Use o Azure Red Hat OpenShift na indústria dos serviços financeiros

Este artigo descreve como implementar uma arquitetura de zona de aterragem Azure Red Hat OpenShift para a indústria dos serviços financeiros (FSI). Esta orientação descreve como utilizar qualquer versão suportada do Azure Red Hat OpenShift 4.x num ambiente cloud híbrido para criar soluções seguras, resilientes e compatíveis que cumpram os requisitos regulatórios e normas de segurança da FSI.

Antes de construir um ambiente de produção usando Azure Red Hat OpenShift, leia as orientações para a zona de aterragem do Azure Red Hat OpenShift no âmbito do Cloud Adoption Framework para Azure. Considere rever as últimas atualizações de serviço Azure Red Hat OpenShift e a matriz de compatibilidade de versões para planeamento de produção.

Arquitetura

Descarregue um ficheiro Visio desta arquitetura.

Fluxo de dados

Este cenário utiliza uma aplicação que corre num cluster Azure Red Hat OpenShift. A aplicação liga-se a recursos locais e a uma rede virtual hub no Azure que o Azure Firewall protege.

O seguinte fluxo de dados corresponde ao diagrama anterior:

1. O programador escreve código na rede da empresa e envia o código para o GitHub Enterprise. Você pode usar qualquer repositório de código para seu cenário.

2. O pipeline de implantação do cliente conteineriza o código, que o implanta em um registro de contêiner local.

3. A imagem pode então ser implementada num cluster OpenShift local e no cluster Azure Red Hat OpenShift no Azure. A imagem também é implantada no Azure Red Hat OpenShift através do Azure ExpressRoute, que encaminha o tráfego através da rede virtual hub do Azure para o cluster privado Azure Red Hat OpenShift na rede virtual satélite. Estas duas redes estão emparelhadas.

4. O tráfego de saída proveniente do cluster Azure Red Hat OpenShift é primeiro encaminhado através da rede virtual hub peered e depois através de uma instância do Azure Firewall.

5. Para aceder à aplicação, os clientes podem aceder a um endereço web que encaminha o tráfego através do Azure Front Door.

6. Azure Front Door utiliza Azure Private Link para se ligar ao cluster privado Azure Red Hat OpenShift.

Componentes

• Azure Red Hat OpenShift é um serviço Kubernetes que fornece clusters OpenShift 4.x geridos e altamente disponíveis sob demanda, com 99,95% disponibilidade de acordo de nível de serviço (SLA). Nesta arquitetura, estes clusters servem como a principal plataforma de computação. A Microsoft e a Red Hat monitorizam e operam conjuntamente os clusters, o que proporciona suporte de nível empresarial com atualizações automatizadas, patches e gestão do ciclo de vida. O Azure Red Hat OpenShift suporta OpenShift 4.12 e versões posteriores, com atualizações regulares de versões e opções de suporte alargadas.

• Microsoft Entra ID é um serviço de gestão de identidades e acessos baseado na cloud que controla o acesso a recursos em vários ambientes. Nesta arquitetura, o Microsoft Entra ID integra-se com o controlo de acesso baseado em funções do Azure (Azure RBAC) e o OpenShift RBAC. Esta integração proporciona aos clientes acesso seguro e granular a recursos externos.

• ExpressRoute é um serviço de rede que pode integrar-se com um fornecedor de conectividade para estender redes locais para a cloud Microsoft através de uma ligação privada. Nesta arquitetura, o ExpressRoute fornece conectividade privada e de alta largura de banda entre recursos on-premises e o Azure.

