Keamanan untuk akselerator zona pendaratan Azure Red Hat OpenShift
Keamanan adalah perhatian penting bagi semua sistem online. Artikel ini menyediakan pertimbangan dan rekomendasi desain untuk melindungi dan mengamankan penyebaran Azure Red Hat OpenShift Anda.
Pertimbangan Desain
Azure Red Hat OpenShift berfungsi dengan layanan Azure lainnya seperti MICROSOFT Entra ID, Azure Container Registry, Azure Storage, dan Azure Virtual Network. Antarmuka ini membutuhkan perhatian khusus selama fase perencanaan. Azure Red Hat OpenShift juga menambahkan kompleksitas ekstra, jadi Anda harus mempertimbangkan untuk menerapkan mekanisme dan kontrol tata kelola dan kepatuhan keamanan yang sama seperti di lanskap infrastruktur Lainnya.
Berikut adalah beberapa pertimbangan desain untuk tata kelola dan kepatuhan keamanan:
Jika Anda menyebarkan kluster Azure Red Hat OpenShift menggunakan praktik terbaik zona pendaratan Azure, pahami kebijakan yang akan diwariskan oleh kluster.
Tentukan apakah sarana kontrol kluster harus dapat diakses melalui internet, yang merupakan default. Jika demikian, pembatasan IP disarankan. Jika sarana kontrol kluster hanya akan dapat diakses dari dalam jaringan privat Anda, baik di Azure atau lokal, maka sebarkan kluster privat Azure Red Hat OpenShift.
Tentukan cara mengontrol dan mengamankan lalu lintas keluar dari kluster Azure Red Hat OpenShift Anda menggunakan Azure Firewall atau appliance virtual jaringan lainnya.
Tentukan bagaimana rahasia akan dikelola di kluster Anda. Anda dapat menggunakan Penyedia Azure Key Vault untuk Secrets Store CSI Driver untuk melindungi rahasia, atau menyambungkan kluster Azure Red Hat OpenShift ke Kubernetes dengan dukungan Azure Arc dan menggunakan ekstensi Penyedia Rahasia Azure Key Vault untuk mengambil rahasia.
Tentukan apakah registri kontainer Anda dapat diakses melalui internet, atau hanya dalam jaringan virtual tertentu. Menonaktifkan akses internet dalam registri kontainer dapat memiliki efek negatif pada sistem lain yang mengandalkan konektivitas publik, seperti alur integrasi berkelanjutan atau pemindaian gambar Pertahanan Microsoft untuk Kontainer. Untuk informasi lebih lanjut, lihat Menyambungkan secara privat ke registri kontainer Azure menggunakan Azure Private Link.
Tentukan apakah registri kontainer privat Anda akan dibagikan di beberapa zona pendaratan atau apakah Anda akan menyebarkan registri kontainer khusus ke setiap langganan zona pendaratan.
Tentukan bagaimana gambar dasar kontainer dan waktu proses aplikasi Anda akan diperbarui selama siklus hidup kontainer. Tugas Azure Container Registry memberikan dukungan untuk mengotomatiskan alur kerja patching OS dan kerangka kerja aplikasi Anda, mempertahankan lingkungan yang aman sambil mematuhi prinsip-prinsip kontainer yang tidak dapat diubah.
Rekomendasi desain
Batasi akses ke file konfigurasi kluster Azure Red Hat OpenShift dengan mengintegrasikan dengan ID Microsoft Entra atau idP Anda sendiri. Tetapkan kontrol akses berbasis peran OpenShift yang sesuai seperti cluster-admin atau cluster-reader.
Mengamankan akses pod ke sumber daya. Berikan jumlah izin paling sedikit, dan hindari penggunaan akar, atau eskalasi hak istimewa.
Untuk mengelola dan melindungi rahasia, sertifikat, dan string koneksi di kluster, Anda harus menghubungkan kluster Azure Red Hat OpenShift ke Kubernetes dengan dukungan Azure Arc dan menggunakan ekstensi Penyedia Rahasia Azure Key Vault untuk mengambil rahasia.
Untuk kluster Azure Red Hat OpenShift 4, data etcd tidak dienkripsi secara default, tetapi disarankan untuk mengaktifkan enkripsi etcd untuk memberikan lapisan keamanan data lain.
Pertahankan kluster Anda pada versi OpenShift terbaru untuk menghindari potensi masalah keamanan atau peningkatan. Azure Red Hat OpenShift hanya mendukung rilis minor Platform Kontainer Red Hat OpenShift saat ini dan sebelumnya yang tersedia secara umum. Tingkatkan kluster jika ada pada versi yang lebih lama dari rilis minor terakhir.
Memantau dan menerapkan konfigurasi dengan menggunakan Ekstensi Azure Policy.
Koneksi kluster Azure Red Hat OpenShift ke Kubernetes dengan dukungan Azure Arc.
Gunakan Pertahanan Microsoft untuk Kontainer yang didukung melalui Kubernetes dengan dukungan Arc untuk mengamankan kluster, kontainer, dan aplikasi. Pindai juga gambar Anda untuk kerentanan dengan Pertahanan Microsoft atau solusi pemindaian gambar lainnya.
Sebarkan instans khusus dan privat Azure Container Registry ke setiap langganan zona pendaratan.
Gunakan Private Link untuk Azure Container Registry untuk menyambungkannya ke Azure Red Hat OpenShift.
Gunakan host bastion, atau jumpbox, untuk mengakses Kluster Privat Azure Red Hat OpenShift dengan aman.
Langkah berikutnya
Pelajari tentang manajemen operasi dan pertimbangan garis besar untuk zona pendaratan Azure Red Hat OpenShift.
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk