Azure Red Hat OpenShift 랜딩 존 가속기 보안

보안은 모든 온라인 시스템에 중요한 문제입니다. 이 문서에서는 Azure Red Hat OpenShift 배포를 보호하고 보호하기 위한 디자인 고려 사항 및 권장 사항을 제공합니다.

디자인 고려 사항

Azure Red Hat OpenShift는 Microsoft Entra ID, Azure Container Registry, Azure Storage 및 Azure Virtual Network와 같은 다른 Azure 서비스와 함께 작동합니다. 이러한 인터페이스는 계획 단계에서 특별히 주의해야 합니다. 또한 Azure Red Hat OpenShift는 복잡성을 더하므로 인프라 환경의 나머지 부분과 동일한 보안 거버넌스 및 규정 준수 메커니즘 및 컨트롤을 적용하는 것이 좋습니다.

보안 거버넌스 및 규정 준수에 대한 몇 가지 디자인 고려 사항은 다음과 같습니다.

• Azure 랜딩 존 모범 사례를 사용하여 Azure Red Hat OpenShift 클러스터를 배포하는 경우 클러스터에서 상속되는 정책을 숙지합니다.

• 기본값인 인터넷을 통해 클러스터의 컨트롤 플레인에 액세스할 수 있는지 여부를 결정합니다. 그렇다면 IP 제한이 권장됩니다. 클러스터 제어 평면이 Azure 또는 온-프레미스의 프라이빗 네트워크 내에서만 액세스할 수 있는 경우 Azure Red Hat OpenShift 프라이빗 클러스터를 배포합니다.

• Azure Firewall 또는 다른 네트워크 가상 어플라이언스 사용하여 Azure Red Hat OpenShift 클러스터에서 송신 트래픽을 제어하고 보호하는 방법을 결정합니다.

• 클러스터에서 비밀을 관리하는 방법을 결정합니다. 비밀 저장소 CSI 드라이버를 위한 Azure Key Vault 공급자를 사용하여 비밀을 보호하거나 Azure Red Hat OpenShift 클러스터를 Azure Arc 지원 Kubernetes에 연결하고 Azure Key Vault 비밀 공급자 확장을 사용하여 비밀을 가져올 수 있습니다.

• 인터넷을 통해 또는 특정 가상 네트워크 내에서만 컨테이너 레지스트리에 액세스할 수 있는지 여부를 결정합니다. 컨테이너 레지스트리에서 인터넷 액세스를 사용하지 않도록 설정하면 연속 통합 파이프라인 또는 컨테이너용 Microsoft Defender 이미지 검색과 같이 공용 연결을 사용하는 다른 시스템에 부정적인 영향을 줄 수 있습니다. 자세한 내용은 Azure Private Link를 사용하여 Container Registry에 비공개로 연결을 참조하세요.

• 프라이빗 컨테이너 레지스트리를 여러 랜딩 존에서 공유하는지, 아니면 전용 컨테이너 레지스트리를 각 랜딩 존 구독에 배포하는지 여부를 결정합니다.

• 컨테이너 수명 주기 동안 컨테이너 기본 이미지 및 애플리케이션 런타임을 업데이트하는 방법을 결정합니다. Azure Container Registry 작업은 변경할 수 없는 컨테이너의 원칙을 준수하면서 보안 환경을 기본 OS 및 애플리케이션 프레임워크 패치 워크플로를 자동화하도록 지원합니다.

디자인 권장 사항

• Microsoft Entra ID 또는 사용자 고유의 ID 공급자와 통합하여 Azure Red Hat OpenShift 클러스터 구성 파일에 대한 액세스를 제한합니다. 클러스터 관리자 또는 클러스터 판독기 같은 적절한 OpenShift 역할 기반 액세스 제어 를 할당합니다.

• 리소스에 대한 Pod 액세스를 보호합니다. 최소 개수의 권한을 제공하고 루트 또는 권한 상승을 사용하지 않도록 방지합니다.

• 클러스터에서 비밀, 인증서 및 연결 문자열 관리하고 보호하려면 Azure Red Hat OpenShift 클러스터를 Azure Arc 지원 Kubernetes에 연결하고 Azure Key Vault 비밀 공급자 확장을 사용하여 비밀을 가져와야 합니다.

• Azure Red Hat OpenShift 4 클러스터 의 경우, etcd 데이터는 기본적으로 암호화되지 않지만 다른 데이터 보안 계층을 제공하기 위해 etcd 암호화 를 사용하도록 설정하는 것이 좋습니다.

• 잠재적인 보안 또는 업그레이드 문제를 방지하려면 클러스터를 최신 OpenShift 버전으로 유지합니다. Azure Red Hat OpenShift는 Red Hat OpenShift Container Platform의 현재 및 이전 일반 공급 부 릴리스 만 지원합니다. 마지막 부 릴리스보다 오래된 버전에 있는 경우 클러스터 를 업그레이드합니다.

• Azure Policy 확장을 사용하여 구성을 모니터링하고 적용합니다.

• Azure Red Hat OpenShift 클러스터를 Azure Arc 지원 Kubernetes에 커넥트.

• Arc 지원 Kubernetes를 통해 지원되는 컨테이너용 Microsoft Defender를 사용하여 클러스터, 컨테이너 및 애플리케이션을 보호합니다. 또한 Microsoft Defender 또는 다른 이미지 검사 솔루션으로 이미지를 검사하여 취약성을 검색합니다.

• Azure Container Registry의 전용 및 프라이빗 인스턴스를 각 랜딩 존 구독에 배포합니다.

• Azure Container Registry용 Private Link를 사용하여 Azure Red Hat OpenShift에 연결합니다.

• 요새 호스트 또는 jumpbox를 사용하여 Azure Red Hat OpenShift 프라이빗 클러스터에 안전하게 액세스합니다.

다음 단계

Azure Red Hat OpenShift 랜딩 존에 대한 운영 관리 및 기준 고려 사항에 대해 알아봅니다.