Säkerhet för Azure Red Hat OpenShift-acceleratorn för landningszoner
Säkerhet är ett viktigt problem för alla onlinesystem. Den här artikeln innehåller designöverväganden och rekommendationer för att skydda dina Azure Red Hat OpenShift-distributioner.
Tips för utformning
Azure Red Hat OpenShift fungerar med andra Azure-tjänster som Microsoft Entra ID, Azure Container Registry, Azure Storage och Azure Virtual Network. Dessa gränssnitt kräver särskild uppmärksamhet under planeringsfasen. Azure Red Hat OpenShift ger också extra komplexitet, så du bör överväga att tillämpa samma mekanismer och kontroller för säkerhetsstyrning och efterlevnad som i resten av infrastrukturlandskapet.
Här följer några designöverväganden för säkerhetsstyrning och efterlevnad:
Om du distribuerar ett Azure Red Hat OpenShift-kluster med hjälp av metodtips för Azure-landningszoner kan du bekanta dig med de principer som ärvs av klustren.
Bestäm om klustrets kontrollplan ska vara tillgängligt via Internet, vilket är standardvärdet. I så fall rekommenderas IP-begränsningar. Om klusterkontrollplanet endast kommer att vara tillgängligt från ditt privata nätverk, antingen i Azure eller lokalt, distribuerar du ett privat Azure Red Hat OpenShift-kluster.
Bestäm hur du ska styra och skydda utgående trafik från ditt Azure Red Hat OpenShift-kluster med hjälp av Azure Firewall eller annan virtuell nätverksinstallation.
Bestäm hur hemligheter ska hanteras i klustret. Du kan antingen använda Azure Key Vault Provider for Secrets Store CSI Driver för att skydda hemligheter eller ansluta Azure Red Hat OpenShift-klustret till Azure Arc-aktiverade Kubernetes och använda Azure Key Vault Secrets Provider-tillägget för att hämta hemligheter.
Bestäm om ditt containerregister är tillgängligt via Internet eller endast i ett specifikt virtuellt nätverk. Inaktivering av Internetåtkomst i ett containerregister kan ha negativa effekter på andra system som förlitar sig på offentlig anslutning, till exempel pipelines för kontinuerlig integrering eller avbildningsgenomsökning i Microsoft Defender for Containers. Mer information finns i Anslut privat till ett containerregister med hjälp av Azure Private Link.
Bestäm om ditt privata containerregister ska delas över flera landningszoner eller om du ska distribuera ett dedikerat containerregister till varje landningszonprenumeration.
Bestäm hur dina containerbasavbildningar och programkörningstid ska uppdateras under containerns livscykel. Azure Container Registry Tasks ger stöd för att automatisera arbetsflödet för korrigering av operativsystem och programramverk, upprätthålla säkra miljöer samtidigt som principerna för oföränderliga containrar följer principerna för oföränderliga containrar.
Designrekommendationer
Begränsa åtkomsten till Azure Red Hat OpenShift-klusterkonfigurationsfilen genom att integrera med Microsoft Entra-ID eller din egen identitetsprovider. Tilldela lämplig rollbaserad åtkomstkontroll i OpenShift, till exempel klusteradministratör eller klusterläsare.
Säker poddåtkomst till resurser. Ange minst antal behörigheter och undvik att använda rot- eller privilegierad eskalering.
För att hantera och skydda hemligheter, certifikat och anslutningssträng i klustret bör du ansluta Azure Red Hat OpenShift-klustret till Azure Arc-aktiverade Kubernetes och använda tillägget Azure Key Vault Secrets Provider för att hämta hemligheter.
För Azure Red Hat OpenShift 4-kluster krypteras inte data med mera som standard, men vi rekommenderar att du aktiverar etcd-kryptering för att tillhandahålla ytterligare ett lager av datasäkerhet.
Behåll dina kluster på den senaste OpenShift-versionen för att undvika potentiella problem med säkerhet eller uppgradering. Azure Red Hat OpenShift stöder endast den aktuella och tidigare allmänt tillgängliga mindre versionen av Red Hat OpenShift Container Platform. Uppgradera klustret om det finns på en version som är äldre än den senaste delversionen.
Övervaka och framtvinga konfiguration med hjälp av Azure Policy Extension.
Anslut Azure Red Hat OpenShift-kluster till Azure Arc-aktiverade Kubernetes.
Använd Microsoft Defender för containrar som stöds via Arc-aktiverade Kubernetes för att skydda kluster, containrar och program. Genomsök även dina bilder efter sårbarheter med Microsoft Defender eller någon annan lösning för bildgenomsökning.
Distribuera en dedikerad och privat instans av Azure Container Registry till varje landningszonprenumeration.
Använd Private Link för Azure Container Registry för att ansluta det till Azure Red Hat OpenShift.
Använd en skyddsvärd eller jumpbox för att få säker åtkomst till Azure Red Hat OpenShift Private Cluster.
Nästa steg
Lär dig mer om drifthantering och baslinjeöverväganden för Azure Red Hat OpenShift-landningszonen.