Cet article décrit comment implémenter une architecture de zone d’atterrissage Azure Red Hat OpenShift pour le secteur des services financiers (FSI). Ces conseils expliquent comment utiliser Azure Red Hat OpenShift dans un environnement cloud hybride pour créer des solutions sécurisées, résilientes et conformes pour le FSI.
Avant de créer un environnement de production avec Azure Red Hat OpenShift, lisez les consignes de zone d’atterrissage Azure Red Hat OpenShift dans le Cloud Adoption Framework for Azure.
Architecture
Téléchargez un fichier Visio de cette architecture.
Dataflow
Ce scénario utilise une application qui s’exécute sur un cluster Azure Red Hat OpenShift. L’application se connecte à des ressources sur site et à un réseau virtuel hub sur Azure protégé par Azure Firewall. Le flux de données suivant correspond au diagramme précédent :
Le développeur écrit du code dans le réseau de l’entreprise et pousse le code vers GitHub Enterprise. Vous pouvez utiliser n’importe quel référentiel de code pour votre scénario.
Le pipeline de déploiement du client conteneurise le code, qui le déploie dans un registre de conteneurs sur site.
L’image peut ensuite être déployée dans un cluster OpenShift sur site et dans le cluster Azure Red Hat OpenShift sur Azure. L’image est également déployée sur Azure Red Hat OpenShift via Azure ExpressRoute, qui route le trafic via le réseau virtuel hub Azure vers le cluster privé Azure Red Hat OpenShift dans le réseau virtuel spoke. Ces deux réseaux sont appairés.
Le trafic sortant provenant du cluster Azure Red Hat OpenShift est d’abord routé via le réseau virtuel hub appairé, puis via une instance d’Azure Firewall.
Pour accéder à l’application, les clients peuvent aller à une adresse web qui route le trafic via Azure Front Door.
Azure Front Door utilise le service Azure Private Link pour se connecter au cluster privé Azure Red Hat OpenShift.
Composants
Azure Red Hat OpenShift fournit des clusters OpenShift entièrement gérés et hautement disponibles à la demande. Ces clusters servent de principale plateforme de calcul dans cette architecture. Microsoft et Red Hat surveillent et exploitent conjointement les clusters.
Microsoft Entra ID, anciennement connu sous le nom d’Azure Active Directory, est un service de gestion des identités et des accès basé sur le cloud que vos employés peuvent utiliser pour accéder à des ressources externes. Dans cette architecture, Microsoft Entra ID fournit aux clients un accès sécurisé et granulaire aux ressources externes.
Vous pouvez utiliser ExpressRoute avec un fournisseur de connectivité pour étendre vos réseaux sur site dans le cloud Microsoft via une connexion privée. Cette architecture utilise ExpressRoute pour fournir une connectivité privée et à haut débit entre les ressources sur site et Azure.
Azure Key Vault est une solution de gestion des clés qui stocke et gère les secrets, les clés et les certificats. Cette architecture utilise Key Vault pour stocker en toute sécurité les secrets des applications qui s’exécutent sur le cluster privé Azure Red Hat OpenShift.
Azure Bastion est une plateforme en tant que service (PaaS) entièrement gérée que vous pouvez déployer pour vous connecter en toute sécurité à des machines virtuelles (VM) via une adresse IP privée. Cette architecture utilise Azure Bastion pour se connecter à une VM Azure au sein du réseau privé, car ce scénario implémente un cluster privé.
Pare-feu Azure est un service de sécurité de pare-feu de réseau cloud-native et intelligent qui fournit une protection contre les menaces pour vos charges de travail cloud qui s’exécutent dans Azure. Cette architecture utilise Azure Firewall pour surveiller et filtrer le trafic réseau entrant et sortant de l’environnement Azure Red Hat OpenShift.
Autres solutions
Vous pouvez utiliser Azure Red Hat OpenShift pour accéder à l’écosystème OpenShift. Lorsque vous exécutez OpenShift sur site, la plupart des services de plateforme inclus s’appliquent à Azure Red Hat OpenShift. Vous pouvez utiliser ces services de plateforme comme alternatives à certains des services Azure mentionnés dans cet article.
Des alternatives non Microsoft sont disponibles. Par exemple, vous pouvez héberger votre registre de conteneurs sur site ou utiliser OpenShift GitOps au lieu de GitHub Actions. Vous pouvez également utiliser des solutions de surveillance non Microsoft qui fonctionnent de manière transparente avec les environnements Azure Red Hat OpenShift. Cet article se concentre sur les alternatives Azure que les clients utilisent souvent pour construire leurs solutions sur Azure Red Hat OpenShift.
Détails du scénario
Les clients Azure Red Hat OpenShift dans les secteurs réglementés comme le FSI ont souvent des exigences strictes pour leurs environnements. Cette architecture décrit des critères et des lignes directrices complets que les institutions financières peuvent utiliser pour concevoir des solutions répondant à leurs exigences uniques lorsqu’elles utilisent Azure Red Hat OpenShift dans un environnement cloud hybride.
