金融サービス業界でAzure Red Hat OpenShiftを使用する

この記事では、金融サービス業界 (FSI) のAzure Red Hat OpenShiftランディング ゾーン アーキテクチャを実装する方法について説明します。 このガイダンスでは、ハイブリッド クラウド環境でサポートされている Azure Red Hat OpenShift 4.x バージョンを使用して、FSI の規制要件とセキュリティ標準を満たすセキュリティで保護された回復性と準拠したソリューションを作成する方法について説明します。

Azure Red Hat OpenShiftを使用して運用環境を構築する前に、Azureのクラウド導入フレームワークのAzure Red Hat OpenShiftランディング ゾーンガイダンスをお読みください。 運用環境の計画については、最新の Azure Red Hat OpenShift サービスの更新プログラムとバージョンの互換性マトリックスを確認することを検討してください。

アーキテクチャ

このアーキテクチャのVisio ファイルをダウンロードしてください。

データ フロー

このシナリオでは、Azure Red Hat OpenShift クラスターで実行されるアプリケーションを使用します。 アプリケーションは、オンプレミスのリソースと、Azure Firewall保護するAzure上のハブ仮想ネットワークに接続します。

次のデータ フローは、前の図に対応しています。

1. 開発者は、会社のネットワーク内にコードを記述し、そのコードを GitHub Enterprise にプッシュします。 シナリオには任意のコード リポジトリを使用できます。

2. 顧客のデプロイ パイプラインによってコードがコンテナー化され、オンプレミスのコンテナー レジストリにデプロイされます。

3. その後、オンプレミスの OpenShift クラスターと、Azure上の Azure Red Hat OpenShift クラスターにイメージをデプロイできます。 また、イメージはAzure ExpressRoute経由でAzure Red Hat OpenShiftにデプロイされます。これにより、Azure ハブ仮想ネットワークを経由して、スポーク仮想ネットワーク内のプライベート Azure Red Hat OpenShift クラスターにトラフィックがルーティングされます。 これら 2 つのネットワークがピアリングされます。

4. Azure Red Hat OpenShift クラスターから送信されるトラフィックは、まずピアリングされたハブ仮想ネットワークを経由し、次に Azure Firewall インスタンスを介してルーティングされます。

5. アプリケーションにアクセスするために、顧客はトラフィックをAzure Front Door経由でルーティングする Web アドレスに移動できます。

6. Azure Front Doorでは、Azure Private Linkを使用してプライベート Azure Red Hat OpenShift クラスターに接続します。

コンポーネント

• Azure Red Hat OpenShift は、99.95% サービス レベル アグリーメント (SLA) 可用性を備えた、マネージドで高可用性の OpenShift 4.x クラスターをオンデマンドで提供する Kubernetes サービスです。 このアーキテクチャでは、これらのクラスターがプライマリ コンピューティング プラットフォームとして機能します。 Microsoft と Red Hat は、クラスターを共同で監視および運用します。このクラスターでは、自動更新プログラム、修正プログラムの適用、ライフサイクル管理に関するエンタープライズ レベルのサポートが提供されます。 Azure Red Hat OpenShiftでは、OpenShift 4.12 以降が、通常のバージョン更新プログラムと拡張サポート オプションでサポートされます。

• Microsoft Entra ID は、さまざまな環境にわたるリソースへのアクセスを制御するクラウドベースの ID およびアクセス管理サービスです。 このアーキテクチャでは、Microsoft Entra ID Azureロールベースのアクセス制御 (Azure RBAC) と OpenShift RBAC と統合されます。 この統合により、セキュリティで保護されたきめ細かい外部リソースへのアクセスが顧客に提供されます。

• ExpressRoute は、接続プロバイダーと統合して、プライベート接続経由でオンプレミス ネットワークを Microsoft クラウドに拡張できるネットワーク サービスです。 このアーキテクチャでは、ExpressRoute は、オンプレミスリソースとAzure間のプライベートな高帯域幅接続を提供します。

