Bagikan melalui

Pertimbangan manajemen identitas dan akses untuk Red Hat Enterprise Linux di Azure

Artikel ini menjelaskan pertimbangan manajemen identitas dan akses (IAM) untuk penyebaran akselerator zona pendaratan Azure Red Hat Enterprise Linux (RHEL) Anda. IAM adalah bagian penting dari pengaturan keamanan organisasi Anda. Sistem operasi RHEL dan aplikasi yang berjalan di atasnya perlu menggunakan identitas eksternal untuk menskalakan operasi. Rancang dengan hati-hati implementasi IAM cloud hibrida Anda untuk memastikan integrasi dan manajemen yang mulus dari lanskap instans Anda di dalam cloud Azure. Red Hat dan Microsoft bekerja sama untuk memastikan integrasi asli antara RHEL, Windows Server Active Directory, dan Microsoft Entra Privileged Identity Management (PIM).

Pertimbangan desain

Terapkan pertimbangan dan rekomendasi desain ini untuk membuat paket IAM yang memenuhi persyaratan organisasi Anda untuk penyebaran Azure RHEL Anda.

Secara umum, penyebaran RHEL di lingkungan hybrid-cloud harus:

  • Gunakan otoritas identitas Linux terpusat yang terintegrasi dengan subsistem keamanan sistem operasi jika memungkinkan untuk meningkatkan efisiensi operasional dan visibilitas kontrol akses. Gunakan otoritas identitas Linux terpusat sehingga Anda dapat:
    • Mengelola otorisasi khusus host untuk sistem operasi Linux.
    • Mencapai konsistensi di seluruh implementasi hibrid.
    • Mendelegasikan autentikasi ke sumber eksternal.
    • Menyederhanakan proses tinjauan kontrol akses.
    • Pastikan keseragaman.
    • Mempercepat proses implementasi.
    • Tingkatkan kerangka kerja keamanan infrastruktur Linux cloud hibrid.
  • Terapkan kebijakan secara seragam ke beberapa instans secara bersamaan. Gunakan pendekatan ini sehingga Anda tidak perlu menggunakan otomatisasi untuk memodifikasi setiap instans dalam infrastruktur saat perubahan terjadi.
  • Mendukung kontrol akses tingkat instans terpusat, aman, dan berbeda dengan menggunakan kontrol akses berbasis host, delegasi, dan aturan lainnya.
  • Mengelola aturan eskalasi hak istimewa tingkat sistem secara terpusat di seluruh otoritas identitas. Terapkan kebijakan ini secara konsisten di seluruh instans individu dan grup instans dalam lingkungan.
  • Mendukung atau menyediakan kemampuan alat otomatisasi modern untuk menguji dan secara konsisten menerapkan konfigurasi keamanan di seluruh armada sistem. Anda harus merancang otomatisasi keamanan ke dalam penyebaran hybrid-cloud dari awal.
  • Mendukung integrasi dari kemampuan Single Sign-On (SSO) sistem warisan perusahaan yang ada untuk meringankan beban migrasi, menjaga konsistensi operasi keamanan, dan mendukung integrasi modern untuk penyebaran berbasis cloud.

Menerapkan autentikasi

Penyebaran Linux cenderung menerapkan lingkungan autentikasi pengguna lokal di tingkat sistem operasi. Autentikasi dan otorisasi tingkat sistem, kepemilikan objek, izin objek, dan integrasi aplikasi didasarkan pada model ini. Aplikasi sistem operasi menggunakan identitas ini dalam banyak cara. Contohnya:

  • Proses aplikasi berjalan di bawah beberapa identitas pengguna.
  • Proses aplikasi membuat atau mengakses file yang dikaitkan dengan pengguna dan grup tertentu.
  • Sekumpulan grup tempat pengguna berada ditetapkan saat mereka masuk. Perubahan keanggotaan hanya diterapkan pada sesi baru.
  • Alur autentikasi dan otorisasi pengguna secara langsung terkait dengan sesi masuk yang aktif sebagai akibat dari autentikasi.

Sebelumnya, sesi shell yang diinisiasi oleh pengguna berdasarkan identitas ini merupakan cara utama untuk berinteraksi dengan aplikasi di Linux. Dengan pindah ke antarmuka pengguna web, seluler, dan berorientasi cloud, aplikasi yang menggunakan pola konsumsi identitas ini kurang umum.

