Verwenden von Azure Red Hat OpenShift in der Finanzdienstleistungsbranche

Azure Red Hat OpenShift

In diesem Artikel wird beschrieben, wie Sie eine Azure Red Hat OpenShift-Zielzonenarchitektur für die Finanzdienstleistungsbranche (Financial Services Industry, FSI) implementieren. Dieser Leitfaden erklärt, wie Sie mithilfe von Azure Red Hat OpenShift in einer hybriden Cloudumgebung sichere, robuste und kompatible Lösungen für die Finanzdienstleistungsbranche erstellen.

Bevor Sie eine Produktionsumgebung mit Azure Red Hat OpenShift erstellen, lesen Sie die Azure Red Hat OpenShift-Zielzonenleitfaden im Cloud Adoption Framework für Azure.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

In diesem Szenario wird eine Anwendung verwendet, die auf einem Azure Red Hat OpenShift-Cluster ausgeführt wird. Die Anwendung stellt eine Verbindung mit lokalen Ressourcen und einem von Azure Firewall geschützten virtuellen Hubnetzwerk in Azure her. Der folgende Dataflow entspricht dem vorherigen Diagramm:

• Der Entwickler schreibt Code im Netzwerk des Unternehmens und überträgt ihn per Push an GitHub Enterprise. Sie können ein beliebiges Coderepository für Ihr Szenario verwenden.

• Die Bereitstellungspipeline des Kunden packt den Code in einem Container, der ihn in einer lokalen Containerregistrierung bereitstellt.

• Das Image kann dann in einem lokalen OpenShift-Cluster und im Azure Red Hat OpenShift-Cluster in Azure bereitgestellt werden. Das Image wird auch in Azure Red Hat OpenShift über Azure ExpressRoute bereitgestellt, das den Datenverkehr über das virtuelle Azure Hub-Netzwerk an den privaten Azure Red Hat OpenShift-Cluster im virtuellen Spoke-Netzwerk weiterleitet. Diese beiden Netzwerke sind per Peering verbunden.

• Ausgehender Datenverkehr, der aus dem Azure Red Hat OpenShift-Cluster stammt, wird zuerst über das virtuelle Peer-Hubnetzwerk und dann über eine Azure Firewall-Instanz weitergeleitet.

• Um auf die Anwendung zuzugreifen, können Kunden zu einer Webadresse wechseln, die den Datenverkehr über Azure Front Door weiterleitet.

• Azure Front Door verwendet den Azure Private Link-Dienst, um eine Verbindung mit dem privaten Azure Red Hat OpenShift-Cluster herzustellen.

Komponenten

• Azure Red Hat OpenShift bietet vollständig verwaltete, hoch verfügbare OpenShift-Cluster bei Bedarf. Diese Cluster dienen als primäre Computeplattform in dieser Architektur. Microsoft und Red Hat überwachen und betreiben diese Cluster gemeinsam.

• Die Microsoft Entra-ID, früher azure Active Directory genannt, ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, den Ihre Mitarbeiter für den Zugriff auf externe Ressourcen verwenden können. In dieser Architektur bietet Microsoft Entra ID Kunden einen sicheren, präzisen Zugriff auf externe Ressourcen.

• Sie können ExpressRoute mit einem Verbindungsanbieter verwenden, um Ihre lokalen Netzwerke über eine private Verbindung in die Microsoft-Cloud zu erweitern. Diese Architektur stellt mit ExpressRoute private Verbindungen mit hoher Bandbreite zwischen lokalen Ressourcen und Azure bereit.

• Azure Key Vault ist eine Schlüsselverwaltungslösung, die geheime Schlüssel, Schlüssel und Zertifikate speichert und verwaltet. Diese Architektur verwendet Key Vault zum sicheren Speichern geheimer Schlüssel für die Anwendungen, die im privaten Azure Red Hat OpenShift-Cluster ausgeführt werden.

• Azure Bastion ist eine vollständig verwaltete Plattform als Dienst (PaaS), die Sie bereitstellen können, um eine sichere Verbindung mit virtuellen Computern (VM) über eine private IP-Adresse herzustellen. Diese Architektur verwendet Azure Bastion, um eine Verbindung mit einer Azure-VM im privaten Netzwerk herzustellen, da in diesem Szenario ein privater Cluster implementiert wird.