• Azure Key Vault は、FIPS 140-3 レベル 3 で検証されたハードウェア セキュリティ モジュール (HSM) を使用してシークレット、キー、証明書を格納および管理するクラウドネイティブのキー管理ソリューションです。 これは、Payment Card Industry Data Security Standard (PCI DSS) や Payment Card Industry Three-Domain Secure (PCI 3DS) などの標準に準拠しています。 FSI シナリオでは、このアーキテクチャでは、Standard SKU の代わりに Key Vault Premium レベルを使用して、カスタマー マネージド キー、Bring Your Own-Key (BYOK) 機能、プライベート Azure Red Hat OpenShift クラスターで実行されるアプリケーションの専用 HSM バッキングなど、セキュリティ コンプライアンスを強化することをお勧めします。 Key Vault Premium では、多くの金融規制で必要とされる FIPS 140-3 レベル 3 のコンプライアンスが有効になります。 Azure Red Hat OpenShiftとの統合には、Key Vault CSI ドライバーとMicrosoft Entra ワークロード ID のネイティブ サポートが含まれています。 さまざまなAzureキー管理ソリューションの詳細については、「適切なAzureキー管理ソリューションを選ぶ」を参照してください。

• Azure Bastion は、プライベート IP アドレスを介して仮想マシン (VM) に接続できるようにする、サービスとしてのマネージド プラットフォーム (PaaS) ソリューションです。 このアーキテクチャでは、このシナリオではプライベート クラスターが実装されるため、Azure Bastionはプライベート ネットワーク内のAzure VM に接続します。

• Azure Firewall は、クラウドネイティブでインテリジェントなネットワーク ファイアウォール セキュリティ サービスであり、Azureで実行されるクラウド ワークロードに対する脅威保護を提供します。 このアーキテクチャでは、Azure Firewallは、Azure Red Hat OpenShift環境との間で送受信されるネットワーク トラフィックを監視およびフィルター処理します。

選択肢

Azure Red Hat OpenShiftを使用して、OpenShift エコシステムとクラウドネイティブ ツールチェーンにアクセスできます。 オンプレミスで OpenShift を実行すると、含まれるプラットフォーム サービスのほとんどはAzure Red Hat OpenShiftに適用されます。 これらのプラットフォーム サービスは、この記事で説明する一部のAzure サービスの代替手段として使用できます。

Microsoft 以外の代替手段を利用できます。 たとえば、オンプレミスでコンテナー レジストリをホストしたり、GitHub Actionsではなく OpenShift GitOps を使用したりできます。 Azure Red Hat OpenShift環境で動作する Microsoft 以外の監視ソリューションを使用することもできます。 この記事では、お客様がAzure Red Hat OpenShiftでソリューションを構築するためによく使用するAzureの代替方法について説明します。

シナリオの詳細

FSI やその他の規制対象の業界Azure Red Hat OpenShiftのお客様には、多くの場合、環境に対する厳しい要件があります。 このアーキテクチャでは、金融機関がハイブリッド クラウド環境でAzure Red Hat OpenShiftを使用する際に、独自の要件を満たすソリューションを設計するために使用できる基準とガイドラインを概説します。

このシナリオではセキュリティ対策に重点を置いています。 たとえば、オンプレミス環境からのプライベート接続を有効にしたり、プライベート リンクの使用に関する制御を実装したり、プライベート レジストリを確立したり、ネットワーク分離を確保したり、保存データや転送中のデータの暗号化をデプロイしたりできます。 ID とアクセスの管理とAzure RBAC の両方で、Azure Red Hat OpenShift クラスター内のユーザー管理をセキュリティで保護します。

回復性を上げるには、フォールト トレランスのために可用性ゾーン間でリソースを分散します。 コンプライアンスの義務には、Microsoft 以外のリスク評価、規制遵守、ディザスター リカバリー (DR) プロトコルが含まれます。 可観測性を向上させるには、ログ記録、監視、バックアップのメカニズムを追加して、運用効率と規制コンプライアンスを維持します。 この記事のガイドラインでは、FSI のニーズに合わせて調整されたAzure Red Hat OpenShift ソリューションのデプロイと管理に使用できるフレームワークを提供します。

考えられるユース ケース

このシナリオは、金融や医療など、規制対象の業界のお客様に最も適しています。 このシナリオは、厳密なデータ ガバナンス要件を持つソリューションなど、セキュリティ要件が高い顧客にも適用されます。

考慮事項

これらの考慮事項は、Azure Well-Architected Framework の柱を実装します。これは、ワークロードの品質を向上させるために使用できる一連の基本原則です。 詳細については、「 Well-Architected Framework」を参照してください。

[信頼性]

信頼性は、アプリケーションが顧客に対して行ったコミットメントを確実に満たすことができるのに役立ちます。 詳細については、「信頼性の設計レビュー チェックリスト」を参照してください。

