Segurança para o acelerador de zona de aterrissagem do Azure Red Hat OpenShift
A segurança é uma preocupação crítica para todos os sistemas online. Este artigo fornece considerações de design e recomendações para proteger e proteger suas implantações do Azure Red Hat OpenShift.
Considerações de design
O Azure Red Hat OpenShift funciona com outros serviços do Azure, como o Microsoft Entra ID, o Azure Container Registry, o Armazenamento do Azure e a Rede Virtual do Azure. Estas interfaces requerem uma atenção especial durante a fase de planeamento. O Azure Red Hat OpenShift também adiciona complexidade extra, portanto, você deve considerar a aplicação dos mesmos mecanismos e controles de governança e conformidade de segurança que no restante do seu cenário de infraestrutura.
Aqui estão algumas considerações de design para governança e conformidade de segurança:
Se você implantar um cluster do Azure Red Hat OpenShift usando as práticas recomendadas da zona de aterrissagem do Azure, familiarize-se com as políticas que serão herdadas pelos clusters.
Decida se o plano de controle do cluster deve ser acessível pela Internet, que é o padrão. Em caso afirmativo, recomendam-se restrições de IP. Se o plano de controle de cluster for acessível somente de dentro de sua rede privada, no Azure ou localmente, implante o cluster privado do Azure Red Hat OpenShift.
Decida como controlar e proteger o tráfego de saída do seu cluster do Azure Red Hat OpenShift usando o Firewall do Azure ou outro dispositivo virtual de rede.
Decida como os segredos serão gerenciados em seu cluster. Você pode usar o Azure Key Vault Provider for Secrets Store CSI Driver para proteger segredos ou conectar o cluster do Azure Red Hat OpenShift ao Kubernetes habilitado para Azure Arc e usar a extensão Azure Key Vault Secrets Provider para buscar segredos.
Decida se o seu registo de contentores está acessível através da Internet ou apenas numa rede virtual específica. A desativação do acesso à Internet em um registro de contêiner pode ter efeitos negativos em outros sistemas que dependem de conectividade pública, como pipelines de integração contínua ou verificação de imagens do Microsoft Defender for Containers. Para obter mais informações, consulte Conectar-se de forma privada a um registro de contêiner usando o Azure Private Link.
Decida se seu registro de contêiner privado será compartilhado em várias zonas de destino ou se você implantará um registro de contêiner dedicado para cada assinatura de zona de destino.
Decida como as imagens de base do contêiner e o tempo de execução do aplicativo serão atualizados ao longo do ciclo de vida do contêiner. As Tarefas do Registro de Contêiner do Azure fornecem suporte para automatizar seu fluxo de trabalho de aplicação de patches do sistema operacional e da estrutura do aplicativo, mantendo ambientes seguros enquanto adere aos princípios de contêineres imutáveis.
Recomendações de design
Limite o acesso ao arquivo de configuração de cluster do Azure Red Hat OpenShift integrando-se ao Microsoft Entra ID ou ao seu próprio provedor de identidade. Atribua o controle de acesso baseado em função OpenShift apropriado, como cluster-admin ou cluster-reader.
Acesso seguro do pod aos recursos. Forneça o menor número de permissões e evite o uso de escalonamento raiz ou privilegiado.
Para gerenciar e proteger segredos, certificados e cadeias de conexão em seu cluster, você deve conectar o cluster do Azure Red Hat OpenShift ao Kubernetes habilitado para Azure Arc e usar a extensão Azure Key Vault Secrets Provider para buscar segredos.
Para clusters do Azure Red Hat OpenShift 4, os dados etcd não são criptografados por padrão, mas é recomendável habilitar a criptografia etcd para fornecer outra camada de segurança de dados.
Mantenha seus clusters na versão mais recente do OpenShift para evitar possíveis problemas de segurança ou atualização. O Azure Red Hat OpenShift suporta apenas a versão secundária atual e anterior do Red Hat OpenShift Container Platform. Atualize o cluster se ele estiver em uma versão mais antiga do que a última versão secundária.
Monitore e imponha a configuração usando a Extensão de Política do Azure.
Conecte clusters do Azure Red Hat OpenShift ao Kubernetes habilitado para Azure Arc.
Use o Microsoft Defender for Containers suportado via Kubernetes habilitado para Arc para proteger clusters, contêineres e aplicativos. Analise também as suas imagens em busca de vulnerabilidades com o Microsoft Defender ou qualquer outra solução de análise de imagens.
Implante uma instância dedicada e privada do Registro de Contêiner do Azure em cada assinatura de zona de aterrissagem.
Use o Private Link for Azure Container Registry para conectá-lo ao Azure Red Hat OpenShift.
Use um host bastião, ou jumpbox, para acessar com segurança o Azure Red Hat OpenShift Private Cluster.
Próximos passos
Saiba mais sobre o gerenciamento de operações e as considerações de linha de base para a zona de aterrissagem do Azure Red Hat OpenShift.