Azure CycleCloud: procedimientos recomendados de seguridad
En este artículo se describen los procedimientos recomendados y sugerencias útiles para usar Azure CycleCloud de forma más segura y eficaz. Puede usar los procedimientos recomendados que se enumeran aquí como referencia rápida al usar Azure CycleCloud.
Instalación
La instalación predeterminada de CycleCloud usa HTTP no cifrado que se ejecuta en el puerto 8080. Se recomienda encarecidamente configurar SSL para todas las instalaciones para evitar el acceso sin cifrar a la instalación de CycleCloud. CycleCloud no debe ser accesible desde Internet, pero si es necesario, solo se debe exponer el puerto 443. Si desea restringir el acceso directo a Internet, configure para usar un proxy para todo el tráfico HTTP o HTTPS enlazado a Internet. Para deshabilitar las comunicaciones sin cifrar y el acceso HTTP a CycleCloud, consulte la configuración de SSL.
Si quiere restringir también el acceso saliente a Internet, es posible configurar CycleCloud para que use un proxy para todo el tráfico HTTP o HTTPS enlazado a Internet. Consulte Funcionamiento en un entorno bloqueado para obtener más información.
Autenticación y autorización
Azure CycleCloud ofrece cuatro métodos de autenticación: una base de datos integrada con cifrado, Active Directory, LDAP o Id. de Entra. Cualquier cuenta con cinco errores de autorización en un plazo de 60 segundos se bloqueará automáticamente durante cinco minutos. Un administrador puede desbloquear manualmente las cuentas y se desbloquean automáticamente después de cinco minutos.
CycleCloud debe instalarse en una unidad solo con acceso de grupo de administración. Esto impedirá que los usuarios que no son administradores accedan a datos no cifrados. Los usuarios que no son administradores no deben incluirse en este grupo. Lo mejor es que el acceso a la instalación de CycleCloud se limite solo a los administradores.
No comparta la instalación de CycleCloud entre límites de confianza. Es posible que los controles RBAC dentro de una única instalación de CycleCloud no sean suficientes en un entorno multiinquilino verdadero. Use instalaciones de CycleCloud independientes y aisladas para cada inquilino con datos críticos.
Administración de redes y secretos
La red virtual en la que se inician los clústeres debe bloquearse con grupos de seguridad de red (NSG). El acceso a puertos específicos se rige por un grupo de seguridad de red, tiene la opción de configurar y controlar el tráfico de red entrante o saliente hacia y desde los recursos de Azure dentro de la red virtual de Azure. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante o saliente de varios tipos de recursos de Azure.
Se recomienda encarecidamente usar al menos dos subredes. Una para la máquina virtual de instalación de CycleCloud y cualquier otra máquina virtual con las mismas directivas de acceso y subredes adicionales para los clústeres de proceso. Sin embargo, tenga en cuenta que, en el caso de los clústeres grandes, el intervalo IP de la subred puede convertirse en un factor de limitación. Por lo tanto, en general, la subred CycleCloud debe usar un intervalo CIDR pequeño (enrutamiento sin clases Inter-Domain) y las subredes de proceso deben ser grandes.
CycleCloud usa azure Resource Manager para administrar clústeres. Para realizar llamadas a Azure Resource Manager se conceden determinados permisos a CycleCloud mediante la configuración de identidad administrada en la máquina virtual de CycleCloud. Se recomienda usar identidad administrada asignada por el sistema o asignada por el usuario. Una identidad administrada asignada por el sistema crea una identidad en Azure AD que está asociada al ciclo de vida de esa instancia de servicio. Cuando se elimina ese recurso, la identidad administrada se elimina automáticamente. Una identidad administrada asignada por el usuario se puede asignar a una o varias instancias de un servicio de Azure. En este caso, la identidad administrada se administra por separado por los recursos usados.
Entorno bloqueado protegido
Algunos entornos de producción seguros bloquearán el entorno y tendrán acceso limitado a Internet. Dado que Azure CycleCloud requiere acceso a cuentas de Azure Storage y a otros servicios de Azure compatibles, la manera recomendada de proporcionar acceso privado es a través de Virtual Network puntos de conexión de servicio o Private Link. Habilitar puntos de conexión de servicio o Private Link le permite proteger los recursos de servicio de Azure en la red virtual. Los puntos de conexión de servicio agregan más seguridad mediante la habilitación de direcciones IP privadas en el Virtual Network para llegar a los puntos de conexión de un servicio de Azure.
Los nodos de clúster y aplicación CycleCloud pueden funcionar en entornos con acceso limitado a Internet, aunque hay un número mínimo de puertos TCP que deben permanecer abiertos. Una manera de limitar el acceso saliente a Internet desde la máquina virtual CycleCloud sin configurar el Azure Firewall o un proxy HTTPS es configurar un grupo de seguridad de red de Azure estricto para la subred de la máquina virtual de CycleCloud. La manera más sencilla de hacerlo es usar etiquetas de servicio en la subred o en el grupo de seguridad de red de nivel de máquina virtual para permitir el acceso saliente de Azure necesario. Las etiquetas de servicio se pueden usar en lugar de una dirección IP específica al crear reglas de seguridad, puede permitir o denegar el tráfico para el servicio correspondiente.