Este artigo descreve como implementar uma arquitetura de zona de aterrissagem do Azure Red Hat OpenShift para o setor de serviços financeiros (FSI). Esta orientação descreve como usar o Azure Red Hat OpenShift em um ambiente de nuvem híbrida para criar soluções seguras, resilientes e compatíveis para o FSI.
Antes de criar um ambiente de produção com o Azure Red Hat OpenShift, leia as diretrizes da zona de aterrissagem do Azure Red Hat OpenShift no Cloud Adoption Framework for Azure.
Arquitetura
Transfira um ficheiro do Visio desta arquitetura.
Fluxo de dados
Este cenário usa um aplicativo que é executado em um cluster do Azure Red Hat OpenShift. O aplicativo se conecta a recursos locais e a uma rede virtual de hub no Azure que o Firewall do Azure protege. O seguinte fluxo de dados corresponde ao diagrama anterior:
O desenvolvedor escreve código dentro da rede da empresa e envia o código para o GitHub Enterprise. Você pode usar qualquer repositório de código para seu cenário.
O pipeline de implantação do cliente conteineriza o código, que o implanta em um registro de contêiner local.
A imagem pode ser implantada em um cluster OpenShift local e no cluster do Azure Red Hat OpenShift no Azure. A imagem também é implantada no Azure Red Hat OpenShift por meio do Azure ExpressRoute, que roteia o tráfego através da rede virtual do hub do Azure para o cluster privado do Azure Red Hat OpenShift na rede virtual falada. Estas duas redes estão emparelhadas.
O tráfego de saída proveniente do cluster Red Hat OpenShift do Azure é primeiro roteado através da rede virtual do hub emparelhado e, em seguida, através de uma instância do Firewall do Azure.
Para aceder à aplicação, os clientes podem aceder a um endereço Web que encaminha o tráfego através da Porta da Frente do Azure.
O Azure Front Door usa o serviço Azure Private Link para se conectar ao cluster privado do Azure Red Hat OpenShift.
Componentes
O Azure Red Hat OpenShift fornece clusters OpenShift totalmente gerenciados e altamente disponíveis sob demanda. Esses clusters servem como a principal plataforma de computação nessa arquitetura. A Microsoft e a Red Hat monitoram e operam os clusters em conjunto.
O Microsoft Entra ID, anteriormente conhecido como Azure Ative Directory, é um serviço de gerenciamento de identidade e acesso baseado em nuvem que seus funcionários podem usar para acessar recursos externos. Nessa arquitetura, o Microsoft Entra ID fornece aos clientes acesso seguro e granular a recursos externos.
Você pode usar a Rota Expressa com um provedor de conectividade para estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada. Essa arquitetura usa a Rota Expressa para fornecer conectividade privada de alta largura de banda entre recursos locais e o Azure.
O Azure Key Vault é uma solução de gerenciamento de chaves que armazena e gerencia segredos, chaves e certificados. Essa arquitetura usa o Key Vault para armazenar segredos com segurança para os aplicativos executados no cluster privado do Azure Red Hat OpenShift.
O Azure Bastion é uma plataforma como serviço (PaaS) totalmente gerenciada que você pode implantar para se conectar com segurança a máquinas virtuais (VM) por meio de um endereço IP privado. Essa arquitetura usa o Azure Bastion para se conectar a uma VM do Azure na rede privada porque esse cenário implementa um cluster privado.
O Firewall do Azure é um serviço de segurança de firewall de rede inteligente e nativo da nuvem que fornece proteção contra ameaças para suas cargas de trabalho de nuvem executadas no Azure. Essa arquitetura usa o Firewall do Azure para monitorar e filtrar o tráfego de rede que entra e sai do ambiente do Azure Red Hat OpenShift.
Alternativas
Você pode usar o Azure Red Hat OpenShift para acessar o ecossistema OpenShift. Quando você executa o OpenShift localmente, a maioria dos serviços de plataforma incluídos se aplica ao Azure Red Hat OpenShift. Você pode usar esses serviços de plataforma como alternativas para alguns dos serviços do Azure mencionados neste artigo.
Alternativas que não são da Microsoft estão disponíveis. Por exemplo, você pode hospedar seu registro de contêiner local ou usar o OpenShift GitOps em vez de Ações do GitHub. Você também pode usar soluções de monitoramento que não sejam da Microsoft que funcionam perfeitamente com ambientes do Azure Red Hat OpenShift. Este artigo se concentra nas alternativas do Azure que os clientes costumam usar para criar suas soluções no Red Hat OpenShift do Azure.
