Azure CycleCloud – Práticas recomendadas de segurança
Este artigo aborda as práticas recomendadas e dicas úteis para usar o Azure CycleCloud de forma mais segura e eficaz. Você pode usar as práticas recomendadas listadas aqui como uma referência rápida ao usar o Azure CycleCloud.
Instalação
A instalação padrão do CycleCloud usa HTTP não criptografado em execução na porta 8080. É altamente recomendável configurar o SSL para todas as instalações para impedir o acesso não criptografado à instalação do CycleCloud. O CycleCloud não deve ser acessível pela Internet, mas, se necessário, apenas a porta 443 deverá ser exposta. Se você quiser restringir o acesso direto à Internet, configure para usar um proxy para todo o tráfego HTTP e/ou HTTPS associado à Internet. Para desabilitar comunicações não criptografadas e acesso HTTP ao CycleCloud, consulte a configuração de SSL.
Se você também quiser restringir o acesso à Internet de saída, é possível configurar o CycleCloud para usar um proxy para todo o tráfego HTTP e/ou HTTPS associado à Internet. Consulte Operando em um ambiente bloqueado para obter detalhes.
Autenticação e autorização
O Azure CycleCloud oferece quatro métodos de autenticação: um banco de dados interno com criptografia, Active Directory, LDAP ou ID do Entra. Qualquer conta com cinco falhas de autorização dentro de 60 segundos será bloqueada automaticamente por cinco minutos. As contas podem ser desbloqueadas manualmente por um administrador e são desbloqueadas automaticamente após cinco minutos.
O CycleCloud deve ser instalado em uma unidade com acesso somente admin-group. Isso impedirá que usuários não administradores acessem dados não criptografados. Os usuários não administradores não devem ser incluídos nesse grupo. O ideal é que o acesso à instalação do CycleCloud seja limitado apenas a administradores.
Não compartilhe a instalação do CycleCloud entre limites de confiança. Os controles RBAC em uma única instalação do CycleCloud podem não ser suficientes em um ambiente multilocatário verdadeiro. Use instalações separadas e isoladas do CycleCloud para cada locatário com dados críticos.
Gerenciamento de rede e segredo
A rede virtual na qual os clusters são iniciados deve ser bloqueada com NSG ( Grupos de Segurança de Rede). O acesso a portas específicas é regido por um NSG, você tem a opção de configurar e controlar o tráfego de rede de entrada/saída de/para os recursos do Azure na rede virtual do Azure. Um Grupo de Segurança de Rede contém regras de segurança que permitem ou negam o tráfego de rede de entrada ou o tráfego de rede de saída de vários tipos de recursos do Azure.
É altamente recomendável usar pelo menos duas sub-redes. Uma para a VM de instalação do CycleCloud e outras VMs com as mesmas políticas de acesso e sub-redes adicionais para os clusters de computação. No entanto, tenha em mente que, para clusters grandes, o intervalo de IP da sub-rede pode se tornar um fator limitante. Portanto, em geral, a sub-rede CycleCloud deve usar um pequeno intervalo cidr (roteamento de Inter-Domain sem classe) e as sub-redes de computação devem ser grandes.
O CycleCloud usa o Resource Manager do Azure para gerenciar clusters. Para fazer chamadas para o Azure Resource Manager determinadas permissões são concedidas ao CycleCloud configurando a Identidade Gerenciada para a VM do CycleCloud. É recomendável usar a Identidade Gerenciada atribuída pelo sistema ou atribuída pelo usuário. Uma Identidade Gerenciada atribuída pelo sistema cria uma identidade em Azure AD que está vinculada ao ciclo de vida dessa instância de serviço. Quando esse recurso é excluído, a identidade gerenciada é excluída automaticamente. Uma Identidade Gerenciada atribuída pelo usuário pode ser atribuída a uma ou mais instâncias de um serviço do Azure. Nesse caso, a identidade gerenciada é gerenciada separadamente pelos recursos usados.
Ambiente bloqueado protegido
Alguns ambientes de produção seguros bloquearão o ambiente e terão acesso limitado à Internet. Como o Azure CycleCloud requer acesso a contas de Armazenamento do Azure e outros serviços do Azure com suporte, a maneira recomendada de fornecer acesso privado é por meio de pontos de extremidade de serviço Rede Virtual ou Link Privado. Habilitar pontos de extremidade de serviço ou Link Privado permite proteger seus recursos de serviço do Azure em sua rede virtual. Os pontos de extremidade de serviço adicionam mais segurança habilitando endereços IP privados no Rede Virtual para alcançar pontos de extremidade de um serviço do Azure.
O aplicativo CycleCloud e os nós de cluster podem operar em ambientes com acesso limitado à Internet, embora haja um número mínimo de portas TCP que devem permanecer abertas. Uma maneira de limitar o acesso à Internet de saída da VM do CycleCloud sem configurar o Firewall do Azure ou um proxy HTTPS é configurar um grupo estrito de segurança de rede do Azure para a sub-rede da máquina virtual CycleCloud. A maneira mais simples de fazer isso é usar marcas de serviço na sub-rede ou no grupo de segurança de rede no nível da VM para permitir o acesso necessário ao Azure de saída. As marcas de serviço podem ser usadas no lugar de um endereço IP específico quando você cria regras de segurança, você pode permitir ou negar o tráfego para o serviço correspondente.