Поделиться через

Azure CycleCloud — рекомендации по обеспечению безопасности

  • Статья

В этой статье рассматриваются рекомендации и полезные советы по более безопасному и эффективному использованию Azure CycleCloud. Вы можете использовать приведенные здесь рекомендации в качестве краткого справочника при использовании Azure CycleCloud.

Установка

Установка CycleCloud по умолчанию использует незашифрованный ПРОТОКОЛ HTTP, работающий через порт 8080. Настоятельно рекомендуется настроить SSL для всех установок, чтобы предотвратить незашифрованный доступ к установке CycleCloud. CycleCloud не должен быть доступен из Интернета, но при необходимости должен быть доступен только порт 443. Если вы хотите ограничить прямой доступ к Интернету, настройте использование прокси-сервера для всего трафика HTTP и (или) HTTPS, связанного с Интернетом. Чтобы отключить незашифрованную связь и доступ по протоколу HTTP к CycleCloud, ознакомьтесь с конфигурацией SSL.

Если вы также хотите ограничить исходящий доступ к Интернету, можно настроить CycleCloud для использования прокси-сервера для всего трафика HTTP или HTTPS, связанного с Интернетом. Дополнительные сведения см. в статье Работа в заблокированной среде .

Аутентификация и авторизация

Azure CycleCloud предлагает четыре метода проверки подлинности: встроенную базу данных с шифрованием, Active Directory, LDAP или Entra ID. Любая учетная запись с пятью сбоями авторизации в течение 60 секунд будет автоматически заблокирована на пять минут. Учетные записи могут быть разблокированы вручную администратором и автоматически разблокированы через пять минут.

CycleCloud следует установить на диске с доступом только к группе администраторов. Это не позволит пользователям без прав администратора получить доступ к незашифрованным данным. Пользователи, не являющиеся администраторами, не должны включаться в эту группу. В идеале доступ к установке CycleCloud должен быть ограничен только администраторами.

Не следует совместно использовать установку CycleCloud через границы доверия. Элементов управления RBAC в одной установке CycleCloud может быть недостаточно в реальной мультитенантной среде. Используйте отдельные и изолированные установки CycleCloud для каждого клиента с критически важными данными.

Управление сетями и секретами

Виртуальная сеть, в которую запускаются кластеры, должна быть заблокирована с помощью групп безопасности сети (NSG). Доступ к определенным портам регулируется NSG. Вы можете настроить и контролировать входящий и исходящий сетевой трафик к ресурсам Azure в виртуальной сети Azure и управлять им. Группа безопасности сети содержит правила безопасности, которые разрешают или запрещают входящий или исходящий сетевой трафик из нескольких типов ресурсов Azure.

Настоятельно рекомендуется использовать по крайней мере две подсети. Один для виртуальной машины установки CycleCloud и всех других виртуальных машин с теми же политиками доступа, а также дополнительных подсетей для вычислительных кластеров. Однако имейте в виду, что для больших кластеров диапазон IP-адресов подсети может стать ограничивающим фактором. Таким образом, как правило, подсеть CycleCloud должна использовать небольшой диапазон CIDR (маршрутизация без классов Inter-Domain), а подсети вычислений должны быть большими.

CycleCloud использует Resource Manager Azure для управления кластерами. Чтобы выполнять вызовы к Azure Resource Manager для CycleCloud предоставляются определенные разрешения, настроив управляемое удостоверение на виртуальную машину CycleCloud. Рекомендуется использовать управляемое удостоверение, назначаемое системой или пользователем. Управляемое удостоверение, назначаемое системой, создает удостоверение в Azure AD, привязанное к жизненному циклу экземпляра службы. При удалении этого ресурса управляемое удостоверение автоматически удаляется. Управляемое удостоверение, назначаемое пользователем, может быть назначено одному или нескольким экземплярам службы Azure. В этом случае управляемым удостоверением отдельно управляют используемые ресурсы.

Защищенная заблокированная среда

Некоторые безопасные рабочие среды блокируют среду и имеют ограниченный доступ к Интернету. Так как Для Azure CycleCloud требуется доступ к учетным записям хранения Azure и другим поддерживаемым службам Azure, рекомендуемый способ предоставления частного доступа — через конечные точки службы виртуальная сеть или Приватный канал. Включение конечных точек службы или Приватный канал позволяет защитить ресурсы службы Azure в виртуальной сети. Конечные точки службы позволяют повысить безопасность, позволяя частным IP-адресам в виртуальная сеть получать доступ к конечным точкам службы Azure.

Приложение CycleCloud и узлы кластера могут работать в средах с ограниченным доступом к Интернету, хотя существует минимальное количество TCP-портов, которые должны оставаться открытыми. Один из способов ограничить исходящий доступ к Интернету с виртуальной машины CycleCloud без настройки Брандмауэр Azure или прокси-сервера HTTPS — настроить строгую группу безопасности сети Azure для подсети виртуальной машины CycleCloud. Самый простой способ сделать это — использовать теги службы в группе безопасности сети на уровне подсети или виртуальной машины, чтобы разрешить необходимый исходящий доступ Azure. Теги служб можно использовать вместо определенного IP-адреса при создании правил безопасности. Вы можете разрешить или запретить трафик для соответствующей службы.