Saat ini, identitas ini biasanya merupakan mekanisme dukungan saat Anda menjalankan aplikasi atau layanan terisolasi pada sistem operasi. Identitas tingkat aplikasi tidak harus sama dengan pengguna tingkat sistem. Tetapi identitas tingkat sistem masih penting untuk menjalankan dan mengamankan infrastruktur Linux secara efisien yang berjalan dalam skala besar di lingkungan cloud.

Untuk penyebaran cloud kecil atau penyebaran pilot, metodologi IAM tradisional ini menyediakan cara mudah untuk memulai. Ketika lingkungan berkembang, mekanisme ini menjadi lebih sulit untuk dikelola, bahkan jika Anda menggunakan otomatisasi. Ketika jumlah titik sentuh meningkat, volume data konfigurasi, data pengelogan, data penyimpangan, dan analisis yang diperlukan juga meningkat. Untuk mengelola kompleksitas ini, Anda dapat mempusatkan IAM.

Anda dapat menggunakan berbagai alat yang menyediakan keamanan terpusat dalam lingkungan Linux. Pastikan alat ini memenuhi persyaratan bisnis dan teknis Anda. RHEL memiliki daftar kompatibilitas perangkat lunak yang luas untuk keamanan. Anda dapat mengintegrasikan keamanan tingkat aplikasi dengan menggunakan ID Microsoft Entra asli Azure, solusi perangkat lunak sumber terbuka komersial seperti Okta, SailPoint, atau JumpCloud, atau solusi proyek sumber terbuka seperti Keycloak. Ada juga berbagai solusi keamanan di tingkat sistem operasi. Anda dapat menyebarkan beberapa solusi komersial dan proyek perangkat lunak sumber terbuka di cloud.

Rekomendasi desain untuk Manajemen identitas Red Hat

Bagian ini menjelaskan rekomendasi desain untuk IAM di zona pendaratan Azure untuk RHEL saat Anda menggunakan Red Hat Identity Management (IdM) dan Red Hat SSO. Layanan ini selaras dengan Cloud Adoption Framework untuk Model Adopsi Standar Infrastruktur Azure dan Red Hat. Rekomendasi ini memperluas prinsip-prinsip yang Anda gunakan untuk menerapkan penerapan cloud hibrid.

Red Hat IdM menyediakan cara terpusat untuk mengelola penyimpanan identitas, autentikasi, kebijakan, dan otorisasi di domain berbasis Linux. Red Hat IdM terintegrasi secara asli dengan Windows Server Active Directory dan Microsoft Entra ID dan disertakan dengan RHEL. Jika Anda memperluas Active Directory lokal ke Azure, Anda dapat memperoleh manfaat dari kemampuan kepercayaan Windows Server Active Directory asli Red Hat IdM. Demikian pula, jika Anda mengadopsi ID Microsoft Entra atau menggunakan penyedia identitas alternatif, Anda dapat menggunakan Red Hat IdM dan Red Hat SSO untuk integrasi yang mulus. Red Hat SSO adalah implementasi perusahaan yang didukung dari proyek sumber terbuka Keycloak. Ini disediakan tanpa biaya tambahan dengan berbagai langganan Red Hat, termasuk Red Hat Ansible Automation Platform. Red Hat menyarankan agar Anda menerapkan Red Hat IdM dalam penyebaran RHEL Anda di Azure. Diagram berikut menunjukkan penyebaran langganan manajemen RHEL.

Diagram yang menunjukkan penggambaran tingkat tinggi dari penyebaran langganan manajemen RHEL.

Komponen IAM untuk penyebaran Red Hat Anda di Azure menggunakan model penskalaan langganan untuk memberikan kontrol dan isolasi ekstra ke alat manajemen. Sistem utama dan sistem replika Red Hat IdM dan instans Red Hat SSO berada dalam langganan Red Hat Management dengan alat lain. Langganan menyediakan grup sumber daya yang dapat Anda gunakan di seluruh implementasi Anda untuk menyediakan layanan yang dilokalkan dan ketersediaan tinggi.