Detalhes do cenário
FSI e outros setores regulamentados Os clientes do Azure Red Hat OpenShift geralmente têm requisitos rigorosos para seus ambientes. Essa arquitetura descreve critérios e diretrizes abrangentes que as instituições financeiras podem usar para projetar soluções que atendam aos seus requisitos exclusivos quando usam o Azure Red Hat OpenShift em um ambiente de nuvem híbrida.
Este cenário centra-se em medidas de segurança. Por exemplo, você pode habilitar a conectividade privada de ambientes locais, implementar controles rigorosos sobre o uso de links privados, estabelecer registros privados, garantir a segregação de rede e implantar protocolos de criptografia robustos para dados em repouso e dados em trânsito. O gerenciamento de identidade e acesso e o controle de acesso baseado em função (RBAC) garantem a administração segura do usuário nos clusters do Azure Red Hat OpenShift.
Para adicionar resiliência, você pode distribuir recursos entre zonas de disponibilidade para tolerância a falhas. As obrigações de conformidade envolvem avaliações de risco que não sejam da Microsoft, adesão regulatória e protocolos de recuperação de desastres. Para melhorar a observabilidade, você pode adicionar mecanismos de registro, monitoramento e backup para manter a eficiência operacional e a conformidade normativa. As diretrizes neste artigo fornecem uma estrutura abrangente que você pode usar para implantar e gerenciar soluções do Azure Red Hat OpenShift que são especificamente adaptadas às necessidades do setor de serviços financeiros.
Potenciais casos de utilização
Esse cenário é mais relevante para clientes de setores regulados, como finanças e saúde. Esse cenário também se aplica a clientes que têm requisitos de segurança elevados, como soluções que têm requisitos rígidos de governança de dados.
Considerações
Essas recomendações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que você pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.
Fiabilidade
A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.
A resiliência é essencial para que o Microsoft Azure Red Hat OpenShift mantenha a operação ininterrupta de aplicativos de missão crítica. Siga estas recomendações de fiabilidade:
Zonas de disponibilidade: distribua o plano de controle e os nós de trabalho em três zonas de disponibilidade dentro de uma região do Azure. Essa configuração garante que o cluster do plano de controle mantenha o quórum e reduza possíveis falhas em zonas de disponibilidade inteiras. Implemente essa distribuição como uma prática padrão.
Implantações em várias regiões: implante clusters do Azure Red Hat OpenShift em várias regiões para proteger contra falhas em toda a região. Use o Azure Front Door para rotear o tráfego para esses clusters para melhorar a resiliência.
Recuperação de desastres: implemente padrões rigorosos de recuperação de desastres para proteger os dados dos clientes e garantir operações de negócios contínuas. Para atender a esses padrões de forma eficaz, siga as diretrizes em Considerações para recuperação de desastres.
Backup: para proteger dados confidenciais de clientes, garanta a conformidade com requisitos rigorosos de backup. Configure o Red Hat OpenShift do Azure para anexar ao armazenamento do Azure por padrão e garantir que ele seja reanexado automaticamente após uma operação de restauração. Para habilitar esse recurso, siga as instruções em Criar um backup de aplicativo de cluster do Azure Red Hat OpenShift.
Segurança
A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.
A segurança é primordial no setor financeiro. Para proteger dados confidenciais e garantir a conformidade regulamentar, você precisa de medidas de segurança rigorosas.
Rede
Conectividade privada a partir de um ambiente local: os casos de uso do setor financeiro exigem conectividade de rede privada exclusiva sem acesso público à Internet. Para melhorar a segurança, implemente links privados do Azure para endereços IP privados inacessíveis pela Internet e use a Rota Expressa para conectividade de datacenters locais. Para obter mais informações, consulte Criar um cluster privado do Azure Red Hat OpenShift.
Link privado somente push: as empresas financeiras geralmente restringem o tráfego de carga de trabalho do Azure de se conectar de volta aos seus datacenters. Configure gateways de Link Privado para acesso somente de entrada de datacenters privados para o Azure. Certifique-se de que as dependências do sistema em datacenters privados enviem dados por push para o Azure. Use o Private Link e o Firewall do Azure para aplicar exceções de política de firewall individualmente de acordo com os princípios de privilégios mínimos.
Registro privado: para digitalizar imagens e evitar o uso de imagens vulneráveis, use um repositório de contêiner centralizado dentro do seu perímetro. Distribua imagens de contêiner para locais de tempo de execução. Implemente o Registro de Contêiner do Azure e os registros externos com suporte para essa finalidade. Para obter mais informações, consulte Usar o Registro de Contêiner em clusters privados do Azure Red Hat OpenShift.
