Azure Red Hat OpenShift giriş bölgesi hızlandırıcısı için güvenlik
Güvenlik, tüm çevrimiçi sistemler için kritik öneme sahiptir. Bu makalede, Azure Red Hat OpenShift dağıtımlarınızı korumak ve güvenliğini sağlamak için tasarımla ilgili önemli noktalar ve öneriler sağlanmaktadır.
Tasarımla ilgili dikkat edilecek noktalar
Azure Red Hat OpenShift; Microsoft Entra ID, Azure Container Registry, Azure Depolama ve Azure Sanal Ağ gibi diğer Azure hizmetleriyle çalışır. Bu arabirimler planlama aşamasında özel dikkat gerektirir. Azure Red Hat OpenShift ayrıca ek karmaşıklık da ekler, bu nedenle altyapınızın geri kalanında olduğu gibi aynı güvenlik idaresi ve uyumluluk mekanizmalarını ve denetimlerini uygulamayı düşünmelisiniz.
Güvenlik idaresi ve uyumluluğu için tasarımla ilgili dikkat edilmesi gereken bazı noktalar şunlardır:
Azure giriş bölgesi en iyi yöntemlerini kullanarak bir Azure Red Hat OpenShift kümesi dağıtırsanız, kümeler tarafından devralınacak ilkeler hakkında bilgi edinin.
Kümenin denetim düzleminin varsayılan olan İnternet üzerinden erişilebilir olup olmadığına karar verin. Bu durumda IP kısıtlamaları önerilir. Küme denetim düzlemi yalnızca Azure'da veya şirket içinde özel ağınızın içinden erişilebilir olacaksa Azure Red Hat OpenShift özel kümesini dağıtın.
Azure Güvenlik Duvarı veya başka bir ağ sanal gereci kullanarak Azure Red Hat OpenShift kümenizden çıkış trafiğinin nasıl denetleneceğine ve güvenliğinin nasıl sağlaneceğine karar verin.
Gizli dizilerin kümenizde nasıl yönetileceğine karar verin. Gizli dizileri korumak için Gizli Dizi deposu CSI Sürücüsü için Azure Key Vault Sağlayıcısı'nı kullanabilir veya Azure Red Hat OpenShift kümesini Azure Arc özellikli Kubernetes'e bağlayabilir ve gizli dizileri getirmek için Azure Key Vault Gizli Dizi Sağlayıcısı uzantısını kullanabilirsiniz.
Kapsayıcı kayıt defterinize İnternet üzerinden mi yoksa yalnızca belirli bir sanal ağ içinden mi erişilebileceğine karar verin. Kapsayıcı kayıt defterinde İnternet erişimini devre dışı bırakmak, sürekli tümleştirme işlem hatları veya Kapsayıcılar için Microsoft Defender görüntü taraması gibi genel bağlantıya dayanan diğer sistemler üzerinde olumsuz etkilere neden olabilir. Daha fazla bilgi için bkz. Azure Özel Bağlantı kullanarak kapsayıcı kayıt defterine özel olarak Bağlan.
Özel kapsayıcı kayıt defterinizin birden çok giriş bölgesi arasında paylaşılıp paylaşılmayacağına veya her giriş bölgesi aboneliğine ayrılmış bir kapsayıcı kayıt defteri dağıtıp dağıtmayacağınıza karar verin.
Kapsayıcı temel görüntülerinizin ve uygulama çalışma sürenizin kapsayıcı yaşam döngüsü boyunca nasıl güncelleştirileceğine karar verin. Azure Container Registry Görevleri , sabit kapsayıcıların ilkelerine uyarken güvenli ortamları koruyarak işletim sistemi ve uygulama çerçevesi düzeltme eki uygulama iş akışınızı otomatikleştirmek için destek sağlar.
Tasarım önerileri
Microsoft Entra ID veya kendi kimlik sağlayıcınızla tümleştirerek Azure Red Hat OpenShift küme yapılandırma dosyasına erişimi sınırlayın. Küme yöneticisi veya küme okuyucusu gibi uygun OpenShift rol tabanlı erişim denetimini atayın.
Kaynaklara pod erişiminin güvenliğini sağlama. En az sayıda izin sağlayın ve kök veya ayrıcalıklı yükseltme kullanmaktan kaçının.
Kümenizdeki gizli dizileri, sertifikaları ve bağlantı dizesi yönetmek ve korumak için Azure Red Hat OpenShift kümesini Azure Arc özellikli Kubernetes'e bağlamanız ve gizli dizileri getirmek için Azure Key Vault Gizli Dizi Sağlayıcısı uzantısını kullanmanız gerekir.
Azure Red Hat OpenShift 4 kümeleri için vb. veriler varsayılan olarak şifrelenmez, ancak başka bir veri güvenliği katmanı sağlamak için vb. şifrelemeyi etkinleştirmeniz önerilir.
Olası güvenlik veya yükseltme sorunlarını önlemek için kümelerinizi en son OpenShift sürümünde tutun. Azure Red Hat OpenShift yalnızca Red Hat OpenShift Container Platform'un geçerli ve önceki genel kullanıma açık küçük sürümünü destekler. Küme son ikincil sürümden daha eski bir sürümdeyse kümeyi yükseltin.
Azure İlkesi Uzantısını kullanarak yapılandırmayı izleyin ve uygulayın.
Azure Red Hat OpenShift kümelerini Azure Arc özellikli Kubernetes'e Bağlan.
Kümelerin, kapsayıcıların ve uygulamaların güvenliğini sağlamak için Arc özellikli Kubernetes aracılığıyla desteklenen Kapsayıcılar için Microsoft Defender'ı kullanın. Ayrıca Microsoft Defender veya başka bir görüntü tarama çözümüyle görüntülerinizi güvenlik açıklarına karşı tarayın.
Her giriş bölgesi aboneliğine Azure Container Registry'nin ayrılmış ve özel bir örneğini dağıtın.
Azure Red Hat OpenShift'e bağlamak için Azure Container Registry için Özel Bağlantı kullanın.
Azure Red Hat OpenShift Özel Kümesine güvenli bir şekilde erişmek için bir savunma konağı veya sıçrama kutusu kullanın.
Sonraki adımlar
Azure Red Hat OpenShift giriş bölgesi için operasyon yönetimi ve temel konular hakkında bilgi edinin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin