Delen via

Overwegingen voor identiteits- en toegangsbeheer voor Red Hat Enterprise Linux in Azure

  • Artikel

In dit artikel worden overwegingen voor identiteits- en toegangsbeheer (IAM) beschreven voor de implementatie van de Azure Red Hat Enterprise Linux-landingszoneversneller (RHEL). IAM is een belangrijk onderdeel van de beveiligingsinstellingen van uw organisatie. Het RHEL-besturingssysteem en de toepassingen die erop worden uitgevoerd, moeten externe identiteiten gebruiken om bewerkingen te schalen. Ontwerp zorgvuldig uw hybride cloud-IAM-implementatie om een soepele integratie en beheer van uw exemplaarlandschap in de Azure-cloud te garanderen. Red Hat en Microsoft werken samen om systeemeigen integratie tussen RHEL, Windows Server Active Directory en Microsoft Entra Privileged Identity Management (PIM) te garanderen.

Ontwerpoverwegingen

Implementeer deze ontwerpoverwegingen en aanbevelingen om een IAM-plan te maken dat voldoet aan de vereisten van uw organisatie voor uw Azure RHEL-implementatie.

Over het algemeen moet een RHEL-implementatie in een hybride-cloudomgeving het volgende doen:

  • Gebruik waar mogelijk een gecentraliseerde Linux-identiteitsinstantie die kan worden geïntegreerd met het subsysteembeveiliging van het besturingssysteem om de operationele efficiëntie en zichtbaarheid van toegangsbeheer te vergroten. Gebruik een gecentraliseerde Linux-identiteitsinstantie, zodat u het volgende kunt doen:
    • Hostspecifieke autorisatie voor het Linux-besturingssysteem beheren.
    • Consistentie bereiken voor hybride implementaties.
    • Verificatie delegeren aan externe bronnen.
    • Stroomlijn het controleproces voor toegangsbeheer.
    • Zorg voor uniformiteit.
    • Versnel het implementatieproces.
    • Verbeter het beveiligingsframework van een Hybride Cloud Linux-infrastructuur.
  • Pas beleidsregels uniform toe op meerdere exemplaren tegelijk. Gebruik deze methode zodat u geen automatisering hoeft te gebruiken om elk exemplaar in de infrastructuur te wijzigen wanneer er een wijziging optreedt.
  • Ondersteuning voor gecentraliseerd, veilig, gedifferentieerd toegangsbeheer op exemplaarniveau met behulp van op host gebaseerd toegangsbeheer, delegatie en andere regels.
  • Beheer centraal escalatieregels voor bevoegdheden op systeemniveau voor de identiteitsinstantie. Pas dit beleid consistent toe op afzonderlijke exemplaren en groepen exemplaren in de omgeving.
  • Ondersteuning voor moderne automatiseringsprogramma's voor het testen en consistent implementeren van beveiligingsconfiguraties in verschillende systemen. U moet vanaf het begin beveiligingsautomatisering ontwerpen in een hybride-cloudimplementatie.
  • Ondersteuning voor de integratie van bestaande verouderde enterprise-mogelijkheden voor eenmalige aanmelding (SSO) om migratielasten te vereenvoudigen, consistentie van beveiligingsbewerkingen te behouden en moderne integraties voor cloudimplementaties te ondersteunen.

Verificatie implementeren

Linux-implementaties implementeren meestal lokale gebruikersverificatieomgevingen op besturingssysteemniveau. Verificatie en autorisatie op systeemniveau, objecteigendom, objectmachtigingen en toepassingsintegraties zijn gebaseerd op dit model. Toepassingen van besturingssystemen gebruiken deze identiteiten op veel manieren. Voorbeeld:

  • Toepassingsprocessen worden uitgevoerd onder sommige gebruikersidentiteiten.
  • Toepassingsprocessen maken of openen bestanden die zijn toegeschreven aan specifieke gebruikers en groepen.
  • Een set groepen waartoe een gebruiker behoort, wordt opgelost wanneer ze zich aanmelden. Lidmaatschapswijzigingen worden alleen toegepast op nieuwe sessies.
  • De verificatie- en autorisatiestroom van een gebruiker is rechtstreeks gekoppeld aan de aanmeldingssessie die actief is als gevolg van verificatie.