Segmentação de rede: segmente sub-redes padrão para segurança e isolamento de rede. Use a rede do Azure para criar sub-redes distintas para planos de controle do Azure Red Hat OpenShift, planos de trabalho e planos de dados, Azure Front Door, Azure Firewall, Azure Bastion e Azure Application Gateway.
Dados
Criptografia de dados em repouso: use políticas e configurações de armazenamento padrão para garantir a criptografia de dados em repouso. Criptografe etcd atrás do plano de controle e criptografe o armazenamento em cada nó de trabalho. Configure o acesso da Interface de Armazenamento de Contêiner (CSI) ao armazenamento do Azure, incluindo armazenamento de arquivos, blocos e blobs, para volumes persistentes. Para gerenciar chaves por meio do cliente ou do Azure, use etcd e o recurso Azure Red Hat OpenShift, criptografia de dados de armazenamento. Para obter mais informações, consulte Segurança para o Azure Red Hat OpenShift.
Criptografia de dados em trânsito: criptografe interconexões entre serviços em um cluster padrão do Azure Red Hat OpenShift. Habilite o Transport Layer Security (TLS) para o tráfego entre serviços. Use políticas de rede, malha de serviço e Cofre de Chaves para armazenamento de certificados. Para obter mais informações, consulte Atualizar certificados de cluster do Azure Red Hat OpenShift.
Serviço de gerenciamento de chaves: para garantir que você armazene e atenda segredos com segurança, use o Cofre de Chaves. Considere fornecedores de software independentes parceiros como Hashicorp Vault ou CyberArk Concur para obter mais opções. Lide com certificados e segredos com o Cofre de Chaves e considere trazer modelos de sua própria chave. Use o Key Vault como o componente principal. Para obter mais informações, consulte Chaves gerenciadas pelo cliente para criptografia de Armazenamento do Azure.
Autenticação e autorização
Gerenciamento de identidade e acesso: use o Microsoft Entra ID para gerenciamento centralizado de identidades de clusters do Azure Red Hat OpenShift. Para obter mais informações, consulte Configurar o Azure Red Hat OpenShift para usar declarações de grupo do Microsoft Entra ID.
RBAC: implemente o RBAC no Azure Red Hat OpenShift para fornecer autorização granular de ações do usuário e níveis de acesso. Use o RBAC em cenários FSI para garantir acesso de privilégios mínimos ao ambiente de nuvem. Para obter mais informações, consulte Gerenciar RBAC.
Conformidade
Avaliações de risco que não são da Microsoft: para seguir as normas de conformidade financeira, aderir ao acesso com privilégios mínimos, limitar a duração dos privilégios escalonados e acessar os recursos do SRE (engenheiro de confiabilidade do local de auditoria). Para obter o modelo de responsabilidade compartilhada SRE e os procedimentos de escalonamento de acesso, consulte Visão geral das responsabilidades para o Azure Red Hat OpenShift e o acesso SRE ao Azure Red Hat OpenShift.
Conformidade regulamentar: use a Política do Azure para atender a vários requisitos regulatórios relacionados à conformidade em cenários de FSI. Para obter mais informações, consulte Definições de iniciativa interna da Política do Azure e da Política do Azure.
Excelência operacional
A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de design para excelência operacional.
As empresas FSI podem usar ferramentas e práticas robustas de observabilidade para detetar e resolver problemas de forma proativa e otimizar o uso de recursos. Siga estas recomendações de excelência operacional:
Implemente o registro em log e o monitoramento eficazes: use o Azure Monitor e o Microsoft Sentinel para rastrear ações e garantir a integridade do sistema em seu ambiente do Azure Red Hat OpenShift. Para complementar as práticas de observabilidade e monitoramento, use ferramentas que não sejam da Microsoft, como Dynatrace, Datadog e Splunk. Certifique-se de que o serviço gerenciado para Prometheus ou Azure Managed Grafana esteja disponível para o Azure Red Hat OpenShift.
Use o Kubernetes habilitado para Azure Arc: integre o Kubernetes habilitado para Azure Arc ao seu ambiente do Azure Red Hat OpenShift para aprimorar os recursos de registro e monitoramento. Use as ferramentas fornecidas para otimizar o uso de recursos e manter a conformidade com as regulamentações do setor. Permitir monitoramento e observabilidade abrangentes. Para obter mais informações, consulte Kubernetes habilitado para Azure Arc e Habilitar monitoramento para clusters habilitados para Azure Arc.
Contribuidores
Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.
Autor principal:
- Ayobami Ayodeji - Brasil | Gerente de Programa Sênior
Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.
Próximo passo
O Azure Red Hat OpenShift Landing Zone Accelerator é um repositório de código aberto que consiste em uma implementação de referência da CLI do Azure e recomendações de área de design crítica.