Azure CycleCloud – Metodtips för säkerhet
I den här artikeln beskrivs metodtips och användbara tips för att använda Azure CycleCloud på ett säkrare och effektivare sätt. Du kan använda metodtipsen som anges här som en snabbreferens när du använder Azure CycleCloud.
Installation
Standardinstallationen av CycleCloud använder icke-krypterad HTTP som körs på port 8080. Vi rekommenderar starkt att du konfigurerar SSL för alla installationer för att förhindra okrypterad åtkomst till din CycleCloud-installation. CycleCloud bör inte vara tillgängligt från Internet, men om det behövs bör endast port 443 exponeras. Om du vill begränsa direkt internetåtkomst konfigurerar du att använda en proxy för all Internetbunden HTTP- och/eller HTTPS-trafik. Om du vill inaktivera okrypterad kommunikation och HTTP-åtkomst till CycleCloud läser du SSL-konfigurationen.
Om du också vill begränsa utgående Internetåtkomst är det möjligt att konfigurera CycleCloud att använda en proxy för all Internetbunden HTTP- och/eller HTTPS-trafik. Mer information finns i Arbeta i en låst miljö .
Autentisering och auktorisering
Azure CycleCloud erbjuder fyra autentiseringsmetoder: en inbyggd databas med kryptering, Active Directory, LDAP eller Entra-ID. Alla konton med fem auktoriseringsfel inom 60 sekunder låses automatiskt i fem minuter. Konton kan låsas upp manuellt av en administratör och låsas upp automatiskt efter fem minuter.
CycleCloud bör installeras på en enhet med endast administratörsgruppåtkomst. Detta förhindrar att icke-administratörsanvändare kommer åt icke-krypterade data. Användare som inte är administratörer bör inte ingå i den här gruppen. Helst bör åtkomsten till CycleCloud-installationen begränsas till endast administratörer.
Dela inte CycleCloud-installation över förtroendegränser. RBAC-kontrollerna i en enskild CycleCloud-installation kanske inte räcker i en sann miljö med flera klientorganisationer. Använd separata och isolerade CycleCloud-installationer för varje klientorganisation med kritiska data.
Nätverks- och hemlighetshantering
Det virtuella nätverk som kluster startas i bör vara låst med Nätverkssäkerhetsgrupper (NSG). Åtkomst till specifika portar styrs av en NSG. Du har möjlighet att konfigurera och styra inkommande/utgående nätverkstrafik till/från Azure-resurser i det virtuella Azure-nätverket. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik eller utgående nätverkstrafik från flera typer av Azure-resurser.
Vi rekommenderar starkt att du använder minst två undernät. En för den virtuella datorn för CycleCloud-installation och andra virtuella datorer med samma åtkomstprinciper och ytterligare undernät för beräkningskluster. Tänk dock på att ip-intervallet för undernätet kan bli en begränsande faktor för stora kluster. Så i allmänhet bör CycleCloud-undernätet använda ett litet CIDR-intervall (klasslös Inter-Domain routning) och beräkningsundernäten bör vara stora.
CycleCloud använder Azure Resource Manager för att hantera kluster. För att göra anrop till Azure Resource Manager beviljas vissa behörigheter till CycleCloud genom att konfigurera hanterad identitet till virtuell CycleCloud-dator. Vi rekommenderar att du använder antingen Systemtilldelad eller Användartilldelad hanterad identitet.En systemtilldelad hanterad identitet skapar en identitet i Azure AD som är kopplad till livscykeln för den tjänstinstansen. När resursen tas bort tas den hanterade identiteten bort automatiskt. En användartilldelad hanterad identitet kan tilldelas till en eller flera instanser av en Azure-tjänst. I det här fallet hanteras den hanterade identiteten separat av de resurser som används.
Skyddad låst miljö
Vissa säkra produktionsmiljöer låser miljön och har begränsad internetåtkomst. Eftersom Azure CycleCloud kräver åtkomst till Azure Storage-konton och andra Azure-tjänster som stöds är det rekommenderade sättet att tillhandahålla privat åtkomst via Virtual Network tjänstslutpunkter eller Private Link. Genom att aktivera tjänstslutpunkter eller Private Link kan du skydda dina Azure-tjänstresurser i ditt virtuella nätverk. Tjänstslutpunkter ökar säkerheten genom att aktivera privata IP-adresser i Virtual Network för att nå slutpunkter för en Azure-tjänst.
CycleCloud-programmet och klusternoderna kan användas i miljöer med begränsad Internetåtkomst, även om det finns ett minimalt antal TCP-portar som måste vara öppna. Ett sätt att begränsa utgående Internetåtkomst från den virtuella CycleCloud-datorn utan att konfigurera Azure Firewall eller en HTTPS-proxy är att konfigurera en strikt Azure-nätverkssäkerhetsgrupp för den virtuella CycleCloud-datorns undernät. Det enklaste sättet att göra det är att använda tjänsttaggar i undernätet eller nätverkssäkerhetsgruppen på VM-nivå för att tillåta nödvändig utgående Azure-åtkomst. Tjänsttaggar kan användas i stället för en specifik IP-adress när du skapar säkerhetsregler. Du kan tillåta eller neka trafik för motsvarande tjänst.