Compartilhar via

Considerações sobre gerenciamento de identidade e acesso para o Red Hat Enterprise Linux no Azure

  • Artigo

Este artigo descreve as considerações do IAM (gerenciamento de identidade e acesso) para a implantação do acelerador de zona de destino do RHEL (Red Hat Enterprise Linux) no Azure. O IAM é uma parte fundamental das configurações de segurança da sua organização. O sistema operacional RHEL e os aplicativos executados nele precisam consumir identidades externas para dimensionar as operações. Projete cuidadosamente sua implementação de IAM de nuvem híbrida para garantir a integração e o gerenciamento tranquilos de seu cenário de instâncias na nuvem do Azure. A Red Hat e a Microsoft trabalham juntas para garantir a integração nativa entre o RHEL, o Windows Server Active Directory e o Microsoft Entra Privileged Identity Management (PIM).

Considerações sobre o design

Implemente essas considerações e recomendações de design para criar um plano do IAM que atenda aos requisitos da sua organização para a implantação do RHEL do Azure.

Em geral, uma implantação do RHEL em um ambiente de nuvem híbrida deve:

  • Use uma autoridade de identidade Linux centralizada que se integre ao subsistema de segurança do sistema operacional sempre que possível para aumentar a eficiência operacional e a visibilidade do controle de acesso. Use uma autoridade de identidade centralizada do Linux para que você possa:
    • Gerencie a autorização específica do host para o sistema operacional Linux.
    • Obtenha consistência em implantações híbridas.
    • Delegue a autenticação a fontes externas.
    • Simplifique o processo de revisão do controle de acesso.
    • Garanta a uniformidade.
    • Acelere o processo de implementação.
    • Aprimore a estrutura de segurança de uma infraestrutura Linux de nuvem híbrida.
  • Aplique políticas uniformemente a várias instâncias simultaneamente. Use essa abordagem para que você não precise usar a automação para modificar cada instância na infraestrutura quando ocorrer uma alteração.
  • Ofereça suporte ao controle de acesso centralizado, seguro e diferenciado no nível da instância usando controle de acesso baseado em host, delegação e outras regras.
  • Gerencie centralmente as regras de escalonamento de privilégios no nível do sistema em toda a autoridade de identidade. Aplique essa política de forma consistente em instâncias individuais e grupos de instâncias no ambiente.
  • Ofereça suporte ou forneça recursos modernos de ferramentas de automação para testar e implementar consistentemente configurações de segurança em frotas de sistemas. Você deve projetar a automação de segurança em uma implantação de nuvem híbrida desde o início.
  • Ofereça suporte à integração de recursos de logon único (SSO) corporativo herdado para aliviar a carga de migração, manter a consistência das operações de segurança e oferecer suporte a integrações modernas para implantações baseadas em nuvem.

Implementar autenticação

As implantações do Linux tendem a implementar ambientes de autenticação de usuário local no nível do sistema operacional. A autenticação e a autorização no nível do sistema, a propriedade do objeto, as permissões do objeto e as integrações de aplicativos são baseadas nesse modelo. Os aplicativos do sistema operacional usam essas identidades de várias maneiras. Por exemplo:

  • Os processos do aplicativo são executados em algumas identidades de usuário.
  • Os processos do aplicativo criam ou acessam arquivos atribuídos a usuários e grupos específicos.
  • Um conjunto de grupos aos quais um usuário pertence é corrigido quando ele entra. As alterações de associação são aplicadas apenas a novas sessões.
  • O fluxo de autenticação e autorização de um usuário está diretamente vinculado à sessão de entrada ativa como resultado da autenticação.

Anteriormente, as sessões de shell iniciadas pelo usuário baseadas nessas identidades eram o principal meio de interação com aplicativos no Linux. Com a mudança para interfaces de usuário orientadas para a Web, móveis e nuvem, os aplicativos que usam esse padrão de consumo de identidade são menos comuns.

Hoje, essas identidades normalmente são um mecanismo de suporte quando você executa aplicativos ou serviços isolados em um sistema operacional. As identidades no nível do aplicativo não precisam necessariamente ser as mesmas que os usuários no nível do sistema. Mas a identidade no nível do sistema ainda é fundamental para executar e proteger com eficiência uma infraestrutura Linux que é executada em escala em um ambiente de nuvem.

Para pequenas implantações na nuvem ou implantações piloto, essas metodologias tradicionais de IAM fornecem uma maneira direta de começar. À medida que um ambiente é dimensionado, esses mecanismos são mais difíceis de gerenciar, mesmo se você usar a automação. À medida que o número de pontos de contato aumenta, o volume de dados de configuração, dados de registro, dados de desvio e análise necessária também aumenta. Para gerenciar essa complexidade, você pode centralizar o IAM.