Diagram berikut menunjukkan arsitektur penyebaran zonal Red Hat IdM.

Diagram yang memperlihatkan arsitektur penyebaran zonal Red Hat IdM.

Diagram berikut menunjukkan penyebaran Ketersediaan tinggi Red Hat IdM di seluruh wilayah dan zona ketersediaan.

Diagram yang memperlihatkan arsitektur penyebaran multi-wilayah Red Hat IdM.

Arsitektur ini memiliki server IdM di setiap wilayah yang berfungsi untuk mereplikasi satu sama lain dan juga ke replika tersembunyi. Setidaknya ada dua tautan replikasi di seluruh wilayah. Replika tersembunyi berfungsi sebagai titik cadangan karena Anda dapat membuatnya offline sebagai cadangan penuh tanpa memengaruhi ketersediaan.

Klien IdM dapat melakukan load balancing dan failover antara server IdM berdasarkan discovery catatan layanan atau melalui daftar server yang ada di file sssd.conf. Jangan gunakan penyeimbangan beban eksternal atau konfigurasi ketersediaan tinggi dengan IdM.

Pertimbangkan rekomendasi desain penting berikut untuk penyebaran Red Hat IdM Anda.

  • Terapkan otomatisasi infrastruktur sebagai kode (IaC) untuk penyebaran, konfigurasi, dan operasi hari ke-2 Red Hat IdM. Untuk mengotomatiskan Red Hat IdM, Anda dapat menggunakan koleksi Ansible bersertifikat redhat.rhel_idm melalui Ansible Automation Hub. Untuk mengotomatiskan SSO Red Hat, Anda dapat menggunakan koleksi Ansible bersertifikat redhat.sso .

  • Menerapkan dukungan identitas perusahaan dan aplikasi. Pahami layanan mana yang diekspos oleh instans dan layanan mana yang memerlukan autentikasi di tingkat sistem operasi dan tingkat aplikasi. Gunakan Red Hat IdM untuk menerapkan keamanan lapisan OS, aturan kontrol akses berbasis host, dan aturan manajemen eskalasi hak istimewa seperti sudo. Anda juga dapat menggunakan Red Hat IdM untuk memetakan kebijakan SELinux dan memetakan identitas untuk sistem warisan. Gunakan Red Hat SSO untuk mengintegrasikan sumber autentikasi perusahaan dengan aplikasi berbasis web.

  • Gunakan manajemen identitas terpusat untuk respons ancaman. Anda dapat langsung membatalkan atau mengganti kredensial yang disusupi di seluruh penyebaran berskala cloud.

  • Tentukan jalur integrasi awal untuk penyedia identitas asli Azure, seperti Windows Server Active Directory dan MICROSOFT Entra ID. Red Hat IdM mendukung beberapa opsi integrasi. Anda dapat menambahkan dan menghapus integrasi dalam IdM, tetapi Anda harus mengevaluasi persyaratan, efek migrasi, dan biaya perubahan yang ada dari waktu ke waktu.

  • Konfigurasikan penyebaran utama Red Hat IdM dan penyebaran replika untuk mengurangi latensi dan memastikan bahwa tidak ada satu titik kegagalan dalam replikasi. Penyebaran geografis instans RHEL memengaruhi infrastruktur Red Hat IdM Anda. Anda dapat menggunakan Red Hat IdM untuk menyebarkan beberapa replika Red Hat IdM, yang memberikan peningkatan performa, penyeimbangan beban, failover, dan ketersediaan tinggi. Deployment dapat mencakup hingga 60 replika. Penyebaran replika harus memastikan bahwa sistem mencakup domain kesalahan. Kelola pembaruan replika Red Hat IdM melalui otomatisasi untuk memastikan konsistensi replikasi. Gunakan topologi replikasi yang direkomendasikan Red Hat.

  • Pastikan Anda menyiapkan konfigurasi kepercayaan Windows Server Active Directory dan konfigurasi Sistem Nama Domain (DNS) dengan benar. Saat Anda mengonfigurasi Red Hat IdM dan Windows Server Active Directory, server Active Directory lokal dan server Red Hat IdM perlu berada di domain DNS atau subdomain mereka sendiri. Persyaratan ini karena catatan layanan Kerberos dan penemuan layanan Kerberos. Cloud Adoption Framework merekomendasikan resolusi DNS IP privat untuk instans berbasis Azure.

