En este artículo se describe cómo implementar una arquitectura de zona de aterrizaje de Red Hat OpenShift en Azure para el sector de servicios financieros (FSI). En esta guía se explica cómo usar Red Hat OpenShift en Azure en un entorno de nube híbrida para crear soluciones seguras, sólidas y compatibles para FSI.
Antes de crear un entorno de producción con Red Hat OpenShift en Azure, lea la guía de la zona de aterrizaje de Red Hat OpenShift en Azure en el Cloud Adoption Framework para Azure.
Descargue un archivo Visio de esta arquitectura.
En este escenario se usa una aplicación que se ejecuta en un clúster de Red Hat OpenShift en Azure. La aplicación se conecta a recursos locales y a una red virtual central en Azure que Azure Firewall protege. El siguiente flujo de trabajo corresponde al diagrama anterior:
El desarrollador escribe el código dentro de la red de la empresa e inserta el código en GitHub Enterprise. Puede usar cualquier repositorio de código en este caso.
El proceso de implementación del cliente incluye el código, que lo implementa en un registro de contenedor local.
Después, la imagen se puede implementar en un clúster local de OpenShift y en el clúster de Red Hat OpenShift de Azure en Azure. La imagen también se implementa en Red Hat OpenShift en Azure a través de Azure ExpressRoute, que redirige el tráfico a través de la red virtual central de Azure al clúster privado de Red Hat OpenShift en Azure en la red virtual radial. Estas dos redes están emparejadas.
El tráfico que sale procedente del clúster de Red Hat OpenShift en Azure se redirige primero a través de la red virtual central emparejada y luego a través de una instancia de Azure Firewall.
Para acceder a la aplicación, los clientes pueden ir a una dirección web que redirige el tráfico a través de Azure Front Door.
Azure Front Door usa el servicio Azure Private Link para conectarse al clúster privado de Red Hat OpenShift en Azure.
Red Hat OpenShift en Azure ofrece clústeres de OpenShift de alta disponibilidad y totalmente administrados a petición. Estos clústeres sirven como plataforma de procesamiento principal en esta arquitectura. Juntos, Microsoft y Red Hat supervisan y manejan estos clústeres.
Microsoft Entra ID, anteriormente conocido como Azure Active Directory, es un servicio de administración de identidades y accesos basado en la nube que los empleados pueden usar para acceder a recursos externos. En esta arquitectura, Microsoft Entra ID ofrece a los clientes un acceso seguro y exhaustivo a recursos externos.
Puede usar ExpressRoute mediante un proveedor de conectividad para ampliar las redes locales en la nube Microsoft a través de una conexión privada. Esta arquitectura usa ExpressRoute para permitir una conectividad privada y de gran ancho de banda entre los recursos locales y Azure.
Azure Key Vault es un servicio de administración de claves que almacena y gestiona de forma segura secretos, claves y certificados. Esta arquitectura usa Key Vault para almacenar de forma segura secretos para las aplicaciones que se ejecutan en el clúster privado de Red Hat OpenShift en Azure.
Azure Bastion es una plataforma como servicio (PaaS) totalmente administrada que se puede implementar para conectarse de forma segura a máquinas virtuales (VM) a través de una dirección IP privada. Esta arquitectura usa Azure Bastion para conectarse a una máquina virtual de Azure dentro de la red privada dado que en este proceso se implementa un clúster privado.
Azure Firewall es un servicio de seguridad de firewall de red inteligente y nativo de la nube que le da mayor protección frente a amenazas en las cargas de trabajo en la nube que se ejecutan en Azure. Esta arquitectura usa Azure Firewall para controlar y filtrar el tráfico de red que entra y sale del entorno de Red Hat OpenShift en Azure.
Puede usar Red Hat OpenShift en Azure para acceder al ecosistema de OpenShift. Al ejecutar OpenShift de forma local, la mayoría de servicios de la plataforma incluidos se aplican a Red Hat OpenShift en Azure. Puede usar estos servicios de plataforma como alternativas a algunos de los servicios de Azure mencionados en este artículo.
Hay otras alternativas que no son de Microsoft. Por ejemplo, puede alojar el registro de contenedor local o usar GitOps de OpenShift en lugar de acciones de GitHub. También puede usar soluciones de supervisión que no sean de Microsoft que funcionan perfectamente con entornos de Red Hat OpenShift en Azure. Este artículo se centra en las alternativas de Azure que los clientes suelen usar para crear sus soluciones en Red Hat OpenShift en Azure.
FSI y otros clientes de sectores regulados que usan Red Hat OpenShift en Azure suelen tener requisitos rigurosos para sus entornos. Esta arquitectura describe todos los criterios y directrices que las instituciones financieras pueden usar para diseñar soluciones que cumplan sus requisitos únicos cuando usen Red Hat OpenShift en Azure en un entorno de nube híbrida.
