Segurança para o acelerador de zona de aterrissagem do Azure Red Hat OpenShift
A segurança é uma preocupação crítica para todos os sistemas online. Este artigo fornece considerações de design e recomendações para proteger e proteger suas implantações do Azure Red Hat OpenShift.
Considerações sobre o design
O Azure Red Hat OpenShift funciona com outros serviços do Azure, como o Microsoft Entra ID, o Registro de Contêiner do Azure, o Armazenamento do Azure e a Rede Virtual do Azure. Essas interfaces requerem atenção especial durante a fase de planejamento. O Azure Red Hat OpenShift também adiciona complexidade extra, portanto, você deve considerar a aplicação dos mesmos mecanismos e controles de governança e conformidade de segurança que no restante do cenário de infraestrutura.
Aqui estão algumas considerações de design para controle de segurança e conformidade:
Se você implantar um cluster do Azure Red Hat OpenShift usando as práticas recomendadas da zona de aterrissagem do Azure, familiarize-se com as políticas que serão herdadas pelos clusters.
Decida se o plano de controle do cluster deve ser acessível pela Internet, que é o padrão. Em caso afirmativo, restrições de IP são recomendadas. Se o plano de controle de cluster estiver acessível somente de dentro de sua rede privada, no Azure ou local, implante o cluster privado do Azure Red Hat OpenShift.
Decida como controlar e proteger o tráfego de saída do cluster do Azure Red Hat OpenShift usando o Firewall do Azure ou outro dispositivo virtual de rede.
Decida como os segredos serão gerenciados em seu cluster. Você pode usar o Provedor do Cofre de Chaves do Azure para o Driver CSI do Repositório de Segredos para proteger segredos ou conectar o cluster do Azure Red Hat OpenShift ao Kubernetes habilitado para o Azure Arc e usar a extensão do Provedor de Segredos do Cofre de Chaves do Azure para buscar segredos.
Decida se o registro de contêiner pode ser acessado pela Internet ou somente dentro de uma rede virtual específica. Desabilitar o acesso à Internet em um registro de contêiner pode ter efeitos negativos em outros sistemas que dependem de conectividade pública, como pipelines de integração contínua ou varredura de imagens do Microsoft Defender for Containers. Para saber mais, confira Conectar-se de maneira privada a um registro de contêiner usando o Link Privado do Azure.
Decida se o registro de contêiner privado será compartilhado entre várias zonas de destino ou se você implantará um registro de contêiner dedicado em cada assinatura de zona de destino.
Decida como as imagens base do contêiner e o tempo de execução do aplicativo serão atualizados ao longo do ciclo de vida do contêiner. As Tarefas do Registro de Contêiner do Azure fornecem suporte para automatizar o fluxo de trabalho de aplicação de patches do sistema operacional e da estrutura de aplicativos, mantendo ambientes seguros e, ao mesmo tempo, aderindo aos princípios de contêineres imutáveis.
Recomendações sobre design
Limite o acesso ao arquivo de configuração de cluster do Azure Red Hat OpenShift integrando-o à ID do Microsoft Entra ou ao seu próprio provedor de identidade. Atribua o controle de acesso baseado em função OpenShift apropriado, como cluster-admin ou cluster-reader.
Proteja o acesso do pod aos recursos. Forneça o menor número de permissões e evite o uso da raiz ou da elevação de privilégio.
Para gerenciar e proteger segredos, certificados e cadeias de conexão em seu cluster, você deve conectar o cluster do Azure Red Hat OpenShift ao Kubernetes habilitado para Azure Arc e usar a extensão do Provedor de Segredos do Cofre de Chaves do Azure para buscar segredos.
Para clusters do Azure Red Hat OpenShift 4, os dados etcd não são criptografados por padrão, mas é recomendável habilitar a criptografia etcd para fornecer outra camada de segurança de dados.
Mantenha seus clusters na versão mais recente do OpenShift para evitar possíveis problemas de segurança ou atualização. O Azure Red Hat OpenShift oferece suporte apenas à versão secundária atual e anterior geralmente disponível do Red Hat OpenShift Container Platform. Atualize o cluster se ele estiver em uma versão mais antiga que a última versão secundária.
Monitore e imponha a configuração usando a Extensão de Política do Azure.
Conecte clusters do Azure Red Hat OpenShift ao Kubernetes habilitado para Azure Arc.
Use o Microsoft Defender for Containers com suporte via Kubernetes habilitado para Arc para proteger clusters, contêineres e aplicativos. Verifique também se há vulnerabilidades nas suas imagens com o Microsoft Defender ou qualquer outra solução de digitalização de imagens.
Implante uma instância dedicada e privada do Registro de Contêiner do Azure para cada assinatura de zona de destino.
Use o Link Privado para o Registro de Contêiner do Azure para conectá-lo ao Azure Red Hat OpenShift.
Use um host bastion, ou jumpbox, para acessar com segurança o Azure Red Hat OpenShift Private Cluster.
Próximas etapas
Saiba mais sobre o gerenciamento de operações e as considerações de linha de base para a zona de aterrissagem do Azure Red Hat OpenShift.