Az Azure Red Hat OpenShift célzónagyorsítójának biztonsága
A biztonság minden online rendszer számára kritikus fontosságú. Ez a cikk tervezési szempontokat és javaslatokat tartalmaz az Azure Red Hat OpenShift-környezetek védelméhez és védelméhez.
Kialakítási szempontok
Az Azure Red Hat OpenShift együttműködik más Azure-szolgáltatásokkal, például a Microsoft Entra ID-val, az Azure Container Registryvel, az Azure Storage-ral és az Azure Virtual Network-szel. Ezek a felületek különös figyelmet igényelnek a tervezési fázisban. Az Azure Red Hat OpenShift emellett extra összetettséggel is rendelkezik, ezért érdemes megfontolni ugyanazokat a biztonsági szabályozási és megfelelőségi mechanizmusokat és vezérlőket, mint az infrastruktúra többi területén.
Íme néhány tervezési szempont a biztonsági szabályozás és a megfelelőség szempontjából:
Ha Azure Red Hat OpenShift-fürtöt helyez üzembe az Azure-beli kezdőzóna ajánlott eljárásaival, ismerkedjen meg a fürtök által öröklődő szabályzatokkal.
Döntse el, hogy a fürt vezérlősíkjának elérhetőnek kell-e lennie az interneten keresztül, ami az alapértelmezett. Ha igen, az IP-korlátozások használata javasolt. Ha a fürtvezérlő sík csak a magánhálózatról lesz elérhető, akár az Azure-ban, akár a helyszínen, akkor telepítse az Azure Red Hat OpenShift privát fürtöt.
Döntse el, hogyan szabályozhatja és biztonságossá teheti az Azure Red Hat OpenShift-fürt kimenő forgalmát az Azure Firewall vagy más hálózati virtuális berendezés használatával.
Döntse el, hogyan kezeli a titkos kulcsokat a fürtben. A titkos kulcsok védelméhez használhatja az Azure Key Vault Provider for Secrets Store CSI-illesztőprogramot , vagy csatlakoztathatja az Azure Red Hat OpenShift-fürtöt az Azure Arc-kompatibilis Kuberneteshez , és az Azure Key Vault titkos kulcsszolgáltatói bővítményével lekérheti a titkos kulcsokat.
Döntse el, hogy a tárolóregisztrációs adatbázis elérhető-e az interneten keresztül, vagy csak egy adott virtuális hálózaton belül. A tárolóregisztrációs adatbázisban az internet-hozzáférés letiltása negatív hatással lehet más, nyilvános kapcsolatokra támaszkodó rendszerekre, például a folyamatos integrációs folyamatokra vagy a Microsoft Defender for Containers rendszerképeinek vizsgálatára. További információ: Csatlakozás privátan egy tárolóregisztrációs adatbázisba az Azure Private Link használatával.
Döntse el, hogy a privát tárolóregisztrációs adatbázis több célzóna között lesz-e megosztva, vagy egy dedikált tárolóregisztrációs adatbázist fog üzembe helyezni minden egyes kezdőzóna-előfizetésben.
Döntse el, hogy a tároló alaprendszerképeit és az alkalmazás futási idejét hogyan frissíti a tároló életciklusa során. Az Azure Container Registry Tasks támogatást nyújt az operációs rendszer és az alkalmazás-keretrendszer javítási munkafolyamatának automatizálásához, biztonságos környezetek fenntartásához, miközben betartja a nem módosítható tárolók alapelveit.
Tervezési javaslatok
Az Azure Red Hat OpenShift-fürt konfigurációs fájljához való hozzáférés korlátozása a Microsoft Entra ID-val vagy a saját identitásszolgáltatójával való integrációval. Rendelje hozzá a megfelelő OpenShift szerepköralapú hozzáférés-vezérlést , például fürtadminisztrátort vagy fürtolvasót.
Podok hozzáférésének védelme az erőforrásokhoz. Adja meg a legkevesebb engedélyt, és kerülje a gyökér- vagy emelt szintű eszkaláció használatát.
A fürt titkos kulcsainak, tanúsítványainak és kapcsolati sztring kezeléséhez és védelméhez csatlakoztassa az Azure Red Hat OpenShift-fürtöt az Azure Arc-kompatibilis Kuberneteshez, és használja az Azure Key Vault titkos kulcsszolgáltatói bővítményét a titkos kódok lekéréséhez.
Az Azure Red Hat OpenShift 4-fürtök esetében az ETCD-adatok alapértelmezés szerint nem titkosítottak, de ajánlott engedélyezni az ETCD titkosítást, hogy az adatbiztonság egy másik rétegét biztosítsa.
A lehetséges biztonsági vagy frissítési problémák elkerülése érdekében tartsa a fürtöket a legújabb OpenShift-verzión. Az Azure Red Hat OpenShift csak a Red Hat OpenShift Container Platform jelenlegi és korábbi általánosan elérhető kisebb kiadását támogatja. Frissítse a fürtöt , ha a legutóbbi alverziónál régebbi verzióban van.
A konfiguráció monitorozása és kényszerítése az Azure Policy-bővítmény használatával.
Csatlakozás Azure Red Hat OpenShift-fürtöket az Azure Arc-kompatibilis Kubernetesbe.
Fürtök, tárolók és alkalmazások védelméhez használja az Arc-kompatibilis Kubernetesen keresztül támogatott Microsoft Defender for Containerst. Emellett ellenőrizze a rendszerképek biztonsági réseit a Microsoft Defenderrel vagy bármely más képvizsgálati megoldással.
Helyezzen üzembe egy dedikált és privát Azure Container Registry-példányt minden egyes kezdőzóna-előfizetésben.
A Private Link for Azure Container Registry használatával csatlakoztassa az Azure Red Hat OpenShifthez.
Használjon megerősített gazdagépet vagy jumpboxot az Azure Red Hat OpenShift Privát fürt biztonságos eléréséhez.
Következő lépések
Ismerje meg az Azure Red Hat OpenShift kezdőzónával kapcsolatos üzemeltetési felügyeleti és alapkonfigurációs szempontokat.