• Azure Key Vault é uma solução de gestão de chaves nativa na cloud que armazena e gere segredos, chaves e certificados com o Módulo de Segurança de Hardware (HSMs) validado pelo FIPS 140-3 Nível 3. Cumpre normas como o Payment Card Industry Data Security Standard (PCI DSS) e o Payment Card Industry Three-Domain Secure (PCI 3DS). Para cenários FSI, esta arquitetura recomenda que utilize o nível Key Vault Premium em vez do Standard SKU para garantir maior conformidade de segurança, incluindo chaves geridas pelo cliente, capacidades de trazer a sua própria chave (BYOK) e suporte dedicado de HSM para aplicações que correm no cluster privado Azure Red Hat OpenShift. A Key Vault Premium permite a conformidade FIPS 140-3 Nível 3 exigida por muitas regulamentações financeiras. A integração com o Azure Red Hat OpenShift inclui suporte nativo para o driver CSI do Key Vault e o ID de carga de trabalho Microsoft Entra. Para mais informações sobre as diferentes soluções Azure de gestão de chaves, consulte Escolha a solução certa Azure de gestão de chaves.

• Azure Bastion é uma solução de plataforma gerida como serviço (PaaS) que permite ligações a máquinas virtuais (VMs) através de um endereço IP privado. Nesta arquitetura, o Azure Bastion liga-se a uma VM Azure dentro da rede privada porque este cenário implementa um cluster privado.

• Azure Firewall é um serviço de segurança de firewall de rede inteligente e nativo na nuvem que fornece proteção contra ameaças para cargas de trabalho cloud que correm em Azure. Nesta arquitetura, o Azure Firewall monitoriza e filtra o tráfego de rede que entra e sai do ambiente Azure Red Hat OpenShift.

Alternativas

Pode usar o Azure Red Hat OpenShift para aceder ao ecossistema OpenShift e à cadeia de ferramentas cloud-native. Quando executa OpenShift on-premises, a maioria dos serviços de plataforma incluídos aplica-se ao Azure Red Hat OpenShift. Pode usar estes serviços de plataforma como alternativas a alguns dos serviços do Azure mencionados neste artigo.

Alternativas que não são da Microsoft estão disponíveis. Por exemplo, pode alojar o seu registo de contentores localmente ou usar OpenShift GitOps em vez do GitHub Actions. Também pode usar soluções de monitorização não Microsoft que funcionam com ambientes Azure Red Hat OpenShift. Este artigo foca-se nas alternativas ao Azure que os clientes frequentemente utilizam para construir as suas soluções no Azure Red Hat OpenShift.

Detalhes do cenário

Os clientes do FSI e de outras indústrias reguladas, Azure Red Hat OpenShift, frequentemente têm requisitos rigorosos para os seus ambientes. Esta arquitetura define critérios e diretrizes que as instituições financeiras podem usar para conceber soluções que respondam aos seus requisitos únicos quando utilizam Azure Red Hat OpenShift num ambiente de cloud híbrido.

Este cenário centra-se em medidas de segurança. Por exemplo, pode ativar a conectividade privada a partir de ambientes locais, implementar controlos sobre o uso de links privados, estabelecer registos privados, garantir a segregação da rede e implementar encriptação para dados em repouso e dados em trânsito. A gestão de identidade e acessos e o Azure RBAC garantem ambos uma administração segura dos utilizadores dentro dos clusters Azure Red Hat OpenShift.

Para adicionar resiliência, você pode distribuir recursos entre zonas de disponibilidade para tolerância a falhas. As obrigações de conformidade envolvem avaliações de risco não Microsoft, adesão regulamentar e protocolos de recuperação de desastres (DR). Para melhorar a observabilidade, você pode adicionar mecanismos de registro, monitoramento e backup para manter a eficiência operacional e a conformidade normativa. As orientações deste artigo fornecem uma estrutura que pode usar para implementar e gerir soluções Azure Red Hat OpenShift adaptadas às necessidades da FSI.

Potenciais casos de utilização

Esse cenário é mais relevante para clientes de setores regulados, como finanças e saúde. Esse cenário também se aplica a clientes que têm requisitos de segurança elevados, como soluções que têm requisitos rígidos de governança de dados.

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que pode usar para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Well-Architected Framework.

Fiabilidade

A confiabilidade ajuda a garantir que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, consulte Lista de verificação de revisão de design para confiabilidade.

