Поделиться через

Рекомендации по управлению удостоверениями и доступом для Red Hat Enterprise Linux в Azure

В этой статье рассматриваются вопросы управления удостоверениями и доступом (IAM) для развертывания ускорителя посадочной зоны Azure Red Hat Enterprise Linux (RHEL). IAM является ключевой частью параметров безопасности вашей организации. Операционная система RHEL и приложения, работающие в нём, должны использовать внешние идентификаторы для масштабирования операций. Внимательно разработайте реализацию гибридной облачной системы управления идентификацией и доступом (IAM), чтобы обеспечить плавную интеграцию и управление вашей экземплярной средой в облаке Azure. Red Hat и Корпорация Майкрософт работают вместе, чтобы обеспечить встроенную интеграцию между RHEL, Windows Server Active Directory и Microsoft Entra Privileged Identity Management (PIM).

Рекомендации по проектированию

Реализуйте эти проектные соображения и рекомендации для разработки плана IAM, соответствующего требованиям вашей организации для развертывания Azure RHEL.

Как правило, развертывание RHEL в гибридной облачной среде должно:

  • Используйте централизованный центр идентификации Linux, который интегрируется с подсистемой безопасности операционной системы, где это возможно, чтобы повысить эффективность работы и видимость управления доступом. Используйте централизованный центр удостоверений Linux, чтобы можно было:
    • Управление авторизацией для конкретного узла для операционной системы Linux.
    • Обеспечение согласованности между гибридными развертываниями.
    • Делегировать проверку подлинности внешним источникам.
    • Упрощение процесса проверки контроля доступа.
    • Обеспечение единообразия.
    • Ускорьте процесс реализации.
    • Повышение уровня безопасности гибридной облачной инфраструктуры Linux.
  • Применяйте политики одновременно к нескольким экземплярам. Используйте этот подход, чтобы не было необходимости использовать автоматизацию для изменения каждого экземпляра в инфраструктуре при возникновении изменения.
  • Поддерживать централизованное, безопасное, дифференцированное управление доступом на уровне экземпляра, используя контроль доступа на основе узла, делегирование и другие правила.
  • Централизованное управление правилами повышения привилегий на системном уровне в рамках службы идентификации. Последовательно применяйте эту политику для отдельных инстансов и их групп в среде.
  • Поддержка или предоставление современных возможностей средств автоматизации для тестирования и последовательной реализации конфигураций безопасности в нескольких системах. С самого начала следует разработать автоматизацию безопасности в гибридном развертывании в облаке.
  • Поддержка интеграции существующих устаревших возможностей единого входа (SSO) предприятия для упрощения миграции, обеспечения согласованности операций безопасности и поддержки современных интеграции для облачных развертываний.

Реализация проверки подлинности

Развертывания Linux, как правило, реализуют локальные среды проверки подлинности пользователей на уровне операционной системы. Проверка подлинности и авторизация на уровне системы, владение объектами, разрешения объектов и интеграции приложений основаны на этой модели. Программы операционной системы используют эти идентификации различными способами. Рассмотрим пример.

  • Процессы приложений выполняются от имени пользователей.
  • Процессы приложений создают или получают доступ к файлам, которые относятся к определенным пользователям и группам.
  • Набор групп, к которым принадлежит пользователь, фиксируется при входе в систему. Изменения членства применяются только к новым сеансам.
  • Поток проверки подлинности и авторизации пользователя напрямую привязан к сеансу входа, активному в результате проверки подлинности.

Ранее сеансы оболочки, запущенные пользователем и основанные на этих учетных данных, были основным средством взаимодействия с приложениями на Linux. При переходе на веб-, мобильные и облачные пользовательские интерфейсы приложения, использующие этот шаблон потребления удостоверений, менее распространены.

Сегодня эти идентификаторы обычно используются как механизм поддержки при запуске изолированных приложений или служб в операционной системе. Данные для идентификации на уровне приложения не обязательно должны совпадать с пользователями на уровне системы. Но удостоверение уровня системы по-прежнему критически важно для эффективного запуска и защиты инфраструктуры Linux, которая выполняется в масштабе облачной среды.

Для небольших облачных развертываний или пилотных развертываний эти традиционные методологии IAM позволяют легко приступить к работе. По мере масштабирования среды эти механизмы сложнее управлять, даже если вы используете автоматизацию. По мере увеличения числа точек взаимодействия объем всех данных конфигурации, данных журнала, данных смещения и обязательного анализа также увеличивается. Для управления этой сложностью можно централизованно использовать IAM.