• Azure Firewall ist ein cloudeigener und intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre Cloudworkloads bereitstellt, die in Azure ausgeführt werden. Diese Architektur verwendet Azure Firewall zum Überwachen und Filtern von Netzwerkdatenverkehr, der in der Azure Red Hat OpenShift-Umgebung eintrifft und der sie verlässt.

Alternativen

Sie können mit Azure Red Hat OpenShift auf das OpenShift-Ökosystem zuzugreifen. Wenn Sie OpenShift lokal ausführen, sind die meisten der enthaltenen Plattformdienste für Azure Red Hat OpenShift wirksam. Sie können diese Plattformdienste als Alternativen zu einigen der in diesem Artikel erwähnten Azure-Diensten verwenden.

Nicht-Microsoft-Alternativen sind verfügbar. Sie können beispielsweise Ihre Containerregistrierung lokal hosten oder OpenShift GitOps anstelle von GitHub-Aktionen verwenden. Sie können auch Nicht-Microsoft-Überwachungslösungen verwenden, die nahtlos mit Azure Red Hat OpenShift-Umgebungen funktionieren. Dieser Artikel konzentriert sich auf Azure-Alternativen, die Kunden häufig zum Erstellen ihrer Lösungen auf Azure Red Hat OpenShift verwenden.

Szenariodetails

Azure Red Hat OpenShift-Kunden der Finanzdienstleistungsbranche und aus anderen regulierten Branchen haben häufig strenge Anforderungen für ihre Umgebungen. Diese Architektur enthält umfassende Kriterien und Richtlinien, mit denen Finanzinstitute Lösungen entwerfen können, die ihren ganz speziellen Anforderungen entsprechen, wenn sie Azure Red Hat OpenShift in einer Hybrid-Cloudumgebung verwenden.

Dieses Szenario konzentriert sich auf Sicherheitsmaßnahmen. Sie können beispielsweise private Verbindungen aus lokalen Umgebungen aktivieren, strenge Kontrollen für die Nutzung privater Verbindungen implementieren, private Registrierungen einrichten, die Netzwerktrennung sicherstellen und robuste Verschlüsselungsprotokolle für ruhende Daten und für Daten während der Übertragung bereitstellen. Die Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM) und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) sorgen für eine sichere Benutzerverwaltung in Azure Red Hat OpenShift-Clustern.

Für mehr Resilienz können Sie Ressourcen über Verfügbarkeitszonen hinweg verteilen, um Fehlertoleranz zu erzielen. Complianceverpflichtungen umfassen Nicht-Microsoft-Risikobewertungen, die Einhaltung gesetzlicher Bestimmungen und Notfallwiederherstellungsprotokolle. Sie erhalten einen besseren Einblick, wenn Sie zur Wahrung der betrieblichen Effizienz und zur Einhaltung gesetzlicher Vorschriften Protokollierungs-, Überwachungs- und Sicherungsmechanismen hinzufügen. Die Richtlinien in diesem Artikel bieten ein umfassendes Framework zum Bereitstellen und Verwalten von Azure Red Hat OpenShift-Lösungen, die speziell auf die Bedürfnisse der Finanzdienstleistungsbranche zugeschnitten sind.

Mögliche Anwendungsfälle

Dieses Szenario ist für Kunden in regulierten Branchen am relevantesten, z. B. im Finanz- und im Gesundheitswesen. Dieses Szenario trifft auch für Kunden mit erhöhten Sicherheitsanforderungen zu, die z. B. Lösungen mit strengen Datengovernanceanforderungen benötigen.

Überlegungen

Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Well-Architected Framework.

Zuverlässigkeit

Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

Resilienz ist für Microsoft Azure Red Hat OpenShift unerlässlich, um den unterbrechungsfreien Betrieb von unternehmenskritischen Anwendungen aufrechtzuerhalten. Halten Sie sich an die folgenden Zuverlässigkeitsempfehlungen:

• Verfügbarkeitszonen: Verteilen von Steuerebenen und Arbeitsknoten über drei Verfügbarkeitszonen innerhalb einer Azure-Region. Dadurch stellen Sie sicher, dass der Steuerungsebenencluster das Quorum aufrechterhält und potenzielle Fehler in allen Verfügbarkeitszonen verringert. Implementieren Sie diese Verteilung standardmäßig.

• Bereitstellungen mit mehreren Regionen: Stellen Sie Azure Red Hat OpenShift-Cluster in mehreren Regionen bereit, um vor regionsweiten Fehlern zu schützen. Leiten Sie den Datenverkehr mit Azure Front Door zu diesen Clustern weiter, um die Resilienz zu steigern.