Este modelo hace hincapié en las medidas de seguridad. Por ejemplo, puede habilitar la conectividad privada de entornos locales, implementar controles estrictos en el uso de vínculos privados, crear registros privados, garantizar la segregación de red e incorporar protocolos de cifrado sólidos para datos en reposo y datos en tránsito. La administración de identidades y accesos y el control de acceso basado en roles (RBAC) garantizan un administración segura de usuarios en clústeres de Red Hat OpenShift en Azure.
Para aportar más resiliencia, puede distribuir recursos entre zonas de disponibilidad para la tolerancia a errores. Las obligaciones sobre cumplimiento implican la aplicación de evaluaciones de riesgos que no son de Microsoft, conformidad normativa y protocolos de recuperación ante desastres. Para mejorar la observabilidad, puede añadir mecanismos de registro, supervisión y copia de seguridad para garantizar la eficacia operativa y el cumplimiento normativo. La guía que incluye este artículo ofrece un marco completo que puede usar para implementar y administrar soluciones de Red Hat OpenShift en Azure que se adapten específicamente a las demandas del sector de servicios financieros.
Este escenario tiene más que ver con clientes de sectores regulados, como finanzas y atención sanitaria. Este escenario también se aplica a clientes que deban cumplir medidas de seguridad muy exigentes, como soluciones con estrictos requisitos en la gobernanza de datos.
Estas recomendaciones sientan las bases de los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para obtener más información, consulte Lista de comprobación de revisión de diseño para confiabilidad.
La resiliencia es esencial para que Red Hat OpenShift en Microsoft Azure garantice el funcionamiento ininterrumpido de las aplicaciones más esenciales. Siga estas recomendaciones de fiabilidad:
Zonas de disponibilidad: distribuya los nodos del plano de control y de trabajo entre tres zonas de disponibilidad dentro de una región de Azure. Esta configuración garantiza que el clúster del plano de control respete el cuórum y mitigue posibles errores en todas las zonas de disponibilidad. Haga uso de esta distribución como procedimiento normal.
Implementaciones en varias regiones: implemente clústeres de Red Hat OpenShift en Azure en varias regiones para protegerse frente a errores en toda la región. Use Azure Front Door para redirigir el tráfico a estos clústeres para mejorar la resiliencia.
Recuperación ante desastres: incorpore rigurosos métodos de recuperación ante desastres para proteger los datos de los clientes y garantizar la fluidez en las operaciones empresariales. Para cumplir estos estándares de forma eficaz, siga las instrucciones de Observaciones sobre la recuperación ante desastres.
Copias de seguridad: para proteger los datos confidenciales de los clientes, asegúrese de cumplir los estrictos requisitos en materia de copias de seguridad. Configure Red Hat OpenShift en Azure para vincularlo al almacenamiento de Azure de forma predeterminada y asegúrese de que se vuelve a conectar automáticamente después de una operación de restauración. Para habilitar esta funcionalidad, siga las instrucciones de Crear una copia de seguridad de aplicación de clúster de Red Hat OpenShift en Azure.
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.
La seguridad es fundamental en el sector de las finanzas. Para proteger los datos confidenciales y garantizar el cumplimiento normativo, se necesitan estrictas medidas de seguridad.
Conectividad privada en un entorno local: los procedimientos de uso del sector financiero requieren conectividad de red privada exclusiva sin acceso al Internet público. Para mejorar la seguridad, implemente vínculos privados de Azure en direcciones IP privadas a las que no se pueda acceder a través de Internet y use ExpressRoute para usar la conectividad en centros de datos locales. Para obtener más información, consulte Crear un clúster privado de Red Hat OpenShift en Azure.
Vínculo privado de solo inserción: las empresas de finanzas suelen restringir el tráfico de cargas de trabajo de Azure para que se conecten a sus centros de datos. Configure puertas de enlace de Private Link para el acceso de solo entrada desde centros de datos privados a Azure. Asegúrese de que las dependencias del sistema en centros de datos privados insertan datos en Azure. Use Private Link y Azure Firewall para aplicar excepciones de directivas de firewall de forma separada según los principios de privilegios mínimos.
Registro privado: para buscar imágenes y evitar el uso de imágenes vulnerables, use un repositorio de contenedores centralizado dentro del perímetro. Distribuir imágenes de contenedor a ubicaciones en tiempo de ejecución. Implemente Azure Container Registry y los registros externos admitidos para este fin. Para obtener más información, consulte Usar Container Registry en clústeres privados de Red Hat OpenShift en Azure.