Ce scénario se concentre sur les mesures de sécurité. Par exemple, vous pouvez activer la connectivité privée à partir des environnements sur site, mettre en place des contrôles stricts sur l’utilisation de Private Link, établir des registres privés, garantir la segmentation du réseau et déployer des protocoles de cryptage robustes pour les données au repos et en transit. La gestion des identités et des accès et le contrôle d’accès basé sur les rôles (RBAC) assurent tous deux une administration sécurisée des utilisateurs au sein des clusters Azure Red Hat OpenShift.
Pour ajouter de la résilience, vous pouvez répartir les ressources entre les zones de disponibilité pour la tolérance aux pannes. Les obligations de conformité impliquent des évaluations des risques non Microsoft, le respect des réglementations et des protocoles de récupération d’urgence. Pour améliorer l’observabilité, vous pouvez ajouter des mécanismes de journalisation, de surveillance et de sauvegarde pour maintenir l’efficacité opérationnelle et la conformité réglementaire. Les lignes directrices de cet article fournissent un cadre complet que vous pouvez utiliser pour déployer et gérer des solutions Azure Red Hat OpenShift spécifiquement adaptées aux besoins du secteur des services financiers.
Cas d’usage potentiels
Ce scénario est particulièrement pertinent pour les clients des industries réglementées, telles que la finance et la santé. Ce scénario s’applique également aux clients ayant des exigences de sécurité élevées, telles que les solutions ayant des exigences strictes en matière de gouvernance des données.
À propos de l’installation
Ces recommandations mettent en œuvre les piliers du Framework Azure Well-Architected, qui est un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.
Fiabilité
La fiabilité permet de s’assurer que votre application tient vos engagements auprès de vos clients. Pour en savoir plus, consultez Liste de contrôle de l'examen de la conception pour la fiabilité.
La résilience est essentielle pour Microsoft Azure Red Hat OpenShift afin de maintenir le fonctionnement ininterrompu des applications critiques. Suivez ces recommandations de fiabilité :
Zones de disponibilité : Répartissez les plans de contrôle et les nœuds Worker sur trois zones de disponibilité au sein d’une région Azure. Cette configuration garantit que le cluster de plan de contrôle maintient le quorum et atténue les pannes potentielles à travers les zones de disponibilité entières. Implémentez cette répartition comme une pratique standard.
Déploiements multi-régions : Déployez des clusters Azure Red Hat OpenShift dans plusieurs régions pour vous protéger contre les pannes à l’échelle de la région. Utilisez Azure Front Door pour router le trafic vers ces clusters afin d’améliorer la résilience.
Récupération d’urgence : Mettez en œuvre des normes rigoureuses de récupération d’urgence pour protéger les données des clients et garantir la continuité des opérations commerciales. Pour répondre efficacement à ces normes, suivez les lignes directrices dans Considérations pour la récupération d’urgence.
Sauvegarde : Pour protéger les données sensibles des clients, assurez-vous de respecter des exigences de sauvegarde strictes. Configurez Azure Red Hat OpenShift pour se connecter par défaut au stockage Azure et assurez-vous qu’il se reconnecte automatiquement après une opération de restauration. Pour activer cette fonctionnalité, suivez les instructions dans Créer une sauvegarde d’application de cluster Azure Red Hat OpenShift.
Sécurité
La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour en savoir plus, consultez Liste de contrôle de l'examen de la conception pour la sécurité.
La sécurité est primordiale dans le secteur financier. Pour protéger les données sensibles et garantir la conformité réglementaire, vous avez besoin de mesures de sécurité strictes.
Mise en réseau
Connectivité privée depuis un environnement sur site : Les cas d’utilisation du secteur financier nécessitent une connectivité réseau privée exclusive sans accès Internet public. Pour améliorer la sécurité, implémentez Azure Private Links pour les adresses IP privées qui ne sont pas accessibles depuis Internet, et utilisez ExpressRoute pour la connectivité depuis les centres de données sur site. Pour plus d’informations, consultez Créer un cluster privé Azure Red Hat OpenShift.
Private Link en push-only : Les entreprises financières restreignent souvent le trafic des charges de travail Azure pour se connecter à leurs centres de données. Configurez des passerelles Private Link pour un accès uniquement entrant depuis des centres de données privés vers Azure. Assurez-vous que les dépendances du système dans les centres de données privés poussent les données vers Azure. Utilisez Private Link et Azure Firewall pour appliquer des exceptions de politique de pare-feu individuellement selon les principes du moindre privilège.
Registre privé : Pour analyser les images et empêcher l’utilisation d’images vulnérables, utilisez un référentiel de conteneurs centralisé au sein de votre périmètre. Distribuez les images de conteneurs vers les emplacements d’exécution. Implémentez Azure Container Registry et des registres externes pris en charge à cet effet. Pour plus d’informations, consultez Utiliser Container Registry dans des clusters privés Azure Red Hat OpenShift.