• Notfallwiederherstellung: Implementieren Sie strenge Notfallwiederherstellungsstandards, um Kundendaten zu schützen und kontinuierliche Geschäftsvorgänge sicherzustellen. Um diese Standards effektiv zu erfüllen, befolgen Sie die Richtlinien in den Überlegungen zur Notfallwiederherstellung.

• Sicherung: Um vertrauliche Kundendaten zu schützen, stellen Sie die Einhaltung strenger Sicherungsanforderungen sicher. Konfigurieren Sie Azure Red Hat OpenShift standardmäßig so, dass es Azure Storage angefügt ist, und stellen Sie sicher, dass OpenShift nach einem Wiederherstellungsvorgang automatisch wieder angefügt wird. Um dieses Feature zu aktivieren, befolgen Sie die Anweisungen unter Erstellen einer Azure Red Hat OpenShift-Clusteranwendungssicherung.

Sicherheit

Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Sicherheit.

Sicherheit ist in der Finanzbranche von größter Bedeutung. Um vertrauliche Daten zu schützen und die Einhaltung gesetzlicher Bestimmungen zu gewährleisten, benötigen Sie strenge Sicherheitsmaßnahmen.

Netzwerk

• Private Konnektivität aus einer lokalen Umgebung: Anwendungsfälle in der Finanzbranche erfordern exklusive private Netzwerkkonnektivität ohne öffentlichen Internetzugang. Um die Sicherheit zu verbessern, implementieren Sie private Azure-Verbindungen für private IP-Adressen, auf die über das Internet nicht zugegriffen werden kann. Verwenden Sie außerdem ExpressRoute für die Konnektivität von lokalen Rechenzentren. Weitere Informationen finden Sie unter Erstellen eines privaten Azure Red Hat OpenShift-Clusters.

• Nur-Push-private Verknüpfung: Finanzunternehmen beschränken häufig den Azure-Workload-Datenverkehr auf die Verbindung mit ihren Rechenzentren. Konfigurieren Sie Private Link-Gateways für ausschließlich eingehenden Verkehr von privaten Rechenzentren zu Azure. Stellen Sie sicher, dass Systemabhängigkeiten in privaten Rechenzentren Daten per Push an Azure übertragen. Verwenden Sie Private Link und Azure Firewall, um Ausnahmen zu Firewallrichtlinien auf individueller Basis nach den Prinzipien der geringsten Rechte anzuwenden.

• Private Registrierung: Um Bilder zu scannen und die Verwendung anfälliger Images zu verhindern, verwenden Sie ein zentrales Container-Repository innerhalb Ihres Perimeters. Verteilen sie Containerimages an Laufzeitspeicherorte. Implementieren Sie Azure Container Registry und unterstützte externe Registrierungen zu diesem Zweck. Weitere Informationen finden Sie unter Verwenden der Containerregistrierung in privaten Azure Red Hat OpenShift-Clustern.

• Netzwerksegmentierung: Segmentieren von Standardsubnetzen für Sicherheit und Netzwerkisolation. Verwenden Sie Azure-Netzwerke, um verschiedene Subnetze für Azure Red Hat OpenShift-Steuerungsebenen, Workerebenen und Datenebenen, Azure Front Door, Azure Firewall, Azure Bastion und Azure Application Gateway zu erstellen.

Daten

• Verschlüsselung ruhender Daten: Verwenden Sie Standardspeicherrichtlinien und -konfigurationen, um die Verschlüsselung ruhender Daten sicherzustellen. Verschlüsselt usw. hinter der Kontrollebene und verschlüsselt den Speicher auf jedem Arbeitsknoten. Konfigurieren Sie den CSI-Zugriff (Container Storage Interface) auf Azure Storage für persistente Volumes, einschließlich File, Block und Blob Storage. Um Schlüssel über den Kunden oder Azure zu verwalten, verwenden Sie etcd und das Azure Red Hat OpenShift-Feature der Speicherdatenverschlüsselung. Weitere Informationen finden Sie unter Security for Azure Red Hat OpenShift.

• Verschlüsselung von Daten während der Übertragung: Verschlüsseln von Verbindungen zwischen Diensten in einem Standardmäßigen Azure Red Hat OpenShift-Cluster. Aktivieren Sie Transport Layer Security (TLS) für den Datenverkehr zwischen Diensten. Verwenden Sie Netzwerkrichtlinien, Service Mesh und Key Vault für die Zertifikatspeicherung. Weitere Informationen finden Sie unter Aktualisieren von Azure Red Hat OpenShift-Clusterzertifikaten.