Voorheen waren door de gebruiker geïnitieerde shellsessies die op deze identiteiten waren gebaseerd, de primaire methode voor interactie met toepassingen op Linux. Met de overstap naar web-, mobiele en cloudgeoriënteerde gebruikersinterfaces zijn toepassingen die gebruikmaken van dit patroon van identiteitsverbruik minder vaak.

Tegenwoordig zijn deze identiteiten doorgaans een ondersteuningsmechanisme wanneer u geïsoleerde toepassingen of services uitvoert op een besturingssysteem. Identiteiten op toepassingsniveau hoeven niet noodzakelijkerwijs hetzelfde te zijn als de gebruikers op systeemniveau. Maar de identiteit op systeemniveau is nog steeds essentieel voor het efficiënt uitvoeren en beveiligen van een Linux-infrastructuur die op schaal wordt uitgevoerd in een cloudomgeving.

Voor kleine cloudimplementaties of testimplementaties bieden deze traditionele IAM-methodologieën een eenvoudige manier om aan de slag te gaan. Als een omgeving wordt geschaald, zijn deze mechanismen moeilijker te beheren, zelfs als u automatisering gebruikt. Naarmate het aantal aanraakpunten toeneemt, neemt het volume van configuratiegegevens, logboekgegevens, driftgegevens en de vereiste analyse ook toe. Als u deze complexiteit wilt beheren, kunt u IAM centraliseren.

U kunt verschillende hulpprogramma's gebruiken die gecentraliseerde beveiliging bieden binnen een Linux-omgeving. Zorg ervoor dat het hulpprogramma voldoet aan uw zakelijke en technische vereisten. RHEL heeft een brede lijst met softwarecompatibiliteit voor beveiliging. U kunt beveiliging op toepassingsniveau integreren met behulp van systeemeigen Microsoft Entra ID van Azure, commerciële opensource-softwareoplossingen zoals Okta, SailPoint of JumpCloud, of opensource-projectoplossingen zoals Keycloak. Er zijn ook verschillende beveiligingsoplossingen op besturingssysteemniveau. U kunt verschillende commerciële oplossingen en opensource-softwareprojecten implementeren in de cloud.

Ontwerpaan aanbevelingen voor Red Hat Identity Management

In deze sectie worden ontwerpaanbevelingen voor IAM in Azure-landingszones voor RHEL beschreven wanneer u Red Hat Identity Management (IdM) en Red Hat SSO gebruikt. Deze services zijn afgestemd op het Cloud Adoption Framework voor Azure en Red Hat Infrastructure Standard Adoption Model. De aanbevelingen breiden de principes uit die u gebruikt om een hybride cloudimplementatie te implementeren.

Red Hat IdM biedt een gecentraliseerde manier om identiteitsarchieven, verificatie, beleid en autorisatie te beheren in een op Linux gebaseerd domein. Red Hat IdM integreert systeemeigen met Windows Server Active Directory en Microsoft Entra ID en is opgenomen in RHEL. Als u uw on-premises Active Directory uitbreidt naar Azure, kunt u profiteren van de red Hat IdM-systeemeigen Vertrouwensmogelijkheid van Windows Server Active Directory. Als u microsoft Entra ID gebruikt of een alternatieve id-provider gebruikt, kunt u Red Hat IdM en Red Hat SSO gebruiken voor naadloze integratie. Red Hat SSO is een ondersteunde zakelijke implementatie van het opensource-project Keycloak. Het wordt gratis aangeboden met verschillende Red Hat-abonnementen, waaronder Red Hat Ansible Automation Platform. Red Hat raadt u aan Red Hat IdM te implementeren binnen uw RHEL-implementatie in Azure. In het volgende diagram ziet u de implementatie van een RHEL-beheerabonnement.

Diagram met een afbeelding op hoog niveau van de implementatie van een RHEL-beheerabonnement.

De IAM-onderdelen voor uw Red Hat-implementatie in Azure gebruiken het schaalmodel voor abonnementen om extra controle en isolatie te bieden voor de beheerhulpprogramma's. De primaire systemen en replicasystemen van Red Hat IdM en Red Hat SSO-exemplaren bevinden zich in een Red Hat Management-abonnement met andere hulpprogramma's. Het abonnement biedt resourcegroepen die u tijdens uw implementatie kunt gebruiken om gelokaliseerde services en hoge beschikbaarheid te bieden.