回復性は、ミッション クリティカルなアプリケーションの中断のない運用を維持するために、Azure Red Hat OpenShiftにとって不可欠です。 次の信頼性のベスト プラクティスを実装します。

• Availability zones: Azure リージョン内で使用可能なすべての可用性ゾーンにコントロール プレーンとワーカー ノードを分散します。 このセットアップにより、コントロール プレーン クラスターがクォーラムを維持し、可用性ゾーン全体で潜在的な障害が軽減されます。 この分散を標準のプラクティスとして実装します。

• 複数リージョンのデプロイ: リージョン全体の障害から保護するために、複数のリージョンにAzure Red Hat OpenShift クラスターをデプロイします。 グローバル負荷分散とこれらのクラスターへのトラフィック ルーティングには Azure Front Door Premium を使用し、回復性を向上させるために正常性プローブと自動フェールオーバー機能を使用します。 地理的冗長性をサポートするAzureサービスを選択し、各セカンダリロケーションをOpenShiftクラスターをデプロイする場所に一致させます。

• DR： 顧客データを保護し、継続的なビジネス運用を確保するために、厳格な DR 標準を実装します。 これらの標準を効果的に満たすためには、 DR の考慮事項に従ってください。

• Backup: 機密性の高い顧客データを保護し、厳格なコンプライアンス要件を満たすために、Azure Red Hat OpenShiftの堅牢なバックアップと復元戦略を実装します。

  • まず、既定でAzureストレージにアタッチするようにAzure Red Hat OpenShiftクラスターを構成し、復元操作後に自動的に再アタッチされるようにします。 Velero を使用するアプリケーション レベルのバックアップについては、「Azure Red Hat OpenShift クラスター アプリケーション バックアップの作成を参照してください。

  • バックアップと災害復旧 (DR) のワークフローについて、スケジュールされたバックアップ、リモートオブジェクトストアレプリケーション、データムーバーのサポートを含めて確認するには、OpenShift API for Data Protectionを使用したAzure Red Hat OpenShiftのバックアップと復元を確認してください。 このアプローチは、厳密な目標復旧時間 (RTO)、目標復旧ポイント (RPO)、コンプライアンス標準への準拠を必要とする運用環境に使用します。

セキュリティ

セキュリティは、意図的な攻撃や貴重なデータとシステムの誤用に対する保証を提供します。 詳細については、セキュリティ設計レビューのチェックリストを参照してください。

金融業界ではセキュリティが最も重要です。 機密データを保護し、規制コンプライアンスを確保するには、厳格なセキュリティ対策が必要です。

ネットワーク

• オンプレミス環境からのプライベート接続: 金融業界のユース ケースでは、パブリック インターネット アクセスなしで排他的なプライベート ネットワーク接続が必要です。

  • セキュリティで保護された接続のためにPrivate Link エンドポイントを実装し、オンプレミスのデータセンターからのプライベート接続に ExpressRoute を使用します。 Azure Red Hat OpenShiftでは、プライベート イングレス コントローラーと API エンドポイントを含むプライベート クラスターがサポートされます。

  • セキュリティを強化するために、ハブスポーク ネットワーク トポロジの使用を検討してください。 詳細については、「Azure Red Hat OpenShift プライベート クラスターの作成を参照してください。

  • Azure Red Hat OpenShiftランディング ゾーン アクセラレータ テンプレートを使用して、Microsoft からの推奨プラクティスに従って新しいクラスターを迅速に作成します。

• プッシュ専用プライベートリンク: 金融企業は、多くの場合、Azureワークロードのトラフィックが自社のデータセンターに戻って接続することを制限します。 プライベート データセンターからAzureへの受信専用アクセス用にPrivate Link ゲートウェイを構成します。

  • プライベート データセンターのシステム依存関係がデータをAzureにプッシュしていることを確認します。

  • 最小特権の原則に従ってファイアウォール ポリシーの例外を個別に適用するには、Private LinkとAzure Firewallを使用します。

• 脆弱性スキャンを使用したプライベート レジストリ: 統合セキュリティ スキャンを使用して、Azure Container Registry Premium レベルを使用して、レジストリでホストされているイメージの脆弱性を特定します。 Microsoft Defender for Containers を使用して、サブスクリプション レベルでこの機能を有効にします。

