Безопасность акселератора целевой зоны Azure Red Hat OpenShift

Безопасность является критически важной проблемой для всех сетевых систем. В этой статье приведены рекомендации и рекомендации по защите и защите развертываний Azure Red Hat OpenShift.

Рекомендации по проектированию

Azure Red Hat OpenShift работает с другими службами Azure, такими как Идентификатор Microsoft Entra, Реестр контейнеров Azure, служба хранилища Azure и Azure виртуальная сеть. Эти интерфейсы требуют особого внимания на этапе планирования. Azure Red Hat OpenShift также добавляет дополнительную сложность, поэтому следует рассмотреть возможность применения одних и того же механизма управления безопасностью и соответствия требованиям, что и в остальной части инфраструктуры.

Ниже приведены некоторые рекомендации по управлению безопасностью и соответствию требованиям.

• При развертывании кластера Azure Red Hat OpenShift с помощью рекомендаций целевой зоны Azure ознакомьтесь с политиками, наследуемыми кластерами.

• Определите, должен ли уровень управления кластера быть доступен через Интернет, который является значением по умолчанию. В этом случае рекомендуется использовать ограничения IP-адресов. Если плоскость управления кластером будет доступна только из частной сети в Azure или локальной среде, а затем разверните частный кластер Azure Red Hat OpenShift.

• Решите, как контролировать и защищать исходящий трафик из кластера Azure Red Hat OpenShift с помощью Брандмауэр Azure или других виртуальных сетевых (модуль).

• Определите способ управления секретами в кластере. Вы можете использовать поставщик Azure Key Vault для драйвера CSI хранилища секретов для защиты секретов или подключить кластер Azure Red Hat OpenShift к Kubernetes с поддержкой Azure Arc и использовать расширение поставщика секретов Azure Key Vault для получения секретов.

• Решите, доступен ли реестр контейнеров через Интернет или только в определенной виртуальной сети. Отключение доступа к Интернету в реестре контейнеров может негативно повлиять на другие системы, использующие общедоступное подключение, такие как конвейеры непрерывной интеграции или сканирование образов Microsoft Defender для контейнеров. Дополнительные сведения см. в статье Частное подключение к реестру контейнеров Azure с помощью Приватного канала Azure.

• Определите, будет ли закрытый реестр контейнеров совместно использоваться в нескольких целевых зонах или вы развернете выделенный реестр контейнеров для каждой подписки целевой зоны.

• Определите, как будут обновлены базовые образы контейнера и время выполнения приложения в течение жизненного цикла контейнера. Реестр контейнеров Azure Задачи обеспечивают поддержку автоматизации рабочего процесса исправления ОС и платформы приложений, поддерживая безопасные среды при соблюдении принципов неизменяемых контейнеров.

Рекомендации по проектированию

• Ограничить доступ к файлу конфигурации кластера Azure Red Hat OpenShift путем интеграции с идентификатором Microsoft Entra или собственным поставщиком удостоверений. Назначьте соответствующий контроль доступа на основе ролей OpenShift, например администратор кластера или читатель кластера.

• Защита доступа групп pod к ресурсам. Укажите наименьшее количество разрешений и избегайте использования корневого доступа или повышения привилегий.

• Чтобы управлять секретами, сертификатами и строка подключения в кластере, необходимо подключить кластер Azure Red Hat OpenShift к Kubernetes с поддержкой Azure Arc и использовать расширение поставщика секретов Azure Key Vault для получения секретов.

• Для кластеров Azure Red Hat OpenShift 4 и т . д. данные не шифруются по умолчанию, но рекомендуется включить шифрование etcd, чтобы обеспечить другой уровень безопасности данных.

• Сохраняйте кластеры в последней версии OpenShift, чтобы избежать потенциальных проблем с безопасностью или обновлением. Azure Red Hat OpenShift поддерживает только текущий и предыдущий общедоступный дополнительный выпуск платформы контейнеров Red Hat OpenShift. Обновите кластер , если он находится в версии, которая старше последнего дополнительного выпуска.

• Мониторинг и применение конфигурации с помощью расширения Политика Azure.

• Подключение кластеры Azure Red Hat OpenShift в Kubernetes с поддержкой Azure Arc.

• Использование Microsoft Defender для контейнеров, поддерживаемых с помощью Kubernetes с поддержкой Arc, для защиты кластеров, контейнеров и приложений. Кроме того, сканируйте образы на наличие уязвимостей с помощью Microsoft Defender или любого другого решения для сканирования изображений.

• Разверните выделенный и частный экземпляр Реестра контейнеров Azure для каждой подписки целевой зоны.

• Используйте Приватный канал для подключения Реестр контейнеров Azure к Azure Red Hat OpenShift.

• Используйте узел бастиона или прыжок для безопасного доступа к частному кластеру Azure Red Hat OpenShift.

Следующие шаги

Сведения об управлении операциями и базовых показателях для целевой зоны Azure Red Hat OpenShift.