• Schlüsselverwaltungsdienst: Verwenden Sie Key Vault, um sicherzustellen, dass Sie geheime Schlüssel sicher speichern und dienstgeheimnisse speichern. Setzen Sie gegebenenfalls partnerunabhängige Softwareanbieter wie Hashicorp Vault oder CyberArk Concur für weitere Optionen ein. Behandeln Sie Zertifikate und geheime Schlüssel mit Key Vault, und ziehen Sie die Bring-your-own-Key-Modelle in Betracht. Verwenden Sie Key Vault als Hauptkomponente. Weitere Informationen finden Sie unter vom Kunden verwaltete Schlüssel für die Azure Storage-Verschlüsselung.

Authentifizierung und Autorisierung

• Identitäts- und Zugriffsverwaltung: Verwenden Sie Microsoft Entra-ID für die zentrale Identitätsverwaltung von Azure Red Hat OpenShift-Clustern. Weitere Informationen finden Sie unter Konfigurieren von Azure Red Hat OpenShift für die Verwendung von Microsoft Entra ID-Gruppenansprüchen.

• RBAC: Implementieren Sie RBAC in Azure Red Hat OpenShift, um eine granulare Autorisierung von Benutzeraktionen und Zugriffsebenen bereitzustellen. Verwenden Sie RBAC in FSI-Szenarien um den Zugriff mit den geringsten Rechten auf die Cloudumgebung sicherzustellen. Weitere Informationen finden Sie unter Verwalten von RBAC.

Kompatibilität

• Nicht von Microsoft stammende Risikobewertungen: Um den Vorschriften zur Einhaltung von Vorschriften zur Finanziellen Compliance zu folgen, halten Sie den Zugriff auf geringste Rechte ein, beschränken Sie die Dauer für eskalierte Berechtigungen und den SRE-Ressourcenzugriff (Site Reliability Engineer). Informationen zum SRE-Modell für gemeinsame Verantwortung und zu Zugriffseskalationsverfahren finden Sie unter Übersicht über die Verantwortlichkeiten für Azure Red Hat OpenShift und SRE-Zugriff auf Azure Red Hat OpenShift.

• Einhaltung gesetzlicher Vorschriften: Verwenden Sie Azure-Richtlinie, um verschiedene behördliche Anforderungen im Zusammenhang mit der Compliance in FSI-Szenarien zu erfüllen. Weitere Informationen finden Sie in denintegrierten Azure-Richtlinien- und Azure-Richtliniendefinitionen.

Operative Exzellenz

„Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Operational Excellence.

FSI-Unternehmen können mit robusten Einblicktools und -methoden Probleme proaktiv erkennen und beheben und die Ressourcennutzung optimieren. Beachten Sie die Empfehlungen für einen optimalen Betrieb:

• Implementieren Sie effektive Protokollierung und Überwachung: Verwenden Sie Azure Monitor und Microsoft Sentinel, um Aktionen nachzuverfolgen und die Systemintegrität in Ihrer Azure Red Hat OpenShift-Umgebung sicherzustellen. Verwenden Sie Nicht-Microsoft-Tools wie Dynatrace, Datadog und Splunk, um Einblick- und Überwachungsverfahren zu ergänzen. Stellen Sie sicher, dass ein verwalteter Dienst für Prometheus oder Azure Managed Grafana für Azure Red Hat OpenShift verfügbar ist.

• Verwenden Sie Azure Arc-fähige Kubernetes: Integrieren Sie Azure Arc-fähige Kubernetes in Ihre Azure Red Hat OpenShift-Umgebung für erweiterte Protokollierungs- und Überwachungsfunktionen. Verwenden Sie die bereitgestellten Tools, um die Ressourcennutzung zu optimieren und die Einhaltung der Branchenvorschriften zu wahren. Ermöglichen Sie eine umfassende Überwachung und umfassende Einblicke. Weitere Informationen finden Sie unter Azure Arc-fähige Kubernetes und Aktivieren der Überwachung für Azure Arc-fähige Cluster.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Ayobami Ayodeji | Leitender Programmmanager

Um nichtublic LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.

Nächster Schritt

Azure Red Hat OpenShift Landing Zone Accelerator ist ein Open Source-Repository, das aus einer Azure CLI-Referenzimplementierung und kritischen Designbereichsempfehlungen besteht.