Segmentación de redes: segmente las subredes predeterminadas para la seguridad y el aislamiento de redes. Use redes de Azure para crear subredes distintas para planos de control de Red Hat OpenShift en Azure, planos de trabajo y planos de datos, Azure Front Door, Azure Firewall, Azure Bastion y Azure Application Gateway.
Cifrado de datos en reposo: use directivas y configuraciones de almacenamiento predeterminadas para garantizar el cifrado de datos en reposo. Cifre etcd detrás del plano de control y cifre el almacenamiento en cada nodo de trabajo. Configure el acceso de Container Storage Interface (CSI) a Azure Storage, incluido el almacenamiento de archivos, bloques y blobs, para volúmenes persistentes. Para administrar claves a través del cliente o Azure, use etcd y el cifrado de datos de almacenamiento y de funciones de Red Hat OpenShift en Azure. Para obtener más información, consulte Seguridad de Red Hat OpenShift en Azure.
Cifrado de datos en tránsito: cifre las interconexiones entre servicios en un clúster predeterminado de Red Hat OpenShift en Azure. Habilite el protocolo Seguridad de la capa de transporte (TLS) para el tráfico entre servicios. Use directivas de red, malla de servicios y Key Vault para el almacenamiento de certificados. Para obtener más información, consulte Actualizar certificados de clústeres de Red Hat OpenShift en Azure.
Servicio de administración de claves: use Key Vault para asegurarse que almacena de forma segura secretos de servicio. Considere la posibilidad de recurrir a servicios de proveedores de software independientes como Hashicorp Vault o CyberArk Concur para tener acceso a más opciones. Gestione los certificados y secretos con Key Vault, con la posibilidad de incorporar modelos de claves propios. Use Key Vault como componente principal. Para más información, consulte Claves administradas por el cliente para el cifrado de Azure Storage.
Administración de identidades y accesos: use Microsoft Entra ID para administrar identidades de clústeres de Red Hat OpenShift en Azure de forma centralizada. Para obtener más información, consulte Configurar Red Hat OpenShift en Azure para usar notificaciones de grupo de Microsoft Entra ID.
RBAC: implemente RBAC en Red Hat OpenShift en Azure para dar autorización específica de acciones de usuario y niveles de acceso. Use RBAC en aplicaciones de FSI para garantizar el acceso con privilegios mínimos al entorno en la nube. Para obtener más información, consulte Administración de RBAC.
Evaluaciones de riesgos que no son de Microsoft: para respetar las regulaciones de cumplimiento financiero, cumplir los requisitos de acceso con privilegios mínimos, limitar la duración de los privilegios escalados y auditar el acceso a recursos del ingeniero de fiabilidad del sitio (SRE). Para conocer el modelo de responsabilidad compartida de SRE y los procedimientos de escalado de acceso, consulte Introducción a las responsabilidades de Red Hat OpenShift en Azure y Acceso de SRE a Red Hat OpenShift en Azure.
Cumplimiento normativo: use Azure Policy para cubrir diferentes requisitos normativos relacionados con el cumplimiento en ecosistemas de FSI. Para obtener más información, consulte Azure Policy y Definiciones de iniciativas integradas de Azure Policy.
La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para obtener más información, consulte la Lista de comprobación de revisión de diseño para la excelencia operativa.
Las empresas del FSI pueden usar sólidas herramientas y procedimientos de observabilidad para detectar y solucionar de forma proactiva problemas y optimizar el uso de recursos. Siga estas recomendaciones sobre excelencia operativa:
Implementación eficaz de operaciones registro y supervisión: use Azure Monitor y Microsoft Sentinel para realizar un seguimiento de las acciones y garantizar la integridad del sistema en el entorno de Red Hat OpenShift en Azure. Para complementar las prácticas de observabilidad y supervisión, use herramientas que no sean de Microsoft, como Dynatrace, Datadog y Splunk. Asegúrese de que el servicio administrado para Prometheus o Azure Managed Grafana esté disponible en Red Hat OpenShift en Azure.
Uso de Kubernetes compatible con Azure Arc: integre Kubernetes compatible con Azure Arc en el entorno de Red Hat OpenShift en Azure para mejorar las funcionalidades de registro y supervisión. Use las herramientas facilitadas para optimizar el uso de recursos y respetar el cumplimiento de las normativas del sector. Ponga en marcha operaciones supervisión y observabilidad integrales. Para obtener más información, consulte Kubernetes compatible con Azure Arc y Habilitar supervisión de clústeres compatibles con Azure Arc.
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Ayobami Ayodeji | Jefe de programas sénior
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Acelerador de zonas de aterrizaje de Red Hat OpenShift en Azure es un repositorio de código abierto que consta de una implementación de referencia de la CLI de Azure y recomendaciones de áreas de diseño críticas.