  • サプライ チェーンのセキュリティのために Notation と Cosign を使用してイメージ署名を実装します。

  • プライベート エンドポイントを介してコンテナー イメージを配布し、プライベート レジストリのみを使用するようにAzure Red Hat OpenShiftを構成します。

  • 脆弱なイメージの検疫ポリシーを有効にします。 詳細については、「プライベート Azure Red Hat OpenShift クラスターでのコンテナー レジストリの使用を参照してください。

  • Private Link を使用して、Container Registry へのプライベート ネットワーク アクセスを有効にします。

• ネットワークのセグメント化: セキュリティとネットワークの分離のために既定のサブネットをセグメント化します。

  • Azure ネットワークを使用して、Azure Red Hat OpenShift コントロール プレーン、ワーカープレーン、データプレーン、Azure Front Door、Azure Firewall、Azure Bastion、および Azure Application Gateway に個別のサブネットを作成します。

  • NetworkPolicy オブジェクトを作成して、プロジェクト内のポッド間のトラフィックを制限します。

データ​​

• 保存データの暗号化: 既定のストレージ ポリシーと構成を使用して、保存データの暗号化を確保します。

  • コントロール プレーンの背後で etcd 暗号化 を有効にし、各ワーカー ノードでストレージを暗号化します。

  • Key Vault プロバイダーを Secrets Store CSI ドライバー (CSI) 用に構成し、Key Vault 内のシークレットをポッドにマウントします。

  • 顧客またはAzureを通じてキーを管理するには、Azure Red Hat OpenShiftの機能である etcd およびストレージ データ暗号化を使用します。 詳細については、「Security for Azure Red Hat OpenShift」を参照してください。

• 転送中のデータの暗号化: 既定のAzure Red Hat OpenShift クラスター内のサービス間の相互接続を暗号化します。

  • サービス間のトラフィックに対してトランスポート層セキュリティ (TLS) を有効にします。

  • 証明書ストレージには、ネットワーク ポリシー、サービス メッシュ、Key Vaultを使用します。 詳細については、「Update Azure Red Hat OpenShift クラスター証明書」を参照>。

  • Red Hat OpenShift Service Mesh を使用して、トラフィック管理、サービス ID、セキュリティ、ポリシーを適用し、テレメトリを取得します。 詳細については、「 Red Hat OpenShift Service Mesh の概要」を参照してください。

• Key 管理サービス:Key Vault をプライマリ サービスとして使用して、シークレット、キー、証明書を安全に格納および管理します。

  • HSM ベースのキーを必要とするワークロードの場合は、FIPS 140-3 レベル 3 標準を満たす Key Vault Premium を使用します。

  • Key Vault のMicrosoft Defenderを有効にして、高度な脅威検出を行います。 監査用に 診断ログ を構成します。 組み込みのポリシーまたはイベント ドリブンの自動化を使用して、 自動化されたキー ローテーション と シークレット ライフ サイクル管理 を実装します。

  • 高度またはマルチクラウドのシナリオでは、 HashiCorp Vault や CyberArk Conjur などのソフトウェア開発会社を検討してください。 BYOK モデルは、Azure サービス全体で完全にサポートされています。

認証と権限承認

• Identity and access management: Azure Red Hat OpenShift クラスターの一元的な ID 管理にMicrosoft Entra IDを使用します。 詳細については、「Microsoft Entra ID グループ要求を使用するための Azure Red Hat OpenShift の構成」を参照してください。

  • Microsoft Entra を使用して、Azure Red Hat OpenShift クラスターに対してユーザーを認証します。

  • Microsoft Entra Privileged Identity Management (PIM) を使用して、Just-In-Time (JIT) 特権と多要素認証 (MFA) を使用してクラスターへのアクセスを管理、制御、監視します。

  • Azure Red Hat OpenShiftランディングゾーンのAzure RBACロールのスコープを持つ新しいサービスプリンシパルを作成します。 詳細については、「Azure Red Hat OpenShift クラスターをデプロイするための前提条件のチェックリストを参照してください。

• RBAC: Azure Red Hat OpenShift にAzure RBAC を実装して、ユーザー アクションとアクセス レベルの詳細な承認を提供します。

  • FSI シナリオでクラスター RBAC を使用して、プラットフォームへの最小特権アクセスを実装します。 詳細については、「 RBAC を使用したアクセス許可の定義と適用」を参照してください。