In het volgende diagram ziet u een zonegebonden Red Hat IdM-implementatiearchitectuur.

Diagram met de zonegebonden implementatiearchitectuur van Red Hat IdM.

In het volgende diagram ziet u een implementatie met hoge beschikbaarheid van Red Hat IdM tussen regio's en beschikbaarheidszones.

Diagram met de implementatiearchitectuur van Red Hat IdM voor meerdere regio's.

Deze architectuur heeft IdM-servers binnen elke regio die naar elkaar repliceren en naar een verborgen replica. Er zijn ten minste twee replicatiekoppelingen tussen regio's. De verborgen replica's fungeren als de back-uppunten, omdat u ze offline kunt halen als volledige back-ups zonder dat dit van invloed is op de beschikbaarheid.

IdM-clients kunnen taakverdeling en failover tussen IdM-servers uitvoeren op basis van detectie van servicerecords of via een lijst met servers in het bestand sssd.conf . Gebruik geen configuraties voor externe taakverdeling of hoge beschikbaarheid met IdM.

Bekijk de volgende essentiële ontwerpaanvelingen voor uw Red Hat IdM-implementatie.

  • Implementeer infrastructuur als codeautomatisering (IaC) voor implementatie-, configuratie- en dag-2-bewerkingen van Red Hat IdM. Als u Red Hat IdM wilt automatiseren, kunt u de gecertificeerde Ansible-verzameling gebruiken redhat.rhel_idm via Ansible Automation Hub. Als u eenmalige aanmelding van Red Hat wilt automatiseren, kunt u de gecertificeerde Ansible-verzameling redhat.sso gebruiken.

  • Implementeer ondersteuning voor bedrijfs- en toepassingsidentiteit. Begrijpen welke services beschikbaar worden gesteld door exemplaren en welke services verificatie vereisen op besturingssysteemniveau en op toepassingsniveau. Gebruik Red Hat IdM om beveiligingsregels voor besturingssysteemlagen, hosttoegangsbeheerregels en beheerregels voor escalatie van bevoegdheden, zoals sudo, te implementeren. U kunt Red Hat IdM ook gebruiken om SELinux-beleid toe te wijzen en identiteiten toe te wijzen voor verouderde systemen. Gebruik Red Hat SSO om bedrijfsverificatiebronnen te integreren met webtoepassingen.

  • Gecentraliseerd identiteitsbeheer gebruiken voor reactie op bedreigingen. U kunt gecompromitteerde referenties direct ongeldig maken of roteren in implementaties op cloudschaal.

  • Bepaal het initiële integratiepad voor systeemeigen Azure-id-providers, zoals Windows Server Active Directory en Microsoft Entra-id. Red Hat IdM ondersteunt verschillende integratieopties. U kunt integraties binnen IdM toevoegen en verwijderen, maar u moet bestaande vereisten, migratie-effecten en de kosten van wijzigingen in de loop van de tijd evalueren.

  • Configureer primaire implementaties en replica-implementaties van Red Hat IdM om latentie te verminderen en ervoor te zorgen dat er geen single point of failure in replication is. Geografische implementaties van RHEL-exemplaren zijn van invloed op uw Red Hat IdM-infrastructuur. U kunt Red Hat IdM gebruiken om meerdere Red Hat IdM-replica's te implementeren. Dit biedt verbeterde prestaties, taakverdeling, failover en hoge beschikbaarheid. Implementaties kunnen bestaan uit maximaal 60 replica's. Replica-implementaties moeten ervoor zorgen dat systemen foutdomeinen omvatten. Beheer Red Hat IdM-replica-updates via automatisering om replicatieconsistentie te garanderen. Gebruik Red Hat-aanbevolen replicatietopologieën.

  • Zorg ervoor dat u de configuratie van de Windows Server Active Directory-vertrouwensrelatie en DNS-configuratie (Domain Name System) juist instelt. Wanneer u Red Hat IdM en Windows Server Active Directory configureert, moeten zowel on-premises Active Directory-servers als Red Hat IdM-servers zich in hun eigen DNS-domeinen of subdomeinen bevinden. Deze vereiste komt door Kerberos-servicerecords en Kerberos-servicedetectie. Het Cloud Adoption Framework raadt privé-IP-DNS-omzetting aan voor instanties op basis van Azure.

  • Configureer Red Hat Satellite voor Red Hat IdM-integratie om beheertaken te automatiseren, zoals het doorsturen en omkeren van DNS-zones, hostregistratie en het genereren en registreren van SSH-sleutels (Secure Shell) in Red Hat IdM. Red Hat IdM biedt een geïntegreerde DNS-service. Combineer deze integratie met de Vertrouwensrelatie van Windows Server Active Directory, zodat Windows Server Active Directory-gebruikers zich naadloos kunnen aanmelden bij RHEL-systemen en -services via eenmalige aanmelding.

  • Maak een back-up van uw Red Hat IdM-resources. Normaal gesproken implementeert u Red Hat IdM in een zelfbeheerde multi-main replicaconfiguratie, maar u moet er ook voor zorgen dat u over de juiste systeem- en gegevensback-ups beschikt. Gebruik Verborgen replica's van Red Hat IdM om volledige offline back-ups te implementeren zonder de beschikbaarheid van de service te onderbreken. Gebruik Azure Backup voor versleutelde back-upfaciliteit.

  • Zorg dat een externe certificeringsinstantie (CA), bedrijfs-CA of partner-CA het Red Hat IdM-basiscertificaat ondertekent wanneer u RHEL implementeert met de geïntegreerde CA.

  • Integreer Red Hat Identity-services met andere Red Hat-producten. Red Hat IdM en Red Hat SSO kunnen worden geïntegreerd met Ansible Automation Platform, OpenShift Container Platform, OpenStack Platform, Satellite en ontwikkelhulpprogramma's.

Gebruik de planningshandleiding voor identiteitsbeheer om uw infrastructuur te plannen en services te integreren voor uw Red Hat IdM-implementatie. Raadpleeg de specifieke handleiding voor de release van het besturingssysteem van RHEL waarop u Red Hat IdM wilt implementeren.

Ontwerpaanbevelingen voor azure-systeemeigen identiteitsbeheer

  • Gebruik virtuele Azure RHEL-machines met Microsoft Entra-id om gebruikersrechten te beperken en het aantal gebruikers met beheerdersrechten te minimaliseren. Beperk gebruikersrechten om de toegang tot de configuratie en geheimen te beveiligen. Zie ingebouwde Azure-rollen voor berekeningen voor meer informatie.

  • Volg het principe van minimale bevoegdheden en wijs de minimale machtigingen toe die gebruikers nodig hebben voor geautoriseerde taken. Geef volledige toegang en Just-In-Time-toegang alleen indien nodig. Gebruik Microsoft Entra PIM en IAM in Azure-landingszones.

  • Gebruik beheerde identiteiten voor toegang tot met Microsoft Entra ID beveiligde RHEL-resources zonder dat u geheimen hoeft te beheren voor workloads die worden uitgevoerd in Azure.

  • Overweeg om Microsoft Entra ID te gebruiken als basisverificatieplatform en een certificeringsinstantie voor SSH in een Linux-VM.

  • Beveilig gevoelige informatie, zoals sleutels, geheimen en certificaten. Zie Cloud Adoption Framework voor versleuteling en sleutelbeheer in Azure voor meer informatie.

  • Implementeer eenmalige aanmelding met Windows Server Active Directory, Microsoft Entra ID of Active Directory Federation Services (AD FS). Kies uw service op basis van uw toegangstype. Gebruik eenmalige aanmelding zodat de gebruikers zonder gebruikers-id en wachtwoord verbinding kunnen maken met RHEL-toepassingen nadat de centrale id-provider deze heeft geverifieerd.

  • Gebruik een oplossing, zoals Local Administrator Password Solution (LAPS), om regelmatig lokale beheerderswachtwoorden te roteren. Zie Beveiligingsevaluatie: Microsoft LAPS-gebruik voor meer informatie.

Volgende stappen