A resiliência é essencial para que o Azure Red Hat OpenShift mantenha a operação ininterrupta de aplicações críticas para a missão. Implemente as seguintes melhores práticas de fiabilidade:

• Zonas de disponibilidade: Distribuir o plano de controlo e os nós de trabalho por todas as zonas de disponibilidade disponíveis dentro de uma Azure região. Essa configuração garante que o cluster do plano de controle mantenha o quórum e reduza possíveis falhas em zonas de disponibilidade inteiras. Implemente essa distribuição como uma prática padrão.

• Implementações multi-regionais: Implementar clusters Azure Red Hat OpenShift em múltiplas regiões para proteger contra falhas regionais. Use o Azure Front Door Premium para balanceamento global de carga e encaminhamento de tráfego para estes clusters, com sondas de saúde e capacidades automáticas de failover para maior resiliência. Escolha serviços Azure que suportem geo-redundância e associe cada localização secundária ao local onde implementa o cluster OpenShift.

• DR: Implementar normas rigorosas de DR para proteger os dados dos clientes e garantir operações empresariais contínuas. Para cumprir estes padrões de forma eficaz, siga as considerações da DR.

• Backup: Para proteger dados sensíveis dos clientes e cumprir requisitos rigorosos de conformidade, implemente uma estratégia robusta de backup e restauro para Azure Red Hat OpenShift.

  • Comece por configurar clusters Azure Red Hat OpenShift para serem ligados ao armazenamento Azure por defeito, e certifique-se de que se reconectam automaticamente após uma operação de restauro. Para backups ao nível da aplicação que utilizam Velero, veja Criar um backup de aplicações Azure Red Hat OpenShift cluster.

  • Para fluxos de segurança e DR, incluindo backups agendados, replicação remota de armazenamento de objetos e suporte a data mover, consulte Backup e restauro para Azure Red Hat OpenShift utilizando a API OpenShift para Proteção de Dados. Utilize esta abordagem em ambientes de produção que exigem objetivos rigorosos de tempo de recuperação (RTOs), objetivos de pontos de recuperação (RPOs) e cumprimento de normas de conformidade.

Segurança

A segurança fornece garantias contra ataques deliberados e o uso indevido de seus valiosos dados e sistemas. Para obter mais informações, consulte Lista de verificação de revisão de design para segurança.

A segurança é primordial no setor financeiro. Para proteger dados confidenciais e garantir a conformidade regulamentar, você precisa de medidas de segurança rigorosas.

Rede

• Conectividade privada a partir de um ambiente local: Os casos de uso da indústria financeira requerem conectividade exclusiva à rede privada sem acesso público à internet.

  • Implemente endpoints Private Link para conectividade segura e use ExpressRoute para conectividade privada a partir de datacenters on-premises. O Azure Red Hat OpenShift suporta clusters privados que incluem controladores de entrada privados e endpoints API.

  • Para melhorar a segurança, considere usar uma topologia de rede de raios hub. Para mais informações, consulte Criar um cluster privado Azure Red Hat OpenShift.

  • Use o modelo Azure Red Hat OpenShift Landing Zone Accelerator para acelerar a criação de um novo cluster que siga as práticas recomendadas por Microsoft.

• Ligação privada só de envio: As empresas financeiras frequentemente restringem o tráfego de carga de trabalho do Azure de se conectar novamente aos seus datacenters. Configure gateways de Private Link para acesso de entrada apenas de datacenters privados ao Azure.

  • Garantir que as dependências do sistema em datacenters privados enviam os dados para o Azure.

  • Use o Private Link e o Azure Firewall para aplicar exceções à política de firewall individualmente, de acordo com os princípios de privilégio mínimo.

• Registo privado com varredura de vulnerabilidades: Use o nível Premium Azure Container Registry com varredura de segurança integrada para identificar vulnerabilidades em imagens alojadas no seu registo. Ative esta funcionalidade ao nível da subscrição usando Microsoft Defender para Containers.

  • Implemente a assinatura de imagens usando Notation e Cosign para a segurança da cadeia de abastecimento.

  • Distribuir imagens de contentores através de endpoints privados e configurar o Azure Red Hat OpenShift para usar exclusivamente registos privados.

  • Ativem políticas de quarentena para imagens vulneráveis. Para mais informações, consulte Use Container Registry em clusters privados de Azure Red Hat OpenShift.