  • Konfigurasikan integrasi Red Hat Satellite untuk Red Hat IdM untuk mengotomatiskan tugas manajemen seperti zona DNS maju dan terbalik, pendaftaran host, dan pembuatan kunci Secure Shell (SSH) dan pendaftaran dalam Red Hat IdM. Red Hat IdM menyediakan layanan DNS terintegrasi. Gabungkan integrasi ini dengan kepercayaan Windows Server Active Directory sehingga pengguna Windows Server Active Directory dapat dengan lancar masuk ke sistem dan layanan RHEL melalui SSO.

  • Cadangkan sumber daya Red Hat IdM Anda. Biasanya, Anda menginstal Red Hat IdM dalam konfigurasi replika multi-server yang dikelola secara mandiri, tetapi Anda harus memastikan Anda memiliki cadangan sistem dan data yang memadai. Gunakan replika tersembunyi Red Hat IdM untuk menerapkan pencadangan offline penuh tanpa mengganggu ketersediaan layanan. Gunakan Azure Backup untuk fasilitas pencadangan terenkripsi.

  • Mintalah otoritas sertifikat eksternal (CA), CA perusahaan, atau CA mitra untuk menandatangani sertifikat akar Red Hat IdM ketika Anda menjalankan RHEL dengan CA terintegrasi.

  • Integrasikan layanan Red Hat Identity dengan produk Red Hat lainnya. Red Hat IdM dan Red Hat SSO terintegrasi dengan Ansible Automation Platform, OpenShift Container Platform, OpenStack Platform, Satellite, dan alat pengembangan.

Gunakan panduan Manajemen Identitas Perencanaan untuk merencanakan infrastruktur Anda dan mengintegrasikan layanan untuk penyebaran Red Hat IdM Anda. Lihat panduan khusus untuk rilis sistem operasi RHEL tempat Anda berencana untuk menyebarkan Red Hat IdM.

Rekomendasi desain untuk manajemen identitas asli Azure

  • Gunakan komputer virtual Azure RHEL dengan ID Microsoft Entra untuk membatasi hak pengguna dan meminimalkan jumlah pengguna yang memiliki hak administrator. Batasi hak pengguna untuk melindungi akses konfigurasi dan rahasia. Untuk informasi selengkapnya, lihat Peran bawaan Azure untuk komputasi.

  • Ikuti prinsip hak istimewa paling sedikit, dan tetapkan izin minimum yang dibutuhkan pengguna untuk tugas yang diotorisasi. Berikan akses penuh dan akses just-in-time hanya sesuai kebutuhan. Gunakan Microsoft Entra PIM dan IAM di zona pendaratan Azure.

  • Gunakan identitas terkelola untuk mengakses sumber daya RHEL yang dilindungi ID Microsoft Entra tanpa perlu mengelola rahasia untuk beban kerja yang berjalan di Azure.

  • Pertimbangkan untuk menggunakan MICROSOFT Entra ID sebagai platform autentikasi inti dan otoritas sertifikat untuk SSH ke VM Linux.

  • Lindungi informasi sensitif seperti kunci, rahasia, dan sertifikat. Untuk informasi selengkapnya, lihat Cloud Adoption Framework untuk enkripsi dan manajemen kunci di Azure.

  • Terapkan SSO dengan menggunakan Windows Server Active Directory, Microsoft Entra ID, atau Active Directory Federation Services (AD FS). Pilih layanan Anda berdasarkan jenis akses Anda. Gunakan SSO sehingga pengguna dapat terhubung ke aplikasi RHEL tanpa ID pengguna dan kata sandi setelah idP pusat berhasil mengautentikasinya.

  • Pertimbangkan untuk memutar kata sandi administrator lokal secara teratur. Untuk sistem Windows, Microsoft LAPS adalah opsi yang layak. Untuk RHEL, gunakan alat otomatisasi atau platform identitas terpusat. Red Hat IdM atau MICROSOFT Entra ID dengan akses berbasis sertifikat SSH dapat menyederhanakan manajemen kata sandi untuk komputer yang bergabung dengan domain.

Langkah selanjutnya