In diesem Artikel wird beschrieben, wie Sie eine Azure Red Hat OpenShift-Zielzonenarchitektur für die Finanzdienstleistungsbranche (Financial Services Industry, FSI) implementieren. Dieser Leitfaden erklärt, wie Sie mithilfe von Azure Red Hat OpenShift in einer hybriden Cloudumgebung sichere, robuste und kompatible Lösungen für die Finanzdienstleistungsbranche erstellen.

Bevor Sie eine Produktionsumgebung mit Azure Red Hat OpenShift erstellen, lesen Sie die Azure Red Hat OpenShift-Zielzonenleitfaden im Cloud Adoption Framework für Azure.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

In diesem Szenario wird eine Anwendung verwendet, die auf einem Azure Red Hat OpenShift-Cluster ausgeführt wird. Die Anwendung stellt eine Verbindung mit lokalen Ressourcen und einem von Azure Firewall geschützten virtuellen Hubnetzwerk in Azure her. Der folgende Dataflow entspricht dem vorherigen Diagramm:

• Der Entwickler schreibt Code im Netzwerk des Unternehmens und überträgt ihn per Push an GitHub Enterprise. Sie können ein beliebiges Coderepository für Ihr Szenario verwenden.

• Die Bereitstellungspipeline des Kunden packt den Code in einem Container, der ihn in einer lokalen Containerregistrierung bereitstellt.

• Das Image kann dann in einem lokalen OpenShift-Cluster und im Azure Red Hat OpenShift-Cluster in Azure bereitgestellt werden. Das Image wird auch in Azure Red Hat OpenShift über Azure ExpressRoute bereitgestellt, das den Datenverkehr über das virtuelle Azure Hub-Netzwerk an den privaten Azure Red Hat OpenShift-Cluster im virtuellen Spoke-Netzwerk weiterleitet. Diese beiden Netzwerke sind per Peering verbunden.

• Ausgehender Datenverkehr, der aus dem Azure Red Hat OpenShift-Cluster stammt, wird zuerst über das virtuelle Peer-Hubnetzwerk und dann über eine Azure Firewall-Instanz weitergeleitet.

• Um auf die Anwendung zuzugreifen, können Kunden zu einer Webadresse wechseln, die den Datenverkehr über Azure Front Door weiterleitet.

• Azure Front Door verwendet den Azure Private Link-Dienst, um eine Verbindung mit dem privaten Azure Red Hat OpenShift-Cluster herzustellen.

Komponenten

• Azure Red Hat OpenShift bietet vollständig verwaltete, hoch verfügbare OpenShift-Cluster bei Bedarf. Diese Cluster dienen als primäre Computeplattform in dieser Architektur. Microsoft und Red Hat überwachen und betreiben diese Cluster gemeinsam.

• Die Microsoft Entra-ID, früher azure Active Directory genannt, ist ein cloudbasierter Identitäts- und Zugriffsverwaltungsdienst, den Ihre Mitarbeiter für den Zugriff auf externe Ressourcen verwenden können. In dieser Architektur bietet Microsoft Entra ID Kunden einen sicheren, präzisen Zugriff auf externe Ressourcen.

• Sie können ExpressRoute mit einem Verbindungsanbieter verwenden, um Ihre lokalen Netzwerke über eine private Verbindung in die Microsoft-Cloud zu erweitern. Diese Architektur stellt mit ExpressRoute private Verbindungen mit hoher Bandbreite zwischen lokalen Ressourcen und Azure bereit.

• Azure Key Vault ist eine Schlüsselverwaltungslösung, die geheime Schlüssel, Schlüssel und Zertifikate speichert und verwaltet. Diese Architektur verwendet Key Vault zum sicheren Speichern geheimer Schlüssel für die Anwendungen, die im privaten Azure Red Hat OpenShift-Cluster ausgeführt werden.

• Azure Bastion ist eine vollständig verwaltete Plattform als Dienst (PaaS), die Sie bereitstellen können, um eine sichere Verbindung mit virtuellen Computern (VM) über eine private IP-Adresse herzustellen. Diese Architektur verwendet Azure Bastion, um eine Verbindung mit einer Azure-VM im privaten Netzwerk herzustellen, da in diesem Szenario ein privater Cluster implementiert wird.

• Azure Firewall ist ein cloudeigener und intelligenter Netzwerkfirewall-Sicherheitsdienst, der Bedrohungsschutz für Ihre Cloudworkloads bereitstellt, die in Azure ausgeführt werden. Diese Architektur verwendet Azure Firewall zum Überwachen und Filtern von Netzwerkdatenverkehr, der in der Azure Red Hat OpenShift-Umgebung eintrifft und der sie verlässt.

