Zabezpečení akcelerátoru cílových zón Azure Red Hat OpenShift
Zabezpečení je zásadním zájmem pro všechny online systémy. Tento článek obsahuje aspekty návrhu a doporučení k ochraně a zabezpečení nasazení Azure Red Hat OpenShift.
Aspekty návrhu
Azure Red Hat OpenShift spolupracuje s dalšími službami Azure, jako je Microsoft Entra ID, Azure Container Registry, Azure Storage a Azure Virtual Network. Tato rozhraní vyžadují během fáze plánování zvláštní pozornost. Azure Red Hat OpenShift také zvyšuje složitost, takže byste měli zvážit použití stejných mechanismů a mechanismů zásad správného řízení zabezpečení a dodržování předpisů jako ve zbytku infrastruktury.
Tady je několik aspektů návrhu zásad správného řízení zabezpečení a dodržování předpisů:
Pokud nasadíte cluster Azure Red Hat OpenShift s využitím osvědčených postupů cílové zóny Azure, seznamte se se zásadami, které budou clustery dědit.
Rozhodněte se, jestli má být řídicí rovina clusteru přístupná přes internet, což je výchozí nastavení. Pokud ano, doporučujeme omezení IP adres. Pokud bude řídicí rovina clusteru přístupná jenom z vaší privátní sítě, a to buď v Azure, nebo v místním prostředí, a pak nasadíte privátní cluster Azure Red Hat OpenShift.
Rozhodněte se, jak řídit a zabezpečit odchozí provoz z clusteru Azure Red Hat OpenShift pomocí služby Azure Firewall nebo jiného síťového virtuálního zařízení.
Rozhodněte se, jak se budou tajné kódy spravovat ve vašem clusteru. K ochraně tajných kódů můžete použít zprostředkovatele služby Azure Key Vault pro ovladač CSI úložiště tajných kódů, nebo připojit cluster Azure Red Hat OpenShift k Kubernetes s podporou Služby Azure Arc a použít rozšíření zprostředkovatele tajných kódů služby Azure Key Vault k načtení tajných kódů.
Rozhodněte se, jestli je váš registr kontejneru přístupný přes internet, nebo jenom v rámci konkrétní virtuální sítě. Zakázání přístupu k internetu v registru kontejnerů může mít negativní vliv na jiné systémy, které spoléhají na veřejné připojení, jako jsou kanály kontinuální integrace nebo prohledávání imagí v programu Microsoft Defender for Containers. Další informace najdete v tématu Připojení soukromě do registru kontejneru pomocí služby Azure Private Link.
Rozhodněte se, jestli se váš privátní registr kontejneru bude sdílet napříč několika cílovými zónami, nebo jestli do každého předplatného cílové zóny nasadíte vyhrazený registr kontejneru.
Rozhodněte se, jak se během životního cyklu kontejneru aktualizují základní image kontejneru a doba běhu aplikace. Úlohy služby Azure Container Registry poskytují podporu pro automatizaci pracovního postupu oprav operačního systému a architektury aplikací a udržování zabezpečených prostředí při zachování principů neměnných kontejnerů.
Doporučení k návrhu
Omezte přístup ke konfiguračnímu souboru clusteru Azure Red Hat OpenShift integrací s ID Microsoft Entra nebo vaším vlastním zprostředkovatelem identity. Přiřaďte odpovídající řízení přístupu na základě role OpenShiftu, jako je správce clusteru nebo čtenář clusteru.
Zabezpečte přístup podů k prostředkům. Zadejte nejmenší počet oprávnění a vyhněte se použití kořenového nebo privilegovaného eskalace.
Pokud chcete spravovat a chránit tajné kódy, certifikáty a připojovací řetězec ve vašem clusteru, měli byste připojit cluster Azure Red Hat OpenShift k Kubernetes s podporou Azure Arc a použít rozšíření Poskytovatele tajných kódů služby Azure Key Vault k načtení tajných kódů.
V případě clusterů Azure Red Hat OpenShift 4 se ve výchozím nastavení data nešifrují, ale doporučuje se povolit šifrování atd. , aby poskytovalo další vrstvu zabezpečení dat.
Udržujte clustery v nejnovější verzi OpenShiftu, abyste se vyhnuli potenciálním problémům se zabezpečením nebo upgradem. Azure Red Hat OpenShift podporuje pouze aktuální a dříve obecně dostupnou dílčí verzi platformy Red Hat OpenShift Container Platform. Upgradujte cluster , pokud je ve starší verzi, než je poslední podverze.
Monitorování a vynucování konfigurace pomocí rozšíření Azure Policy
Připojení clustery Azure Red Hat OpenShift do Kubernetes s podporou Azure Arc.
K zabezpečení clusterů, kontejnerů a aplikací s podporou Arc můžete použít Microsoft Defender for Containers, které podporuje Kubernetes s podporou Arc. Zkontrolujte také ohrožení zabezpečení obrázků pomocí programu Microsoft Defender nebo jakéhokoli jiného řešení pro kontrolu obrázků.
Nasaďte vyhrazenou a privátní instanci služby Azure Container Registry do každého předplatného cílové zóny.
Pomocí služby Private Link pro Azure Container Registry ho připojte k Azure Red Hat OpenShiftu.
K bezpečnému přístupu k privátnímu clusteru Azure Red Hat OpenShift použijte hostitele bastionu nebo jumpbox.
Další kroky
Přečtěte si informace o správě operací a základních aspektech pro cílovou zónu Azure Red Hat OpenShift.