Compartilhar via


Segurança para o acelerador de zona de aterrissagem do Azure Red Hat OpenShift

A segurança é uma preocupação crítica para todos os sistemas online. Este artigo fornece considerações de design e recomendações para proteger e proteger suas implantações do Azure Red Hat OpenShift.

Considerações sobre o design

O Azure Red Hat OpenShift funciona com outros serviços do Azure, como o Microsoft Entra ID, o Registro de Contêiner do Azure, o Armazenamento do Azure e a Rede Virtual do Azure. Essas interfaces requerem atenção especial durante a fase de planejamento. O Azure Red Hat OpenShift também adiciona complexidade extra, portanto, você deve considerar a aplicação dos mesmos mecanismos e controles de governança e conformidade de segurança que no restante do cenário de infraestrutura.

Aqui estão algumas considerações de design para controle de segurança e conformidade:

  • Se você implantar um cluster do Azure Red Hat OpenShift usando as práticas recomendadas da zona de aterrissagem do Azure, familiarize-se com as políticas que serão herdadas pelos clusters.

  • Decida se o plano de controle do cluster deve ser acessível pela Internet, que é o padrão. Em caso afirmativo, restrições de IP são recomendadas. Se o plano de controle de cluster estiver acessível somente de dentro de sua rede privada, no Azure ou local, implante o cluster privado do Azure Red Hat OpenShift.

  • Decida como controlar e proteger o tráfego de saída do cluster do Azure Red Hat OpenShift usando o Firewall do Azure ou outro dispositivo virtual de rede.

  • Decida como os segredos serão gerenciados em seu cluster. Você pode usar o Provedor do Cofre de Chaves do Azure para o Driver CSI do Repositório de Segredos para proteger segredos ou conectar o cluster do Azure Red Hat OpenShift ao Kubernetes habilitado para o Azure Arc e usar a extensão do Provedor de Segredos do Cofre de Chaves do Azure para buscar segredos.

  • Decida se o registro de contêiner pode ser acessado pela Internet ou somente dentro de uma rede virtual específica. Desabilitar o acesso à Internet em um registro de contêiner pode ter efeitos negativos em outros sistemas que dependem de conectividade pública, como pipelines de integração contínua ou varredura de imagens do Microsoft Defender for Containers. Para saber mais, confira Conectar-se de maneira privada a um registro de contêiner usando o Link Privado do Azure.

  • Decida se o registro de contêiner privado será compartilhado entre várias zonas de destino ou se você implantará um registro de contêiner dedicado em cada assinatura de zona de destino.

  • Decida como as imagens base do contêiner e o tempo de execução do aplicativo serão atualizados ao longo do ciclo de vida do contêiner. As Tarefas do Registro de Contêiner do Azure fornecem suporte para automatizar o fluxo de trabalho de aplicação de patches do sistema operacional e da estrutura de aplicativos, mantendo ambientes seguros e, ao mesmo tempo, aderindo aos princípios de contêineres imutáveis.

Recomendações sobre design

Próximas etapas

Saiba mais sobre o gerenciamento de operações e as considerações de linha de base para a zona de aterrissagem do Azure Red Hat OpenShift.