Alternativen

Sie können mit Azure Red Hat OpenShift auf das OpenShift-Ökosystem zuzugreifen. Wenn Sie OpenShift lokal ausführen, sind die meisten der enthaltenen Plattformdienste für Azure Red Hat OpenShift wirksam. Sie können diese Plattformdienste als Alternativen zu einigen der in diesem Artikel erwähnten Azure-Diensten verwenden.

Nicht-Microsoft-Alternativen sind verfügbar. Sie können beispielsweise Ihre Containerregistrierung lokal hosten oder OpenShift GitOps anstelle von GitHub-Aktionen verwenden. Sie können auch Nicht-Microsoft-Überwachungslösungen verwenden, die nahtlos mit Azure Red Hat OpenShift-Umgebungen funktionieren. Dieser Artikel konzentriert sich auf Azure-Alternativen, die Kunden häufig zum Erstellen ihrer Lösungen auf Azure Red Hat OpenShift verwenden.

Szenariodetails

Azure Red Hat OpenShift-Kunden der Finanzdienstleistungsbranche und aus anderen regulierten Branchen haben häufig strenge Anforderungen für ihre Umgebungen. Diese Architektur enthält umfassende Kriterien und Richtlinien, mit denen Finanzinstitute Lösungen entwerfen können, die ihren ganz speziellen Anforderungen entsprechen, wenn sie Azure Red Hat OpenShift in einer Hybrid-Cloudumgebung verwenden.

Dieses Szenario konzentriert sich auf Sicherheitsmaßnahmen. Sie können beispielsweise private Verbindungen aus lokalen Umgebungen aktivieren, strenge Kontrollen für die Nutzung privater Verbindungen implementieren, private Registrierungen einrichten, die Netzwerktrennung sicherstellen und robuste Verschlüsselungsprotokolle für ruhende Daten und für Daten während der Übertragung bereitstellen. Die Identitäts- und Zugriffsverwaltung (Identity & Access Management, IAM) und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) sorgen für eine sichere Benutzerverwaltung in Azure Red Hat OpenShift-Clustern.

Für mehr Resilienz können Sie Ressourcen über Verfügbarkeitszonen hinweg verteilen, um Fehlertoleranz zu erzielen. Complianceverpflichtungen umfassen Nicht-Microsoft-Risikobewertungen, die Einhaltung gesetzlicher Bestimmungen und Notfallwiederherstellungsprotokolle. Sie erhalten einen besseren Einblick, wenn Sie zur Wahrung der betrieblichen Effizienz und zur Einhaltung gesetzlicher Vorschriften Protokollierungs-, Überwachungs- und Sicherungsmechanismen hinzufügen. Die Richtlinien in diesem Artikel bieten ein umfassendes Framework zum Bereitstellen und Verwalten von Azure Red Hat OpenShift-Lösungen, die speziell auf die Bedürfnisse der Finanzdienstleistungsbranche zugeschnitten sind.

Mögliche Anwendungsfälle

Dieses Szenario ist für Kunden in regulierten Branchen am relevantesten, z. B. im Finanz- und im Gesundheitswesen. Dieses Szenario trifft auch für Kunden mit erhöhten Sicherheitsanforderungen zu, die z. B. Lösungen mit strengen Datengovernanceanforderungen benötigen.

Überlegungen

Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Well-Architected Framework.

Zuverlässigkeit

Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

Resilienz ist für Microsoft Azure Red Hat OpenShift unerlässlich, um den unterbrechungsfreien Betrieb von unternehmenskritischen Anwendungen aufrechtzuerhalten. Halten Sie sich an die folgenden Zuverlässigkeitsempfehlungen:

• Verfügbarkeitszonen: Verteilen von Steuerebenen und Arbeitsknoten über drei Verfügbarkeitszonen innerhalb einer Azure-Region. Dadurch stellen Sie sicher, dass der Steuerungsebenencluster das Quorum aufrechterhält und potenzielle Fehler in allen Verfügbarkeitszonen verringert. Implementieren Sie diese Verteilung standardmäßig.

• Bereitstellungen mit mehreren Regionen: Stellen Sie Azure Red Hat OpenShift-Cluster in mehreren Regionen bereit, um vor regionsweiten Fehlern zu schützen. Leiten Sie den Datenverkehr mit Azure Front Door zu diesen Clustern weiter, um die Resilienz zu steigern.