Você pode usar várias ferramentas que fornecem segurança centralizada em um ambiente Linux. Certifique-se de que a ferramenta atenda aos seus requisitos técnicos e de negócios. O RHEL tem uma ampla lista de compatibilidade de software para segurança. Você pode integrar a segurança no nível do aplicativo usando a ID nativa do Microsoft Entra do Azure, soluções comerciais de software livre, como Okta, SailPoint ou JumpCloud, ou soluções de projeto de software livre, como o Keycloak. Existem também várias soluções de segurança no nível do sistema operacional. Você pode implantar várias soluções comerciais e projetos de software de código aberto na nuvem.

Recomendações de design para o Red Hat Identity Management

Esta seção descreve as recomendações de design para o IAM nas zonas de destino do Azure para RHEL quando você usa o Red Hat Identity Management (IdM) e o Red Hat SSO. Esses serviços se alinham ao Cloud Adoption Framework para Azure e ao Red Hat Infrastructure Standard Adoption Model. As recomendações estendem os princípios que você usa para implementar uma implantação de nuvem híbrida.

O Red Hat IdM fornece uma maneira centralizada de gerenciar armazenamentos de identidade, autenticação, políticas e autorização em um domínio baseado em Linux. O Red Hat IdM se integra nativamente ao Windows Server Active Directory e ao Microsoft Entra ID e está incluído no RHEL. Se você estender seu Active Directory local para o Azure, poderá se beneficiar do recurso de confiança do Active Directory do Windows Server nativo do Red Hat IdM. Da mesma forma, se você adotar a ID do Microsoft Entra ou usar um provedor de identidade alternativo, poderá usar o Red Hat IdM e o Red Hat SSO para integração perfeita. O Red Hat SSO é uma implementação corporativa suportada do projeto de código aberto Keycloak. Ele é fornecido sem custo adicional com várias subscrições da Red Hat, incluindo o Red Hat Ansible Automation Platform. A Red Hat recomenda que você implemente o Red Hat IdM em sua implantação do RHEL no Azure. O diagrama a seguir mostra uma implantação de assinatura de gerenciamento do RHEL.

Diagrama que mostra uma representação de alto nível de uma implantação de assinatura de gerenciamento do RHEL.

Os componentes do IAM para sua implantação do Red Hat no Azure usam o modelo de dimensionamento de assinatura para fornecer controle e isolamento extras às ferramentas de gerenciamento. Os sistemas primários e sistemas de réplica do Red Hat IdM e as instâncias de SSO do Red Hat residem em uma subscrição do Red Hat Management com outras ferramentas. A assinatura fornece grupos de recursos que você pode usar em toda a implementação para fornecer serviços localizados e alta disponibilidade.

O diagrama a seguir mostra uma arquitetura de implantação zonal do Red Hat IdM.

Diagrama que mostra a arquitetura de implantação zonal do Red Hat IdM.

O diagrama a seguir mostra uma implantação de alta disponibilidade do Red Hat IdM entre regiões e zonas de disponibilidade.

Diagrama que mostra a arquitetura de implantação multirregional do Red Hat IdM.

Essa arquitetura tem servidores IdM em cada região que se replicam entre si e para uma réplica oculta. Há pelo menos dois links de replicação entre regiões. As réplicas ocultas servem como pontos de backup porque você pode colocá-las offline como backups completos sem afetar a disponibilidade.

Os clientes IdM podem balancear a carga e fazer failover entre servidores IdM com base na descoberta de registros de serviço ou por meio de uma lista de servidores no arquivo sssd.conf . Não use balanceamento de carga externo ou configurações de alta disponibilidade com o IdM.

Considere as seguintes recomendações críticas de design para a implantação do Red Hat IdM.

  • Implemente a automação de infraestrutura como código (IaC) para implantação, configuração e operações de dia 2 do Red Hat IdM. Para automatizar o Red Hat IdM, você pode usar o redhat.rhel_idm de coleta certificado do Ansible por meio do Ansible Automation Hub. Para automatizar o Red Hat SSO, você pode usar a coleção Ansible certificada redhat.sso.

  • Implemente o suporte à identidade corporativa e do aplicativo. Entenda quais serviços são expostos por instâncias e quais serviços exigem autenticação no nível do sistema operacional e no nível do aplicativo. Use o Red Hat IdM para implementar a segurança da camada do sistema operacional, regras de controle de acesso baseadas em host e regras de gerenciamento de escalonamento de privilégios, como sudo. Você também pode usar o Red Hat IdM para mapear políticas do SELinux e mapear identidades para sistemas legados. Use o Red Hat SSO para integrar fontes de autenticação corporativa a aplicações baseadas na web.

  • Use o gerenciamento centralizado de identidades para resposta a ameaças. Você pode invalidar ou alternar instantaneamente credenciais comprometidas em implantações em escala de nuvem.