Вы можете использовать различные средства, обеспечивающие централизованную безопасность в среде Linux. Убедитесь, что средство соответствует вашим бизнес-требованиям и техническим требованиям. RHEL содержит широкий список совместимости программного обеспечения для обеспечения безопасности. Вы можете интегрировать безопасность на уровне приложений с помощью идентификатора Microsoft Entra, коммерческих программных решений с открытым исходным кодом, таких как Okta, SailPoint или JumpCloud, или решения проекта с открытым исходным кодом, такие как Keycloak. Существуют также различные решения для обеспечения безопасности на уровне операционной системы. Вы можете развернуть несколько коммерческих решений и проектов программного обеспечения с открытым кодом в облаке.

Рекомендации по проектированию для управления удостоверениями Red Hat

В этом разделе описываются рекомендации по проектированию IAM в зонах размещения Azure для RHEL при использовании Red Hat Identity Management (IdM) и Red Hat SSO. Эти службы соответствуют модели внедрения Cloud Adoption Framework для Azure и Red Hat Infrastructure Standard. Рекомендации расширяют принципы, используемые для реализации гибридного развертывания в облаке.

Red Hat IdM предоставляет централизованный способ управления хранилищами удостоверений, проверкой подлинности, политиками и авторизацией в домене под управлением Linux. Red Hat IdM изначально интегрируется с Windows Server Active Directory и идентификатором Microsoft Entra и включается в RHEL. Если вы расширяете локальный Active Directory до Azure, вы можете воспользоваться родной функцией доверия Red Hat IdM для Windows Server Active Directory. Аналогично, если вы используете Microsoft Entra ID или альтернативного поставщика идентификации, вы можете использовать Red Hat IdM и Red Hat SSO для бесшовной интеграции. Поддерживаемое корпоративное решение по единому входу Red Hat — это реализация open-source проекта Keycloak. Она предоставляется без дополнительных затрат с различными подписками Red Hat, включая Red Hat Ansible Automation Platform. Red Hat рекомендует реализовать Red Hat IdM в развертывании RHEL в Azure. На следующей схеме показано развертывание подписки на управление RHEL.

Схема, показывающая высокоуровневое представление развертывания подписки на управление для RHEL.

Компоненты IAM для развертывания Red Hat в Azure используют модель масштабирования подписки , чтобы обеспечить дополнительный контроль и изоляцию средств управления. Основные системы и системы реплик Red Hat IdM, а также экземпляры Red Hat SSO находятся в подписке Red Hat Management вместе с другими инструментами. Подписка предоставляет группы ресурсов, которые можно использовать во всей реализации для предоставления локализованных служб и высокой доступности.

На следующей схеме показана зональная архитектура развертывания Red Hat IdM.

Схема с архитектурой зонального развертывания Red Hat IdM.

На следующей схеме показано высокодоступное развертывание Red Hat IdM в регионах и зонах доступности.

Схема, на которую показана архитектура развертывания Red Hat IdM с несколькими регионами.

Эта архитектура включает серверы IdM в каждом регионе, которые реплицируются друг с другом и с скрытой репликой. Существует по крайней мере две связи репликации между регионами. Скрытые реплики служат точками резервного копирования, так как их можно перевести в автономный режим как полные резервные копии, не влияя на доступность.

Клиенты IdM могут распределять нагрузку и переходить на резервный сервер между серверами IdM на основе обнаружения записей службы или через список серверов в файле sssd.conf. Не используйте внешнюю балансировку нагрузки или конфигурации высокой доступности с IdM.

Рассмотрим следующие критически важные рекомендации по проектированию для развертывания Red Hat IdM.

  • Реализуйте автоматизацию инфраструктуры в виде кода (IaC) для развертывания, настройки и операций второго дня с Red Hat IdM. Чтобы автоматизировать Red Hat IdM, можно использовать сертифицированную коллекцию Ansible redhat.rhel_idm через Центр автоматизации Ansible. Для автоматизации Red Hat SSO можно использовать сертифицированную коллекцию Ansible redhat.sso.

  • Реализуйте поддержку идентификации предприятия и приложений. Узнайте, какие службы предоставляются экземплярами и какие службы требуют проверки подлинности на уровне операционной системы и на уровне приложения. Используйте Red Hat IdM для реализации безопасности на уровне операционной системы, управления доступом на основе узлов и правил повышения привилегий, таких как sudo. Вы также можете использовать Red Hat IdM для сопоставления политик SELinux и удостоверений карт для устаревших систем. Используйте единый вход Red Hat для интеграции источников корпоративной проверки подлинности с веб-приложениями.

  • Используйте централизованное управление удостоверениями для реагирования на угрозы. Вы можете мгновенно отменять или сменить скомпрометированные учетные данные в облачных развертываниях.

  • Определите начальный путь интеграции для облачных решений Azure, таких как Windows Server Active Directory и Microsoft Entra ID. Red Hat IdM поддерживает несколько вариантов интеграции. Вы можете добавлять и удалять интеграции в IdM, но вы должны оценивать существующие требования, эффекты миграции и затраты на изменение с течением времени.

  • Настройте основные развертывания Red Hat IdM и развертывания реплик, чтобы сократить задержки и убедиться, что в репликации нет единой точки сбоя. Географические развертывания экземпляров RHEL влияют на инфраструктуру Red Hat IdM. Вы можете использовать Red Hat IdM для развертывания нескольких реплик Red Hat IdM, что обеспечивает улучшенную производительность, балансировку нагрузки, отработку отказа и высокий уровень доступности. Развертывания могут состоять из до 60 реплик. Развертывание реплики должно гарантировать, что системы охватывают домены сбоя. Управление обновлениями реплики Red Hat IdM с помощью автоматизации для обеспечения последовательности репликации. Используйте топологии репликации, рекомендуемые Red Hat.

  • Убедитесь, что вы правильно настроили конфигурацию доверия Windows Server Active Directory и конфигурацию системы доменных имен (DNS). При настройке Red Hat IdM и Windows Server Active Directory локальные серверы Active Directory и серверы Red Hat IdM должны находиться в своих доменах DNS или поддоменах. Это требование обусловлено записью службы Kerberos и обнаружением службы Kerberos. Cloud Adoption Framework рекомендует DNS-разрешение частных IP-адресов для экземпляров, работающих на Azure.

  • Настройте интеграцию Red Hat Satellite для Red Hat IdM для автоматизации задач управления, таких как переадресация и обратные зоны DNS, регистрация узлов и создание ключей Secure Shell (SSH) в Red Hat IdM. Red Hat IdM предоставляет интегрированную службу DNS. Объедините эту интеграцию с доверием Windows Server Active Directory, чтобы пользователи Windows Server Active Directory могли легко войти в системы и службы RHEL через единый вход.

  • Резервное копирование ресурсов Red Hat IdM. Как правило, вы развертываете Red Hat IdM в конфигурации с несколькими основными самостоятельно управляемыми репликами, но также необходимо убедиться, что у вас есть правильные резервные копии системы и данных. Используйте скрытые реплики Red Hat IdM для реализации полного автономного резервного копирования без прерывания доступности службы. Используйте Azure Backup для зашифрованного средства резервного копирования.

  • При развертывании RHEL с интегрированным ЦС убедитесь, что корневой сертификат Red Hat IdM подписан внешним центром сертификации, корпоративным ЦС или центром сертификации партнёра.

  • Интеграция служб удостоверений Red Hat с другими продуктами Red Hat. Red Hat IdM и Red Hat SSO интегрируются с Ansible Automation Platform, OpenShift Container Platform, OpenStack Platform, Satellite и средства разработки.

Используйте руководство по планированию управления удостоверениями, чтобы спланировать инфраструктуру и интегрировать службы для развертывания Red Hat IdM. Ознакомьтесь с конкретным руководством по версии операционной системы RHEL, на которой вы планируете развернуть Red Hat IdM.

Рекомендации по проектированию для управления удостоверениями, встроенного в Azure

  • Используйте виртуальные машины Azure RHEL с идентификатором Microsoft Entra, чтобы ограничить права пользователей и свести к минимуму количество пользователей, имеющих права администратора. Ограничение прав пользователя для защиты доступа к конфигурации и секретам. Дополнительные сведения см. в статье о встроенных ролях Azure для вычислений.

  • Следуйте принципу минимальных привилегий и назначьте минимальные разрешения, необходимые пользователям для авторизованных задач. Предоставляйте полный доступ и временный доступ по требованию только по мере необходимости. Используйте Microsoft Entra PIM и IAM в целевых зонах Azure.

  • Используйте управляемые удостоверения для доступа к ресурсам RHEL, защищенным Microsoft Entra ID, без необходимости управлять секретами для рабочих нагрузок, выполняющихся в Azure.

  • Рассмотрите возможность использования идентификатора Microsoft Entra в качестве основной платформы проверки подлинности и центра сертификации для SSH на виртуальной машине Linux.

  • Защита конфиденциальных данных, таких как ключи, секреты и сертификаты. Дополнительные сведения см. в статье Cloud Adoption Framework для управления шифрованием и ключами в Azure.

  • Реализуйте единый вход с помощью Windows Server Active Directory, идентификатора Microsoft Entra или служб федерации Active Directory (AD FS). Выберите службу на основе типа доступа. Используйте SSO, чтобы пользователи могли подключаться к приложениям RHEL без необходимости указания идентификатора пользователя и пароля после успешной проверки центрального поставщика удостоверений.

  • Рекомендуется регулярно менять пароли локального администратора. Для систем Windows microsoft LAPS — это жизнеспособный вариант. Для RHEL используйте средства автоматизации или централизованные платформы идентификации. Red Hat IdM или Идентификатор Microsoft Entra с доступом на основе сертификата SSH может упростить управление паролями для компьютеров, присоединенных к домену.

Дальнейшие шаги