  • Use Private Link para permitir o acesso privado à rede ao Container Registry.

• Segmentação de rede: Segmentar sub-redes predefinidas para segurança e isolamento de rede.

  • Use a rede Azure para criar subnets distintas para o Azure Red Hat OpenShift control plane, worker plane e data plane, Azure Front Door, Azure Firewall, Azure Bastion, e Gateway de Aplicação do Azure.

  • Criar objetos de política de rede (NetworkPolicy) para restringir o tráfego entre pods num projeto.

Dados

• Encriptação dos dados armazenados: Use políticas e configurações de armazenamento padrão para garantir a encriptação dos dados armazenados.

  • Ative a encriptação etcd atrás do plano de controlo e encripte o armazenamento em cada nó trabalhador.

  • Configurar o fornecedor Key Vault para o driver CSI da Secrets Store, de forma a montar segredos do Key Vault nos seus pods.

  • Para gerir chaves através do cliente ou do Azure, use etcd e a encriptação de dados de armazenamento, que é uma funcionalidade do Azure Red Hat OpenShift. Para mais informações, consulte Segurança para Azure Red Hat OpenShift.

• Encriptação de dados em trânsito: Encriptar interligações entre serviços num cluster de Azure Red Hat OpenShift predefinido.

  • Habilite o Transport Layer Security (TLS) para o tráfego entre serviços.

  • Use políticas de rede, malha de serviço e Key Vault para armazenamento de certificados. Para mais informações, consulte Atualizar certificados do cluster Azure Red Hat OpenShift.

  • Use o Red Hat OpenShift Service Mesh para impor a gestão do tráfego, identidade do serviço, segurança e políticas, bem como para obter telemetria. Para mais informações, consulte Introdução à Red Hat OpenShift Service Mesh.

• Serviço de gestão de chaves: Use Key Vault como o serviço principal para armazenar e gerir segredos, chaves e certificados de forma segura.

  • Para cargas de trabalho que requerem chaves suportadas por HSM, use Key Vault Premium, que cumpre os padrões FIPS 140-3 Nível 3.

  • Ative Microsoft Defender para Key Vault para deteção avançada de ameaças. Configurar o registo de diagnósticos para auditoria. Implemente rotação automática de chaves e gestão do ciclo de vida secreto utilizando políticas incorporadas ou automação orientada a eventos.

  • Para cenários avançados ou multicloud, considere empresas de desenvolvimento de software como a HashiCorp Vault ou a CyberArk Conjur. Os modelos BYOK são totalmente suportados em serviços Azure.

Autenticação e autorização

• Gestão de identidade e acessos: Utilizar Microsoft Entra ID para gestão centralizada de identidade de clusters de Azure Red Hat OpenShift. Para mais informações, consulte Configurar o Azure Red Hat OpenShift para usar as declarações de grupos do Microsoft Entra ID.

  • Utilize Microsoft Entra para autenticar os utilizadores contra o seu cluster Azure Red Hat OpenShift.

  • Use Microsoft Entra Privileged Identity Management (PIM) para gerir, controlar e monitorizar o acesso ao cluster com privilégios just-in-time (JIT) e autenticação multifator (MFA).

  • Crie um principal de serviço separado com funções Azure RBAC definidas para a sua zona de aterragem do Azure Red Hat OpenShift. Para mais informações, consulte a lista de verificação de Pré-requisitos para implementar um cluster Azure Red Hat OpenShift.

• RBAC: Implementar Azure RBAC em Azure Red Hat OpenShift para fornecer autorização granular das ações dos utilizadores e dos níveis de acesso.

  • Utilize o RBAC de cluster em cenários FSI para implementar o acesso de privilégios mínimos à plataforma. Para mais informações, consulte Usar RBAC para definir e aplicar permissões.

  • Use vinculações de funções entre OpenShift e Microsoft Entra ID para grupos distintos como Engenharia de Fiabilidade do Site, SecOps, DevOps e programadores. Para mais informações, consulte Configure Azure Red Hat OpenShift para usar Microsoft Entra ID.