Segmentation du réseau : Segmentez les sous-réseaux par défaut pour la sécurité et l’isolation du réseau. Utilisez Azure Networking pour créer des sous-réseaux distincts pour les plans de contrôle, de travail et de données Azure Red Hat OpenShift, Azure Front Door, Azure Firewall, Azure Bastion et Azure Application Gateway.
Données
Cryptage des données au repos : Utilisez les politiques et configurations de stockage par défaut pour garantir le cryptage des données au repos. Chiffrez etcd derrière le plan de contrôle, et chiffrez le stockage sur chaque nœud de travail. Configurez l’accès Container Storage Interface (CSI) au stockage Azure, y compris le stockage de fichiers, de blocs et de blobs, pour les volumes persistants. Pour gérer les clés via le client ou Azure, utilisez etcd et la fonctionnalité de cryptage des données de stockage Azure Red Hat OpenShift. Pour plus d’informations, consultez Sécurité pour Azure Red Hat OpenShift.
Cryptage des données en transit : Cryptez les interconnexions entre services dans un cluster Azure Red Hat OpenShift par défaut. Activez Transport Layer Security (TLS) pour le trafic entre les services. Utilisez des politiques réseau, un service mesh et Key Vault pour le stockage des certificats. Pour plus d’informations, consultez Mettre à jour les certificats de cluster Azure Red Hat OpenShift.
Service de gestion des clés : Pour vous assurer que vous stockez et entretenez les secrets en toute sécurité, utilisez Key Vault. Considérez des fournisseurs de logiciels indépendants partenaires comme Hashicorp Vault ou CyberArk Concur pour plus d’options. Gérez les certificats et les secrets avec Key Vault et envisagez des modèles de clés personnelles. Utilisez Key Vault comme composant principal. Pour plus d’informations, consultez Clés gérées par le client pour le chiffrement Stockage Azure.
Authentification et autorisation
Gestion des identités et des accès : Utilisez Microsoft Entra ID pour la gestion centralisée des identités des clusters Azure Red Hat OpenShift. Pour plus d’informations, consultez Configurer Azure Red Hat OpenShift pour utiliser les revendications de groupe Microsoft Entra ID.
RBAC : Implémentez RBAC dans Azure Red Hat OpenShift pour fournir une autorisation granulaire des actions et des niveaux d’accès des utilisateurs. Utilisez RBAC dans les scénarios FSI pour garantir un accès au moindre privilège à l’environnement cloud. Pour plus d’informations, consultez Gérer RBAC.
Conformité
Évaluations des risques non Microsoft : Pour suivre les réglementations de conformité financière, respectez l’accès au moindre privilège, limitez la durée des privilèges escaladés et auditez l’accès aux ressources des ingénieurs de fiabilité des sites (SRE). Pour le modèle de responsabilité partagée SRE et les procédures d’escalade d’accès, consultez Vue d’ensemble des responsabilités pour Azure Red Hat OpenShift et Accès SRE à Azure Red Hat OpenShift.
Conformité réglementaire : Utilisez Azure Policy pour répondre à diverses exigences réglementaires liées à la conformité dans les scénarios FSI. Pour plus d’informations, consultez Azure Policy et Définitions d’initiatives intégrées Azure Policy.
Excellence opérationnelle
L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez la Liste de contrôle de l'examen de la conception pour l'excellence opérationnelle.
Les entreprises FSI peuvent utiliser des outils et des pratiques d’observabilité robustes pour détecter et résoudre de manière proactive les problèmes et optimiser l’utilisation des ressources. Suivez ces recommandations d’excellence opérationnelle :
Implémentez une journalisation et une surveillance efficaces : Utilisez Azure Monitor et Microsoft Sentinel pour suivre les actions et assurer l’intégrité du système dans votre environnement Azure Red Hat OpenShift. Pour compléter les pratiques d’observabilité et de surveillance, utilisez des outils non Microsoft tels que Dynatrace, Datadog et Splunk. Assurez-vous que le service géré pour Prometheus ou Azure Managed Grafana est disponible pour Azure Red Hat OpenShift.
Utilisez Azure Arc-enabled Kubernetes : Intégrez Azure Arc-enabled Kubernetes à votre environnement Azure Red Hat OpenShift pour des capacités de journalisation et de surveillance améliorées. Utilisez les outils fournis pour optimiser l’utilisation des ressources et maintenir la conformité avec les réglementations de l’industrie. Activez une surveillance et une observabilité complètes. Pour plus d’informations, consultez Azure Arc-enabled Kubernetes et Activer la surveillance pour les clusters Azure Arc-enabled.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Ayobami Ayodeji | Responsable de programme senior
Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.
Étape suivante
Azure Red Hat OpenShift Landing Zone Accelerator est un référentiel open-source qui comprend une implémentation de référence CLI Azure et des recommandations de zones de conception critiques.