Sicurezza per l'acceleratore di zona di destinazione di Azure Red Hat OpenShift

La sicurezza è un problema critico per tutti i sistemi online. Questo articolo fornisce considerazioni sulla progettazione e consigli per proteggere e proteggere le distribuzioni di Azure Red Hat OpenShift.

Considerazioni relative alla progettazione

Azure Red Hat OpenShift funziona con altri servizi di Azure, ad esempio Microsoft Entra ID, Registro Azure Container, Archiviazione di Azure e Azure Rete virtuale. Queste interfacce richiedono particolare attenzione durante la fase di pianificazione. Azure Red Hat OpenShift aggiunge anche complessità aggiuntive, pertanto è consigliabile applicare gli stessi meccanismi di governance e conformità della sicurezza e controlli del resto dell'infrastruttura.

Ecco alcune considerazioni di progettazione per la governance e la conformità della sicurezza:

• Se si distribuisce un cluster Azure Red Hat OpenShift usando le procedure consigliate per la zona di destinazione di Azure, acquisire familiarità con i criteri che verranno ereditati dai cluster.

• Decidere se il piano di controllo del cluster deve essere accessibile tramite Internet, ovvero l'impostazione predefinita. In tal caso, sono consigliate restrizioni IP. Se il piano di controllo del cluster sarà accessibile solo dall'interno della rete privata, in Azure o in locale, distribuire il cluster privato di Azure Red Hat OpenShift.

• Decidere come controllare e proteggere il traffico in uscita dal cluster Azure Red Hat OpenShift usando Firewall di Azure o un'altra appliance virtuale di rete.

• Decidere come verranno gestiti i segreti nel cluster. È possibile usare il provider di Azure Key Vault per il driver CSI dell'archivio segreti per proteggere i segreti oppure connettere il cluster Azure Red Hat OpenShift a Kubernetes abilitato per Azure Arc e usare l'estensione del provider di segreti di Azure Key Vault per recuperare i segreti.

• Decidere se il registro contenitori è accessibile tramite Internet o solo all'interno di una rete virtuale specifica. La disabilitazione dell'accesso a Internet in un registro contenitori può avere effetti negativi su altri sistemi che si basano sulla connettività pubblica, ad esempio pipeline di integrazione continua o analisi delle immagini di Microsoft Defender per contenitori. Per altre informazioni, vedere Connettersi privatamente a un registro contenitori usando il collegamento privato di Azure.

• Decidere se il registro contenitori privato verrà condiviso tra più zone di destinazione o se si distribuirà un registro contenitori dedicato a ogni sottoscrizione della zona di destinazione.

• Decidere in che modo le immagini di base del contenitore e il tempo di esecuzione dell'applicazione verranno aggiornati nel ciclo di vita del contenitore. Registro Azure Container Attività forniscono supporto per automatizzare il flusso di lavoro di applicazione e applicazione che applica l'applicazione di patch al flusso di lavoro, mantenendo gli ambienti sicuri rispettando i principi dei contenitori non modificabili.

Suggerimenti per la progettazione

• Limitare l'accesso al file di configurazione del cluster Azure Red Hat OpenShift integrando con Microsoft Entra ID o il proprio provider di identità. Assegnare il controllo degli accessi in base al ruolo OpenShift appropriato, ad esempio cluster-admin o cluster-reader.

• Proteggere l'accesso dei pod alle risorse. Concedere il minor numero possibile di autorizzazioni ed evitare l'uso dell'accesso radice o dell'escalation dei privilegi.

• Per gestire e proteggere segreti, certificati e stringa di connessione nel cluster, è necessario connettere il cluster Azure Red Hat OpenShift a Kubernetes abilitato per Azure Arc e usare l'estensione del provider di segreti di Azure Key Vault per recuperare i segreti.

• Per i cluster Azure Red Hat OpenShift 4, i dati etcd non vengono crittografati per impostazione predefinita, ma è consigliabile abilitare la crittografia etcd per fornire un altro livello di sicurezza dei dati.

• Mantenere i cluster nella versione più recente di OpenShift per evitare potenziali problemi di sicurezza o aggiornamento. Azure Red Hat OpenShift supporta solo la versione secondaria corrente e precedente disponibile a livello generale di Red Hat OpenShift Container Platform. Aggiornare il cluster se si tratta di una versione precedente all'ultima versione secondaria.

• Monitorare e applicare la configurazione usando l'estensione Criteri di Azure.

• Connessione cluster Azure Red Hat OpenShift in Kubernetes abilitato per Azure Arc.

• Usare Microsoft Defender per contenitori supportati tramite Kubernetes con abilitazione di Arc per proteggere cluster, contenitori e applicazioni. Analizza anche le immagini per individuare le vulnerabilità con Microsoft Defender o qualsiasi altra soluzione di analisi delle immagini.

• Distribuire un'istanza dedicata e privata di Registro Azure Container in ogni sottoscrizione della zona di destinazione.

• Usare collegamento privato per Registro Azure Container per connetterlo ad Azure Red Hat OpenShift.

• Usare un bastion host o jumpbox per accedere in modo sicuro ad Azure Red Hat OpenShift Private Cluster.

Passaggi successivi

Informazioni sulla gestione delle operazioni e sulle considerazioni di base per la zona di destinazione di Azure Red Hat OpenShift.