Azure CycleCloud — najlepsze rozwiązania w zakresie zabezpieczeń
W tym artykule omówiono najlepsze rozwiązania i przydatne wskazówki dotyczące bezpieczniejszego i efektywnego korzystania z usługi Azure CycleCloud. W przypadku korzystania z usługi Azure CycleCloud możesz użyć najlepszych rozwiązań wymienionych tutaj jako krótkiej dokumentacji.
Instalacja
Domyślna instalacja aplikacji CycleCloud używa nieszyfrowanego protokołu HTTP uruchomionego na porcie 8080. Zdecydowanie zalecamy skonfigurowanie protokołu SSL dla wszystkich instalacji, aby zapobiec niezaszyfrowanemu dostępowi do instalacji aplikacji CycleCloud. Usługa CycleCloud nie powinna być dostępna z Internetu, ale w razie potrzeby powinien zostać uwidoczniony tylko port 443. Jeśli chcesz ograniczyć bezpośredni dostęp do Internetu, skonfiguruj opcję używania serwera proxy dla całego ruchu HTTP i/lub HTTPS powiązanego z Internetem. Aby wyłączyć niezaszyfrowaną komunikację i dostęp HTTP do aplikacji CycleCloud, zapoznaj się z konfiguracją protokołu SSL.
Jeśli chcesz również ograniczyć wychodzący dostęp do Internetu, można skonfigurować usługę CycleCloud do używania serwera proxy dla całego ruchu HTTP i/lub HTTPS powiązanego z Internetem. Aby uzyskać szczegółowe informacje, zobacz Operating in a Locked Down Environment (Obsługa w zablokowanym środowisku ).
Uwierzytelnianie i autoryzacja
Usługa Azure CycleCloud oferuje cztery metody uwierzytelniania: wbudowaną bazę danych z szyfrowaniem, usługą Active Directory, protokołem LDAP lub identyfikatorem Entra. Każde konto z pięcioma błędami autoryzacji w ciągu 60 sekund zostanie automatycznie zablokowane przez pięć minut. Konta można odblokować ręcznie przez administratora i są automatycznie odblokowywane po pięciu minutach.
Usługa CycleCloud powinna być zainstalowana na dysku z dostępem tylko do grupy administracyjnej. Uniemożliwi to użytkownikom niebędącym administratorem dostęp do nieszyfrowanych danych. Użytkownicy niebędący administratorami nie powinni być dołączani do tej grupy. W idealnym przypadku dostęp do instalacji aplikacji CycleCloud powinien być ograniczony tylko do administratorów.
Nie udostępniaj instalacji aplikacji CycleCloud w granicach zaufania. Kontrolki RBAC w ramach jednej instalacji usługi CycleCloud mogą nie być wystarczające w rzeczywistym środowisku z wieloma dzierżawami. Używaj oddzielnych i izolowanych instalacji cycleCloud dla każdej dzierżawy z danymi krytycznymi.
Sieć i zarządzanie wpisami tajnymi
Sieć wirtualna uruchamiana w klastrach powinna być zablokowana przy użyciu sieciowych grup zabezpieczeń. Dostęp do określonych portów podlega sieciowej grupie zabezpieczeń. Istnieje możliwość skonfigurowania i kontrolowania przychodzącego/wychodzącego ruchu sieciowego do/z zasobów platformy Azure w sieci wirtualnej platformy Azure. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na ruch sieciowy przychodzący lub wychodzący lub wychodzący ruch sieciowy z kilku typów zasobów platformy Azure.
Zdecydowanie zalecamy używanie co najmniej dwóch podsieci. Jedna dla maszyny wirtualnej instalacji CycleCloud i wszystkich innych maszyn wirtualnych z tymi samymi zasadami dostępu i dodatkowych podsieci dla klastrów obliczeniowych. Należy jednak pamiętać, że w przypadku dużych klastrów zakres adresów IP podsieci może stać się czynnikiem ograniczającym. Ogólnie rzecz biorąc, podsieć CycleCloud powinna używać małego zakresu CIDR (classless Inter-Domain Routing), a podsieci obliczeniowe powinny być duże.
Usługa CycleCloud używa Resource Manager Platformy Azure do zarządzania klastrami. Aby wykonać wywołania usługi Azure Resource Manager niektóre uprawnienia są przyznawane cycleCloud przez skonfigurowanie tożsamości zarządzanej na maszynie wirtualnej CycleCloud. Zaleca się użycie tożsamości zarządzanej przypisanej przez system lub przypisanej przez użytkownika.Tożsamość zarządzana przypisana przez system tworzy tożsamość w Azure AD, która jest powiązana z cyklem życia tego wystąpienia usługi. Po usunięciu tego zasobu tożsamość zarządzana zostanie automatycznie usunięta. Tożsamość zarządzana przypisana przez użytkownika może być przypisana do co najmniej jednego wystąpienia usługi platformy Azure. W takim przypadku tożsamość zarządzana jest zarządzana oddzielnie przez używane zasoby.
Zabezpieczone zablokowane środowisko
Niektóre bezpieczne środowiska produkcyjne zablokują środowisko i mają ograniczony dostęp do Internetu. Ponieważ usługa Azure CycleCloud wymaga dostępu do kont usługi Azure Storage i innych obsługiwanych usług platformy Azure, zalecanym sposobem zapewnienia dostępu prywatnego jest Virtual Network punktów końcowych usługi lub Private Link. Włączenie punktów końcowych usługi lub Private Link umożliwia zabezpieczenie zasobów usługi platformy Azure w sieci wirtualnej. Punkty końcowe usługi dodają więcej zabezpieczeń, włączając prywatne adresy IP w Virtual Network w celu uzyskania dostępu do punktów końcowych usługi platformy Azure.
Aplikacja CycleCloud i węzły klastra mogą działać w środowiskach z ograniczonym dostępem do Internetu, chociaż istnieje minimalna liczba portów TCP, które muszą pozostać otwarte. Jednym ze sposobów ograniczenia wychodzącego dostępu do Internetu z maszyny wirtualnej CycleCloud bez konfigurowania Azure Firewall lub serwera proxy HTTPS jest skonfigurowanie ścisłej sieciowej grupy zabezpieczeń platformy Azure dla podsieci maszyny wirtualnej CycleCloud. Najprostszym sposobem na to jest użycie tagów usługi w podsieci lub sieciowej grupie zabezpieczeń na poziomie maszyny wirtualnej w celu zezwolenia na wymagany dostęp wychodzący platformy Azure. Tagi usług mogą być używane zamiast określonego adresu IP podczas tworzenia reguł zabezpieczeń, można zezwolić na ruch dla odpowiedniej usługi lub go zablokować.