostawcy wpisów tajnych usługi Azure Key Vault w celu pobrania wpisów tajnych.
W przypadku klastrów usługi Azure Red Hat OpenShift 4 dane itp . nie są domyślnie szyfrowane, ale zaleca się włączenie szyfrowania etcd w celu zapewnienia innej warstwy zabezpieczeń danych.
Zachowaj klastry w najnowszej wersji rozwiązania OpenShift, aby uniknąć potencjalnych problemów z zabezpieczeniami lub uaktualnieniem. Usługa Azure Red Hat OpenShift obsługuje tylko bieżącą i poprzednią ogólnie dostępną wersję pomocniczą platformy Kontenera Red Hat OpenShift. Uaktualnij klaster , jeśli jest w wersji starszej niż ostatnia wersja pomocnicza.
Monitorowanie i wymuszanie konfiguracji przy użyciu rozszerzenia usługi Azure Policy.
Połączenie klastrów usługi Azure Red Hat OpenShift do platformy Kubernetes z obsługą usługi Azure Arc.
Użyj usługi Microsoft Defender for Containers obsługiwanej za pośrednictwem platformy Kubernetes z obsługą usługi Arc, aby zabezpieczyć klastry, kontenery i aplikacje. Skanuj również obrazy pod kątem luk w zabezpieczeniach za pomocą usługi Microsoft Defender lub dowolnego innego rozwiązania do skanowania obrazów.
Wdróż dedykowane i prywatne wystąpienie usługi Azure Container Registry w każdej subskrypcji strefy docelowej.
Użyj usługi Private Link dla usługi Azure Container Registry , aby połączyć ją z usługą Azure Red Hat OpenShift.
Użyj hosta bastionu lub serwera przesiadkowego, aby bezpiecznie uzyskać dostęp do klastra prywatnego usługi Azure Red Hat OpenShift.
Następne kroki
Dowiedz się więcej o zarządzaniu operacjami i zagadnieniach dotyczących punktu odniesienia dla strefy docelowej usługi Azure Red Hat OpenShift.