Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La seguridad es una preocupación fundamental para todos los sistemas en línea. En este artículo se proporcionan consideraciones de diseño y recomendaciones para proteger y proteger las implementaciones de Red Hat OpenShift en Azure.
Consideraciones de diseño
Red Hat OpenShift en Azure funciona con otros servicios de Azure, como Microsoft Entra ID, Azure Container Registry, Azure Storage y Azure Virtual Network. Estas interfaces requieren especial atención durante la fase de planificación. Red Hat OpenShift en Azure también agrega complejidad adicional, por lo que debe considerar la posibilidad de aplicar los mismos mecanismos y controles de cumplimiento y gobernanza de seguridad que en el resto del panorama de la infraestructura.
Estas son algunas consideraciones de diseño para la gobernanza y el cumplimiento de la seguridad:
Si implementa un clúster de Red Hat OpenShift de Azure mediante los procedimientos recomendados de la zona de aterrizaje de Azure, familiarícese con las directivas que heredarán los clústeres.
Decida si el plano de control del clúster debe ser accesible a través de Internet, que es el valor predeterminado. Si es así, se recomiendan restricciones de IP. Si el plano de control del clúster solo será accesible desde dentro de la red privada, ya sea en Azure o en el entorno local, implemente el clúster privado de Red Hat OpenShift de Azure.
Decida cómo controlar y proteger el tráfico de salida desde el clúster de Red Hat OpenShift de Azure mediante Azure Firewall u otra aplicación virtual de red.
Decida cómo se administrarán los secretos en el clúster. Puede usar el Azure Key Vault Provider for Secrets Store CSI Driver para proteger los secretos, o conectar el clúster de Azure Red Hat OpenShift a un Kubernetes habilitado para Azure Arc y usar la extensión Azure Key Vault Secrets Provider para obtener secretos.
Decida si el registro de contenedor es accesible a través de Internet o solo dentro de una red virtual específica. Deshabilitar el acceso a Internet en un registro de contenedor puede tener efectos negativos en otros sistemas que dependen de la conectividad pública, como canalizaciones de integración continua o análisis de imágenes de Microsoft Defender for Containers. Para más información, consulte Conexión privada a un registro de contenedor mediante Azure Private Link.
Decida si el registro de contenedor privado se compartirá en varias zonas de aterrizaje o si implementará un registro de contenedor dedicado en cada suscripción de zona de aterrizaje.
Decida cómo se actualizarán las imágenes base de contenedor y el tiempo de ejecución de la aplicación durante el ciclo de vida del contenedor. Azure Container Registry Tasks brindan soporte para automatizar el flujo de trabajo de parcheo del sistema operativo y del marco de aplicaciones, manteniendo entornos seguros al tiempo que se adhieren a los principios de los contenedores inmutables.
Recomendaciones de diseño
Limite el acceso al archivo de configuración del clúster de Red Hat OpenShift de Azure mediante la integración con microsoft Entra ID o con su propio proveedor de identidades. Asigne el control de acceso basado en rol de OpenShift adecuado, como cluster-admin o cluster-reader.
Asegurar el acceso del pod a los recursos. Otorgue el menor número de permisos y evite el uso de root o la escalación de privilegios.
Para administrar y proteger secretos, certificados y cadenas de conexión en el clúster, debe conectar el clúster de Red Hat OpenShift de Azure a Azure Arc-enabled Kubernetes y usar la extensión Azure Key Vault Secrets Provider para obtener secretos.
En el caso de los clústeres de Red Hat OpenShift 4 de Azure, los datos etcd no se cifran de forma predeterminada, pero se recomienda habilitar el cifrado etcd para proporcionar otra capa de seguridad de datos.
Mantenga los clústeres en la versión más reciente de OpenShift para evitar posibles problemas de seguridad o actualización. Red Hat OpenShift en Azure solo admite la versión secundaria actual y anterior disponible con carácter general de Red Hat OpenShift Container Platform. Actualice el clúster si está en una versión anterior a la última versión menor.
Supervise y aplique la configuración mediante la extensión de Azure Policy.
Conecte clústeres de Azure Red Hat OpenShift a Kubernetes habilitados para Azure Arc.
Utilice Microsoft Defender for Containers compatible con Kubernetes habilitado por Azure Arc para proteger clústeres, contenedores y aplicaciones. Examine también las imágenes para detectar vulnerabilidades con Microsoft Defender o cualquier otra solución de análisis de imágenes.
Implemente una instancia dedicada y privada de Azure Container Registry en cada suscripción de zona de aterrizaje.
Utilice Private Link para Azure Container Registry para conectarlo a Azure Red Hat OpenShift.
Use un host bastión o jumpbox para acceder de forma segura al clúster privado de Red Hat OpenShift de Azure.
Pasos siguientes
Obtenga información sobre las consideraciones de base y administración de operaciones para la zona de aterrizaje de Red Hat OpenShift en Azure.