Sécurité pour l’accélérateur de zone d’atterrissage Azure Red Hat OpenShift
La sécurité est une préoccupation majeure pour tous les systèmes en ligne. Cet article fournit des considérations et recommandations relatives à la conception pour protéger et sécuriser vos déploiements Azure Red Hat OpenShift.
Remarques relatives à la conception
Azure Red Hat OpenShift fonctionne avec d’autres services Azure comme Microsoft Entra ID, Azure Container Registry, Stockage Azure et Réseau virtuel Azure. Ces interfaces nécessitent une attention particulière lors de la phase de planification. Azure Red Hat OpenShift ajoute aussi une complexité supplémentaire qui vous oblige à appliquer les mêmes contrôles et mécanismes de gouvernance et de conformité en matière de sécurité que dans le reste du paysage de votre infrastructure.
Voici quelques considérations relatives à la conception pour la gouvernance de la sécurité et la conformité :
Si vous déployez un cluster Azure Red Hat OpenShift selon les bonnes pratiques sur les zones d’atterrissage Azure, familiarisez-vous avec les stratégies qui seront héritées par les clusters.
Décidez si le plan de contrôle du cluster doit être accessible par Internet (valeur par défaut). Si tel est le cas, des restrictions IP sont recommandées. Si le plan de contrôle du cluster est accessible uniquement à partir de votre réseau privé (dans Azure ou localement), déployez un cluster privé Azure Red Hat OpenShift.
Déterminez comment contrôler et sécuriser le trafic sortant de votre cluster Azure Red Hat OpenShift avec le Pare-feu Azure ou une autre appliance virtuelle réseau.
Déterminez la façon dont les secrets seront gérés dans votre cluster. Vous pouvez soit utiliser le Fournisseur Azure Key Vault pour Secrets Store CSI Driver pour protéger les secrets, soit connecter un cluster Azure Red Hat OpenShift à Kubernetes avec Azure Arc et utiliser l’extension Fournisseur de secrets Azure Key Vault pour récupérer (fetch) des secrets.
Décidez si votre registre de conteneurs est accessible via Internet ou uniquement au sein d’un réseau virtuel spécifique. La désactivation de l’accès à Internet dans un registre de conteneurs peut avoir des effets négatifs sur d’autres systèmes qui dépendent de la connectivité publique, comme les pipelines d’intégration continue ou Microsoft Defender pour les conteneurs pour l’analyse des images. Pour plus d’informations, consultez Connexion privée à un registre de conteneurs à l’aide d’Azure Private Link.
Décidez si votre registre de conteneurs privé sera partagée entre plusieurs zones d’atterrissage ou si vous déployez un registre de conteneurs dédié à chaque abonnement de zone d’atterrissage.
Déterminez comment vos images de base de conteneur et le temps d’exécution de l’application seront mis à jour au cours du cycle de vie du conteneur. Azure Container Registry Tasks prend en charge l’automatisation de votre workflow de mise à jour corrective du système d’exploitation et de l’infrastructure d’application, garantissant ainsi la sécurité de l’environnement tout en respectant les principes des conteneurs immuables.
Recommandations de conception
Limitez l’accès au fichier de configuration du cluster Azure Red Hat OpenShift en l’intégrant à Microsoft Entra ID ou à votre propre fournisseur d’identité. Attribuez un contrôle d’accès en fonction du rôle OpenShift approprié, par exemple cluster-admin ou cluster-reader.
Sécurisez l’accès du pod aux ressources. Fournissez le plus petit nombre d’autorisations et évitez d’utiliser l’escalade de privilèges ou racine.
Pour gérer et protéger des secrets, des certificats et des chaînes de connexion dans votre cluster, vous devez connecter un cluster Azure Red Hat OpenShift à Kubernetes avec Azure Arc et utiliser l’extension Fournisseur de secrets Azure Key Vault pour récupérer (fetch) des secrets.
Pour les clusters Azure Red Hat OpenShift 4, les données etcd ne sont pas chiffrées par défaut, mais il est recommandé d’activer le chiffrement etcd pour fournir une autre couche de sécurité des données.
Tenez à jour vos clusters avec la dernière version d’OpenShift pour éviter d’éventuels problèmes de sécurité ou de mise à niveau. Azure Red Hat OpenShift prend uniquement en charge les versions mineures actuelle et précédente en disponibilité générale de Red Hat OpenShift Container Platform. Mettez à niveau le cluster s’il se trouve sur une version antérieure à la dernière version mineure.
Monitorez et appliquez la configuration avec l’extension Azure Policy.
Connectez les clusters Azure Red Hat OpenShift à Kubernetes avec Azure Arc.
Utilisez Microsoft Defender pour les conteneurs via Kubernetes avec Arc pour sécuriser les clusters, les conteneurs et les applications. Analysez également vos images à la recherche de vulnérabilités avec Microsoft Defender ou toute autre solution d’analyse d’images.
Déployez une instance dédiée et privée d’Azure Container Registry pour chaque abonnement à une zone d’atterrissage.
Utilisez Private Link pour Azure Container Registry afin de le connecter à Azure Red Hat OpenShift.
Utilisez un hôte bastion ou un jumpbox pour accéder de manière sécurisée au cluster privé Azure Red Hat OpenShift.
Étapes suivantes
Découvrez les considérations relatives à la gestion des opérations et aux bases de référence pour la zone d’atterrissage Azure Red Hat OpenShift.