  • Determine o caminho de integração inicial para provedores de identidade nativos do Azure, como Windows Server Active Directory e ID do Microsoft Entra. O Red Hat IdM oferece suporte a várias opções de integração. Você pode adicionar e remover integrações no IdM, mas deve avaliar os requisitos existentes, os efeitos da migração e o custo da mudança ao longo do tempo.

  • Configure implantações primárias e implantações de réplica do Red Hat IdM para reduzir as latências e garantir que não haja um único ponto de falha na replicação. As implantações geográficas de instâncias do RHEL afetam sua infraestrutura do Red Hat IdM. Você pode usar o Red Hat IdM para implantar várias réplicas do Red Hat IdM, o que fornece melhor desempenho, balanceamento de carga, failover e alta disponibilidade. As implantações podem consistir em até 60 réplicas. As implantações de réplica devem garantir que os sistemas abranjam domínios de falha. Gerencie as atualizações de réplica do Red Hat IdM por meio da automação para garantir a consistência da replicação. Use topologias de replicação recomendadas pela Red Hat.

  • Certifique-se de definir corretamente a configuração de confiança do Windows Server Active Directory e a configuração do DNS (Sistema de Nomes de Domínio). Quando você configura o Red Hat IdM e o Windows Server Active Directory, os servidores locais do Active Directory e os servidores Red Hat IdM precisam residir em seus próprios domínios ou subdomínios DNS. Esse requisito ocorre devido aos registros de serviço Kerberos e à descoberta de serviço Kerberos. O Cloud Adoption Framework recomenda a resolução DNS de IP privado para instâncias baseadas no Azure.

  • Configure o Red Hat Satellite para integração com o Red Hat IdM para automatizar tarefas de gerenciamento, como zonas DNS diretas e reversas, registro de host e geração e registro de chaves Secure Shell (SSH) no Red Hat IdM. O Red Hat IdM fornece um serviço de DNS integrado. Combine essa integração com a confiança do Windows Server Active Directory para que os usuários do Windows Server Active Directory possam entrar diretamente em sistemas e serviços RHEL via SSO.

  • Faça backup dos recursos do Red Hat IdM. Normalmente, você implanta o Red Hat IdM em uma configuração de réplica multiprincipal autogerenciada, mas também deve garantir que tenha backups adequados do sistema e dos dados. Use as réplicas ocultas do Red Hat IdM para implementar backups offline completos sem interromper a disponibilidade do serviço. Use o Backup do Azure para o recurso de backup criptografado.

  • Faça com que uma autoridade de certificação (CA) externa, uma CA corporativa ou uma CA parceira assine o certificado raiz do Red Hat IdM ao implantar o RHEL com a CA integrada.

  • Integre os serviços do Red Hat Identity a outras soluções da Red Hat. O Red Hat IdM e o Red Hat SSO se integram ao Ansible Automation Platform, OpenShift Container Platform, OpenStack Platform, Satellite e ferramentas de desenvolvimento.

Use o guia Planning Identity Management para planejar sua infraestrutura e integrar serviços para sua implantação do Red Hat IdM. Consulte o guia específico para a versão do sistema operacional do RHEL na qual você planeja implantar o Red Hat IdM.

Recomendações de design para gerenciamento de identidade nativa do Azure

  • Use as máquinas virtuais RHEL do Azure com a ID do Microsoft Entra para limitar os direitos do usuário e minimizar o número de usuários que têm direitos de administrador. Limite os direitos do usuário para proteger a configuração e o acesso a segredos. Para obter mais informações, consulte Funções internas do Azure para computação.

  • Siga o princípio do privilégio mínimo e atribua as permissões mínimas que os usuários precisam para tarefas autorizadas. Dê acesso total e acesso just-in-time apenas quando necessário. Use o Microsoft Entra PIM e o IAM nas zonas de destino do Azure.

  • Use identidades gerenciadas para acessar recursos RHEL protegidos por ID do Microsoft Entra sem precisar gerenciar segredos para cargas de trabalho executadas no Azure.

  • Considere usar a ID do Microsoft Entra como uma plataforma de autenticação principal e uma autoridade de certificação para SSH em uma VM do Linux.

  • Proteja informações confidenciais, como chaves, segredos e certificados. Para obter mais informações, consulte Cloud Adoption Framework para criptografia e gerenciamento de chaves no Azure.

  • Implemente o SSO usando o Windows Server Active Directory, a ID do Microsoft Entra ou os Serviços de Federação do Active Directory (AD FS). Escolha seu serviço com base no seu tipo de acesso. Use o SSO para que os usuários possam se conectar a aplicativos RHEL sem um ID de usuário e senha depois que o provedor de identidade central os autenticar com êxito.

  • Use uma solução, como a LAPS (Solução de Senha de Administrador Local), para alternar frequentemente as senhas de administrador local. Para obter mais informações, consulte Avaliação de segurança: uso do Microsoft LAPS.

Próximas etapas