  • Site Reliability Engineering、SecOps、DevOps、開発者などの個別のグループに対して、OpenShift と Microsoft Entra ID の間のロール バインドを使用します。 詳細については、「Azure Red Hat OpenShift を Microsoft Entra ID に対応するように構成する」を参照してください。

コンプライアンス

• Microsoft 以外のリスク評価: 財務コンプライアンス規制に準拠するには、最小特権アクセスに従い、エスカレートされた特権の期間を制限し、サイト信頼性エンジニア (SRE) リソース アクセスを監査します。 SRE 共有責任モデルとアクセスエスカレーション手順については、Azure Red Hat OpenShift および Azure Red Hat OpenShift への SRE アクセスに関する責任の概要を参照してください。

• 規制コンプライアンス: FSI シナリオでのコンプライアンスに関連するさまざまな規制要件に対処するには、Azure Policyを使用します。

  Azure Policy を使用してタグを適用し、Azure Red Hat OpenShift クラスターのマネージド リソース グループ内のリソースに割り当てます。 詳細については、Azure Policy および Azure Policy 組み込みのイニシアチブ定義を参照してください。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「 オペレーショナル エクセレンスの設計レビュー チェックリスト」を参照してください。

FSI 企業では、堅牢な監視ツールとプラクティスを使用して、問題を先回りで検出して対処し、リソースの使用状況を最適化できます。 オペレーショナル エクセレンスに関する以下の推奨事項に従います。

• 効果的なログ記録と監視の実装: Azure MonitorとMicrosoft Sentinelを使用してアクションを追跡し、Azure Red Hat OpenShift環境内でシステムの整合性を確保します。

  • Dynatrace、Datadog、Splunk などの Microsoft 以外のツールを使用して、監視と監視のプラクティスを補完します。

  • Prometheus または Azure Managed Grafana のマネージド サービスがAzure Red Hat OpenShiftで使用できることを確認します。

  • Cluster Logging Forwarder を使用してAzure MonitorとLog Analyticsにログを送信します。 この機能を使用すると、Azure MonitorでAzure Red Hat OpenShiftワークロードのクエリと表示を行うことができます。

• Azure Arc対応 Kubernetes:Azure Arc対応 Kubernetes をAzure Red Hat OpenShift環境と統合して、ログ記録と監視機能を強化します。

  • 提供されているツールを使用して、リソースの使用を最適化し、業界の規制への準拠を維持します。

  • 包括的な監視と可観測性を有効にします。 詳細については、Azure Arc対応 Kubernetes および Azure Arc 対応クラスターの監視を有効化するを参照してください。

• Red Hat Advanced Cluster Management (ACM) と OpenShift Data Foundation (ODF) を Azure Red Hat OpenShift DR: ビジネス継続性とディザスター リカバリー (BCDR) シナリオでは、ACM と ODF Multicluster Orchestrator を使用してハブ クラスターを実行して、ピアリングされた仮想ネットワーク間でプライマリ クラスターとセカンダリ クラスターを調整することを検討してください。 詳細については、「 AZURE RED HAT OPENSHIFT DRを参照してください。

貢献者

Microsoft では、この記事を保持しています。 次の共同作成者がこの記事を書きました。

主要な著者:

• Ayobami Ayodeji | シニア プログラム マネージャー
• Diego Casati | Azureグローバルブラックベルト担当

パブリックでないLinkedIn プロファイルを表示するには、LinkedIn.

次のステップ

運用環境のデプロイ リソース:

• Azure Red Hat OpenShift ランディング ゾーン アクセラレータ: Terraform テンプレートとBicep テンプレートを使用した包括的なリファレンス実装と重要な設計領域の推奨事項
• Azure Red Hat OpenShift ワークショップ: Azure Red Hat OpenShift展開と管理を学習するための対話型ラボ演習
• Red Hat OpenShift on Azure ドキュメント: 技術的なドキュメントとチュートリアルを完了する

アーキテクチャとベスト プラクティス:

• Azure アーキテクチャ センター - コンテナー アーキテクチャ: 参照アーキテクチャと設計パターン
• Azure Red Hat OpenShift サポート ポリシー: バージョンのサポートとライフ サイクルの情報

セキュリティとコンプライアンス:

• Azure Azure Red Hat OpenShift のセキュリティ ベースライン:Microsoft クラウド セキュリティ ベンチマーク バージョン 1.0 から Azure Red Hat OpenShift へのセキュリティ ベースライン ガイダンス