Azure Red Hat OpenShift 登陸區域加速器的安全性
安全性是所有線上系統的重要考慮。 本文提供保護及保護 Azure Red Hat OpenShift 部署的設計考慮和建議。
設計考量
Azure Red Hat OpenShift 會與其他 Azure 服務搭配使用,例如 Microsoft Entra ID、Azure Container Registry、Azure 儲存體和 Azure 虛擬網絡。 這些介面在規劃階段需要特別注意。 Azure Red Hat OpenShift 也會增加額外的複雜度,因此您應該考慮套用與基礎結構環境其餘部分相同的安全性治理和合規性機制和控制項。
以下是安全性治理和合規性的一些設計考慮:
如果您使用 Azure 登陸區域最佳做法部署 Azure Red Hat OpenShift 叢集,請熟悉 叢集 將繼承的原則。
決定是否應該透過網際網路存取叢集的控制平面,這是預設值。 如果是,建議使用 IP 限制。 如果叢集控制平面只能從您的私人網路記憶體取,請在 Azure 或內部部署中存取,然後部署 Azure Red Hat OpenShift 私人叢集 。
決定如何使用Azure 防火牆或其他網路虛擬裝置,控制及保護 來自 Azure Red Hat OpenShift 叢集 的輸出流量。
決定如何在叢集中管理秘密。 您可以使用 Azure 金鑰保存庫 Provider for Secrets Store CSI Driver 來保護秘密,或 將 Azure Red Hat OpenShift 叢集連線至已啟用 Azure Arc 的 Kubernetes ,並使用 Azure 金鑰保存庫 Secrets Provider 擴充功能來擷取秘密 。
決定您的容器登錄是可透過網際網路存取,還是只能在特定虛擬網路記憶體取。 停用容器登錄中的網際網路存取可能會對依賴公用連線的其他系統產生負面影響,例如持續整合管線或適用于容器的 Microsoft Defender 映射掃描。 如需詳細資訊,請參閱 使用 Azure Private Link 私下連線容器登錄。
決定您的私人容器登錄是否會跨多個登陸區域共用,或您是否要將專用容器登錄部署到每個登陸區域訂用帳戶。
決定容器基底映射和應用程式執行時間在容器生命週期中的更新方式。 Azure Container Registry 工作 可支援將作業系統和應用程式架構修補工作流程自動化,同時維護安全的環境,同時遵守不可變容器的原則。
設計建議
藉由與 Microsoft Entra ID 或您自己的 識別提供者 整合,限制對 Azure Red Hat OpenShift 叢集設定檔 的存取 。 指派適當的 OpenShift 角色型存取控制 ,例如叢集管理員或叢集讀取器。
保護對資源的 Pod 存取。 提供最少的許可權數目,並避免使用根或特殊許可權提升。
若要管理及保護叢集中的秘密、憑證和連接字串,您應該 將 Azure Red Hat OpenShift 叢集連線至已啟用 Azure Arc 的 Kubernetes ,並使用 Azure 金鑰保存庫 秘密提供者延伸模組 來擷取秘密。
針對 Azure Red Hat OpenShift 4 叢集, etcd 資料預設不會加密,但建議 啟用 etcd 加密 以提供另一層資料安全性。
將您的叢集保持在最新的 OpenShift 版本,以避免潛在的安全性或升級問題。 Azure Red Hat OpenShift 僅支援 Red Hat OpenShift 容器平臺目前和先前正式發行的次要版本 。 如果叢集位於比上次次要版本還舊的版本,請升級叢集 。
使用 Azure 原則 擴充功能 來 監視並強制執行組態。
連線 已啟用 Azure Arc 的 Kubernetes 的 Azure Red Hat OpenShift 叢集。
使用 已啟用 Arc 的 Kubernetes 支援的適用于容器 的 Microsoft Defender 來保護叢集、容器和應用程式的安全。 此外,使用 Microsoft Defender 或任何其他映射掃描解決方案掃描您的映射是否有弱點。
將 Azure Container Registry 的 專用和私人實例部署到每個登陸區域訂用帳戶。
使用 Private Link for Azure Container Registry 將它連線到 Azure Red Hat OpenShift。
使用防禦主機 或 jumpbox 安全地存取 Azure Red Hat OpenShift 私人叢集。
下一步
瞭解 Azure Red Hat OpenShift 登陸區域的 作業管理和基準考慮。