Partilhar via

Azure CycleCloud – Melhores Práticas de Segurança

  • Artigo

Este artigo aborda as melhores práticas e sugestões úteis para utilizar o Azure CycleCloud de forma mais segura e eficaz. Pode utilizar as melhores práticas aqui listadas como uma referência rápida ao utilizar o Azure CycleCloud.

Instalação

A instalação predefinida do CycleCloud utiliza HTTP não encriptado em execução na porta 8080. Recomendamos vivamente a configuração do SSL para todas as instalações para impedir o acesso não encriptado à instalação do CycleCloud. O CycleCloud não deve estar acessível a partir da Internet, mas, se necessário, apenas a porta 443 deve ser exposta. Se quiser restringir o acesso direto à Internet, configure para utilizar um proxy para todo o tráfego HTTP e/ou HTTPS vinculado à Internet. Para desativar comunicações não encriptadas e acesso HTTP ao CycleCloud, veja Configuração SSL.

Se também quiser restringir o acesso à Internet de saída, é possível configurar o CycleCloud para utilizar um proxy para todo o tráfego HTTP e/ou HTTPS vinculado à Internet. Veja Operating in a Locked Down Environment (Operar num Ambiente Bloqueado ) para obter detalhes.

Autenticação e Autorização

O Azure CycleCloud oferece quatro métodos de autenticação: uma base de dados incorporada com encriptação, Active Directory, LDAP ou Entra ID. Qualquer conta com cinco falhas de autorização num prazo de 60 segundos será automaticamente bloqueada durante cinco minutos. As contas podem ser desbloqueadas manualmente por um administrador e são desbloqueadas automaticamente após cinco minutos.

O CycleCloud deve ser instalado numa unidade com apenas acesso a grupos de administradores. Isto impedirá os utilizadores não administradores de acederem a dados não encriptados. Os utilizadores não administradores não devem ser incluídos neste grupo. Idealmente, o acesso à instalação do CycleCloud deve ser limitado apenas a administradores.

Não partilhe a instalação do CycleCloud entre limites de confiança. Os controlos RBAC numa única instalação do CycleCloud podem não ser suficientes num verdadeiro ambiente multi-inquilino. Utilize instalações cycleCloud separadas e isoladas para cada inquilino com dados críticos.

Gestão de Redes e Segredos

A rede virtual na qual os clusters são iniciados deve ser bloqueada com Grupos de Segurança de Rede (NSG). O acesso a portas específicas é regido por um NSG. Tem a opção de configurar e controlar o tráfego de rede de entrada/saída de/para os recursos do Azure na rede virtual do Azure. Um Grupo de Segurança de Rede contém regras de segurança que permitem ou negam tráfego de rede de entrada ou tráfego de rede de saída de vários tipos de recursos do Azure.

Recomendamos vivamente a utilização de, pelo menos, duas sub-redes. Uma para a VM de instalação do CycleCloud e outras VMs com as mesmas políticas de acesso e sub-redes adicionais para os clusters de computação. No entanto, tenha em atenção que, para clusters grandes, o intervalo de IP da sub-rede pode tornar-se um fator limitativo. Assim, em geral, a sub-rede CycleCloud deve utilizar um pequeno intervalo CIDR (Classless Inter-Domain Routing) e as sub-redes de computação devem ser grandes.

O CycleCloud utiliza a Resource Manager do Azure para gerir clusters. Para fazer chamadas para o Azure Resource Manager determinadas permissões são concedidas ao CycleCloud ao configurar a Identidade Gerida para a VM CycleCloud. Recomenda-se que utilize a Identidade Gerida atribuída pelo sistema ou atribuída pelo utilizador.Uma Identidade Gerida atribuída pelo sistema cria uma identidade no Azure AD que está associada ao ciclo de vida dessa instância de serviço. Quando esse recurso é eliminado, a identidade gerida é eliminada automaticamente. Uma Identidade Gerida atribuída pelo utilizador pode ser atribuída a uma ou mais instâncias de um serviço do Azure. Neste caso, a identidade gerida é gerida separadamente pelos recursos utilizados.

Ambiente protegido bloqueado

Alguns ambientes de produção seguros bloquearão o ambiente e terão acesso limitado à Internet. Uma vez que o Azure CycleCloud requer acesso às contas de Armazenamento do Azure e a outros serviços suportados do Azure, a forma recomendada de fornecer acesso privado é através de pontos finais de serviço ou Private Link Rede Virtual. Ativar pontos finais de serviço ou Private Link permite-lhe proteger os seus recursos de serviço do Azure para a sua rede virtual. Os pontos finais de serviço adicionam mais segurança ao permitir que os endereços IP privados no Rede Virtual cheguem aos pontos finais de um serviço do Azure.

A aplicação CycleCloud e os nós de cluster podem operar em ambientes com acesso limitado à Internet, embora exista um número mínimo de portas TCP que têm de permanecer abertas. Uma forma de limitar o acesso à Internet de saída a partir da VM cycleCloud sem configurar o Azure Firewall ou um proxy HTTPS é configurar um Grupo de Segurança de Rede do Azure rigoroso para a sub-rede da máquina virtual CycleCloud. A forma mais simples de o fazer é utilizar as Etiquetas de Serviço na sub-rede ou no Grupo de Segurança de Rede ao nível da VM para permitir o acesso de saída necessário ao Azure. As etiquetas de serviço podem ser utilizadas em vez de endereços IP específicos quando cria regras de segurança, pode permitir ou negar o tráfego do serviço correspondente.