• Notfallwiederherstellung: Implementieren Sie strenge Notfallwiederherstellungsstandards, um Kundendaten zu schützen und kontinuierliche Geschäftsvorgänge sicherzustellen. Um diese Standards effektiv zu erfüllen, befolgen Sie die Richtlinien in den Überlegungen zur Notfallwiederherstellung.

• Sicherung: Um vertrauliche Kundendaten zu schützen, stellen Sie die Einhaltung strenger Sicherungsanforderungen sicher. Konfigurieren Sie Azure Red Hat OpenShift standardmäßig so, dass es Azure Storage angefügt ist, und stellen Sie sicher, dass OpenShift nach einem Wiederherstellungsvorgang automatisch wieder angefügt wird. Um dieses Feature zu aktivieren, befolgen Sie die Anweisungen unter Erstellen einer Azure Red Hat OpenShift-Clusteranwendungssicherung.

Sicherheit

Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Sicherheit.

Sicherheit ist in der Finanzbranche von größter Bedeutung. Um vertrauliche Daten zu schützen und die Einhaltung gesetzlicher Bestimmungen zu gewährleisten, benötigen Sie strenge Sicherheitsmaßnahmen.

Netzwerk

• Private Konnektivität aus einer lokalen Umgebung: Anwendungsfälle in der Finanzbranche erfordern exklusive private Netzwerkkonnektivität ohne öffentlichen Internetzugang. Um die Sicherheit zu verbessern, implementieren Sie private Azure-Verbindungen für private IP-Adressen, auf die über das Internet nicht zugegriffen werden kann. Verwenden Sie außerdem ExpressRoute für die Konnektivität von lokalen Rechenzentren. Weitere Informationen finden Sie unter Erstellen eines privaten Azure Red Hat OpenShift-Clusters.

• Nur-Push-private Verknüpfung: Finanzunternehmen beschränken häufig den Azure-Workload-Datenverkehr auf die Verbindung mit ihren Rechenzentren. Konfigurieren Sie Private Link-Gateways für ausschließlich eingehenden Verkehr von privaten Rechenzentren zu Azure. Stellen Sie sicher, dass Systemabhängigkeiten in privaten Rechenzentren Daten per Push an Azure übertragen. Verwenden Sie Private Link und Azure Firewall, um Ausnahmen zu Firewallrichtlinien auf individueller Basis nach den Prinzipien der geringsten Rechte anzuwenden.

• Private Registrierung: Um Bilder zu scannen und die Verwendung anfälliger Images zu verhindern, verwenden Sie ein zentrales Container-Repository innerhalb Ihres Perimeters. Verteilen sie Containerimages an Laufzeitspeicherorte. Implementieren Sie Azure Container Registry und unterstützte externe Registrierungen zu diesem Zweck. Weitere Informationen finden Sie unter Verwenden der Containerregistrierung in privaten Azure Red Hat OpenShift-Clustern.

• Netzwerksegmentierung: Segmentieren von Standardsubnetzen für Sicherheit und Netzwerkisolation. Verwenden Sie Azure-Netzwerke, um verschiedene Subnetze für Azure Red Hat OpenShift-Steuerungsebenen, Workerebenen und Datenebenen, Azure Front Door, Azure Firewall, Azure Bastion und Azure Application Gateway zu erstellen.

Daten

• Verschlüsselung ruhender Daten: Verwenden Sie Standardspeicherrichtlinien und -konfigurationen, um die Verschlüsselung ruhender Daten sicherzustellen. Verschlüsselt usw. hinter der Kontrollebene und verschlüsselt den Speicher auf jedem Arbeitsknoten. Konfigurieren Sie den CSI-Zugriff (Container Storage Interface) auf Azure Storage für persistente Volumes, einschließlich File, Block und Blob Storage. Um Schlüssel über den Kunden oder Azure zu verwalten, verwenden Sie etcd und das Azure Red Hat OpenShift-Feature der Speicherdatenverschlüsselung. Weitere Informationen finden Sie unter Security for Azure Red Hat OpenShift.

• Verschlüsselung von Daten während der Übertragung: Verschlüsseln von Verbindungen zwischen Diensten in einem Standardmäßigen Azure Red Hat OpenShift-Cluster. Aktivieren Sie Transport Layer Security (TLS) für den Datenverkehr zwischen Diensten. Verwenden Sie Netzwerkrichtlinien, Service Mesh und Key Vault für die Zertifikatspeicherung. Weitere Informationen finden Sie unter Aktualisieren von Azure Red Hat OpenShift-Clusterzertifikaten.

