Zabezpečení akcelerátoru cílových zón Azure Red Hat OpenShift

Zabezpečení je zásadním zájmem pro všechny online systémy. Tento článek obsahuje aspekty návrhu a doporučení k ochraně a zabezpečení nasazení Azure Red Hat OpenShift.

Aspekty návrhu

Azure Red Hat OpenShift spolupracuje s dalšími službami Azure, jako je Microsoft Entra ID, Azure Container Registry, Azure Storage a Azure Virtual Network. Tato rozhraní vyžadují během fáze plánování zvláštní pozornost. Azure Red Hat OpenShift také zvyšuje složitost, takže byste měli zvážit použití stejných mechanismů a mechanismů zásad správného řízení zabezpečení a dodržování předpisů jako ve zbytku infrastruktury.

Tady je několik aspektů návrhu zásad správného řízení zabezpečení a dodržování předpisů:

• Pokud nasadíte cluster Azure Red Hat OpenShift s využitím osvědčených postupů cílové zóny Azure, seznamte se se zásadami, které budou clustery dědit.

• Rozhodněte se, jestli má být řídicí rovina clusteru přístupná přes internet, což je výchozí nastavení. Pokud ano, doporučujeme omezení IP adres. Pokud bude řídicí rovina clusteru přístupná jenom z vaší privátní sítě, a to buď v Azure, nebo v místním prostředí, a pak nasadíte privátní cluster Azure Red Hat OpenShift.

• Rozhodněte se, jak řídit a zabezpečit odchozí provoz z clusteru Azure Red Hat OpenShift pomocí služby Azure Firewall nebo jiného síťového virtuálního zařízení.

• Rozhodněte se, jak se budou tajné kódy spravovat ve vašem clusteru. K ochraně tajných kódů můžete použít zprostředkovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů, nebo připojit cluster Azure Red Hat OpenShift k Kubernetes s podporou Služby Azure Arc a použít rozšíření zprostředkovatele tajných kódů služby Azure Key Vault k načtení tajných kódů.

• Rozhodněte se, jestli je váš registr kontejneru přístupný přes internet, nebo jenom v rámci konkrétní virtuální sítě. Zakázání přístupu k internetu v registru kontejnerů může mít negativní vliv na jiné systémy, které spoléhají na veřejné připojení, jako jsou kanály kontinuální integrace nebo prohledávání imagí v programu Microsoft Defender for Containers. Další informace najdete v tématu Připojení soukromě do registru kontejneru pomocí služby Azure Private Link.

• Rozhodněte se, jestli se váš privátní registr kontejneru bude sdílet napříč několika cílovými zónami, nebo jestli do každého předplatného cílové zóny nasadíte vyhrazený registr kontejneru.

• Rozhodněte se, jak se během životního cyklu kontejneru aktualizují základní image kontejneru a doba běhu aplikace. Úlohy služby Azure Container Registry poskytují podporu pro automatizaci pracovního postupu oprav operačního systému a architektury aplikací a udržování zabezpečených prostředí při zachování principů neměnných kontejnerů.

Doporučení k návrhu

• Omezte přístup ke konfiguračnímu souboru clusteru Azure Red Hat OpenShift integrací s ID Microsoft Entra nebo vaším vlastním zprostředkovatelem identity. Přiřaďte odpovídající řízení přístupu na základě role OpenShiftu, jako je správce clusteru nebo čtenář clusteru.

• Zabezpečte přístup podů k prostředkům. Zadejte nejmenší počet oprávnění a vyhněte se použití kořenového nebo privilegovaného eskalace.

• Pokud chcete spravovat a chránit tajné kódy, certifikáty a připojovací řetězec ve vašem clusteru, měli byste připojit cluster Azure Red Hat OpenShift k Kubernetes s podporou Azure Arc a použít rozšíření Poskytovatele tajných kódů služby Azure Key Vault k načtení tajných kódů.

• V případě clusterů Azure Red Hat OpenShift 4 se ve výchozím nastavení data nešifrují, ale doporučuje se povolit šifrování atd. , aby poskytovalo další vrstvu zabezpečení dat.

• Udržujte clustery v nejnovější verzi OpenShiftu, abyste se vyhnuli potenciálním problémům se zabezpečením nebo upgradem. Azure Red Hat OpenShift podporuje pouze aktuální a dříve obecně dostupnou dílčí verzi platformy Red Hat OpenShift Container Platform. Upgradujte cluster , pokud je ve starší verzi, než je poslední podverze.

• Monitorování a vynucování konfigurace pomocí rozšíření Azure Policy

• Připojení clustery Azure Red Hat OpenShift do Kubernetes s podporou Azure Arc.

• K zabezpečení clusterů, kontejnerů a aplikací s podporou Arc můžete použít Microsoft Defender for Containers, které podporuje Kubernetes s podporou Arc. Zkontrolujte také ohrožení zabezpečení obrázků pomocí programu Microsoft Defender nebo jakéhokoli jiného řešení pro kontrolu obrázků.

• Nasaďte vyhrazenou a privátní instanci služby Azure Container Registry do každého předplatného cílové zóny.

• Pomocí služby Private Link pro Azure Container Registry ho připojte k Azure Red Hat OpenShiftu.

• K bezpečnému přístupu k privátnímu clusteru Azure Red Hat OpenShift použijte hostitele bastionu nebo jumpbox.

Další kroky

Přečtěte si informace o správě operací a základních aspektech pro cílovou zónu Azure Red Hat OpenShift.