Conformidade

• Avaliações de risco não Microsoft: Para cumprir regulamentos de conformidade financeira, manter o acesso de menor privilégio, limitar a duração dos privilégios elevados e auditar o acesso aos recursos do engenheiro de fiabilidade do site (SRE). Para o modelo de responsabilidade partilhada SRE e procedimentos de escalonamento de acesso, veja Visão geral das responsabilidades para Azure Red Hat OpenShift e Acesso do SRE ao Azure Red Hat OpenShift.

• Conformidade regulatória: Utilizar Azure Policy para responder a vários requisitos regulatórios relacionados com a conformidade em cenários FSI.

  Use uma Política do Azure para aplicar etiquetas aos recursos de um grupo de recursos gerido por um cluster do Azure Red Hat OpenShift. Para mais informações, consulte Azure Policy e Azure Policy definições de iniciativas incorporadas.

Excelência Operacional

A Excelência Operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Lista de verificação de revisão de design para excelência operacional.

As empresas FSI podem usar ferramentas e práticas robustas de observabilidade para detetar e resolver problemas de forma proativa e otimizar o uso de recursos. Siga estas recomendações de excelência operacional:

• Implemente registos e monitorização eficazes: Use Azure Monitor e Microsoft Sentinel para acompanhar ações e garantir a integridade do sistema no seu ambiente Azure Red Hat OpenShift.

  • Complementar a observabilidade e as práticas de monitorização utilizando ferramentas não Microsoft como Dynatrace, Datadog e Splunk.

  • Assegure que o serviço gerido para Prometheus ou Azure Managed Grafana está disponível para Azure Red Hat OpenShift.

  • Use o Cluster Logging Forwarder para enviar logs para Azure Monitor e Log Analytics. Esta funcionalidade permite-lhe consultar e visualizar as suas cargas de trabalho Azure Red Hat OpenShift no Azure Monitor.

• Use Kubernetes habilitado para Azure Arc: Integre o Kubernetes habilitado para Azure Arc com o seu ambiente Azure Red Hat OpenShift para capacidades melhoradas de registo e monitorização.

  • Use as ferramentas fornecidas para otimizar o uso de recursos e manter a conformidade com as regulamentações do setor.

  • Permitir monitoramento e observabilidade abrangentes. Para mais informações, consulte Azure Arc-enabled Kubernetes e Habilitar monitorização para clusters compatíveis com Azure Arc.

• Deploy Red Hat Advanced Cluster Management (ACM) e OpenShift Data Foundation (ODF) para Azure Red Hat OpenShift DR: Para cenários de continuidade de negócio e recuperação de desastres (BCDR), considere executar um cluster hub com ACM e o ODF Multicluster Orchestrator para coordenar clusters primários e secundários através de redes virtuais peered. Para mais informações, consulte Implementar ACM e ODF para Azure Red Hat OpenShift DR.

Contribuidores

A Microsoft mantém este artigo. Os seguintes colaboradores escreveram este artigo.

Principais autores:

• Ayobami Ayodeji | Gerente de Programa Senior
• Diego Casati | Azure Global Black Belt

Para ver perfis de LinkedIn não públicos, inicie sessão no LinkedIn.

Passos seguintes

Recursos de implementação na produção:

• accelerador de zona de destino do Azure Red Hat OpenShift: Implementação abrangente de uma referência com modelos Terraform e Bicep e recomendações para áreas críticas de conceção
• Azure Red Hat OpenShift workshop: Exercícios interativos de laboratório para aprendizagem, implementação e gestão Azure Red Hat OpenShift
• Red Hat OpenShift na documentação Azure: Documentação técnica completa e tutoriais

Arquitetura e melhores práticas:

• Centro de Arquitetura Azure - Arquiteturas de contentores: Arquiteturas de referência e padrões de design
• Azure Red Hat OpenShift políticas de apoio: Suporte de versões e informação sobre o ciclo de vida

Segurança e conformidade:

• Azure linha de base de segurança para Azure Red Hat OpenShift: Orientação sobre a linha de base de segurança do benchmark de segurança da nuvem Microsoft versão 1.0 para Azure Red Hat OpenShift