• Schlüsselverwaltungsdienst: Verwenden Sie Key Vault, um sicherzustellen, dass Sie geheime Schlüssel sicher speichern und dienstgeheimnisse speichern. Setzen Sie gegebenenfalls partnerunabhängige Softwareanbieter wie Hashicorp Vault oder CyberArk Concur für weitere Optionen ein. Behandeln Sie Zertifikate und geheime Schlüssel mit Key Vault, und ziehen Sie die Bring-your-own-Key-Modelle in Betracht. Verwenden Sie Key Vault als Hauptkomponente. Weitere Informationen finden Sie unter vom Kunden verwaltete Schlüssel für die Azure Storage-Verschlüsselung.

Authentifizierung und Autorisierung

• Identitäts- und Zugriffsverwaltung: Verwenden Sie Microsoft Entra-ID für die zentrale Identitätsverwaltung von Azure Red Hat OpenShift-Clustern. Weitere Informationen finden Sie unter Konfigurieren von Azure Red Hat OpenShift für die Verwendung von Microsoft Entra ID-Gruppenansprüchen.

• RBAC: Implementieren Sie RBAC in Azure Red Hat OpenShift, um eine granulare Autorisierung von Benutzeraktionen und Zugriffsebenen bereitzustellen. Verwenden Sie RBAC in FSI-Szenarien um den Zugriff mit den geringsten Rechten auf die Cloudumgebung sicherzustellen. Weitere Informationen finden Sie unter Verwalten von RBAC.

Kompatibilität

• Nicht von Microsoft stammende Risikobewertungen: Um den Vorschriften zur Einhaltung von Vorschriften zur Finanziellen Compliance zu folgen, halten Sie den Zugriff auf geringste Rechte ein, beschränken Sie die Dauer für eskalierte Berechtigungen und den SRE-Ressourcenzugriff (Site Reliability Engineer). Informationen zum SRE-Modell für gemeinsame Verantwortung und zu Zugriffseskalationsverfahren finden Sie unter Übersicht über die Verantwortlichkeiten für Azure Red Hat OpenShift und SRE-Zugriff auf Azure Red Hat OpenShift.

• Einhaltung gesetzlicher Vorschriften: Verwenden Sie Azure-Richtlinie, um verschiedene behördliche Anforderungen im Zusammenhang mit der Compliance in FSI-Szenarien zu erfüllen. Weitere Informationen finden Sie in denintegrierten Azure-Richtlinien- und Azure-Richtliniendefinitionen.

Operative Exzellenz

„Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Operational Excellence.

FSI-Unternehmen können mit robusten Einblicktools und -methoden Probleme proaktiv erkennen und beheben und die Ressourcennutzung optimieren. Beachten Sie die Empfehlungen für einen optimalen Betrieb:

• Implementieren Sie effektive Protokollierung und Überwachung: Verwenden Sie Azure Monitor und Microsoft Sentinel, um Aktionen nachzuverfolgen und die Systemintegrität in Ihrer Azure Red Hat OpenShift-Umgebung sicherzustellen. Verwenden Sie Nicht-Microsoft-Tools wie Dynatrace, Datadog und Splunk, um Einblick- und Überwachungsverfahren zu ergänzen. Stellen Sie sicher, dass ein verwalteter Dienst für Prometheus oder Azure Managed Grafana für Azure Red Hat OpenShift verfügbar ist.

• Verwenden Sie Azure Arc-fähige Kubernetes: Integrieren Sie Azure Arc-fähige Kubernetes in Ihre Azure Red Hat OpenShift-Umgebung für erweiterte Protokollierungs- und Überwachungsfunktionen. Verwenden Sie die bereitgestellten Tools, um die Ressourcennutzung zu optimieren und die Einhaltung der Branchenvorschriften zu wahren. Ermöglichen Sie eine umfassende Überwachung und umfassende Einblicke. Weitere Informationen finden Sie unter Azure Arc-fähige Kubernetes und Aktivieren der Überwachung für Azure Arc-fähige Cluster.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Ayobami Ayodeji | Leitender Programmmanager

Um nichtublic LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.

Nächster Schritt

Azure Red Hat OpenShift Landing Zone Accelerator ist ein Open Source-Repository, das aus einer Azure CLI-Referenzimplementierung und kritischen Designbereichsempfehlungen besteht.