共用方式為

Azure 上的 Red Hat Enterprise Linux 身分識別和存取管理考慮

  • 發行項

本文說明 Azure Red Hat Enterprise Linux (RHEL) 登陸區域加速器部署的身分識別和存取管理 (IAM) 考慮。 IAM 是組織安全性設定的重要部分。 RHEL 作業系統和其上執行的應用程式需要取用外部身分識別來調整作業。 請仔細設計混合式雲端 IAM 實作,以確保 Azure 雲端中的實例環境順暢整合和管理。 Red Hat 和 Microsoft共同運作,以確保 RHEL、Windows Server Active Directory 與 Microsoft Entra Privileged Identity Management (PIM) 之間的原生整合。

設計考量

實作這些設計考慮和建議,以建立符合您組織對 Azure RHEL 部署需求的 IAM 方案。

一般而言,混合式雲端環境中的 RHEL 部署應該:

  • 使用集中式 Linux 身分識別授權單位,以盡可能與操作系統安全性子系統整合,以提高作業效率與訪問控制可見度。 使用集中式 Linux 身分識別授權單位,以便您可以:
    • 管理 Linux 作業系統的主機特定授權。
    • 實現混合式部署之間的一致性。
    • 將驗證委派給外部來源。
    • 簡化訪問控制檢閱程式。
    • 確保統一性。
    • 加速實作程式。
    • 增強混合式雲端 Linux 基礎結構的安全性架構。
  • 將原則一致套用至多個實例。 使用這種方法,您不需要使用自動化,即可在發生變更時修改基礎結構中的每個實例。
  • 使用主機型訪問控制、委派和其他規則,支援集中式、安全、區分的實例層級訪問控制。
  • 集中管理跨身分識別授權單位的系統層級許可權提升規則。 將此原則一致套用至環境中的個別實例和實例群組。
  • 支援或提供現代化自動化工具功能,以測試並一致地跨系統車隊實作安全性設定。 您應該從一開始就將安全性自動化設計成混合式雲端部署。
  • 支援整合現有的舊版企業單一登錄 (SSO) 功能,以減輕移轉負擔、維護安全性作業的一致性,以及支援雲端式部署的新式整合。

實作身份驗證

Linux 部署通常會在操作系統層級實作本機使用者驗證環境。 系統層級驗證和授權、對象擁有權、物件許可權和應用程式整合都是以此模型為基礎。 操作系統應用程式會以許多方式使用這些身分識別。 例如:

  • 應用程式進程會在某些使用者身分識別下執行。
  • 應用程式程式會建立或存取屬於特定使用者和群組的檔案。
  • 當使用者登入時,會修正用戶所屬的一組群組。 成員資格變更只會套用至新的工作階段。
  • 用戶的驗證和授權流程會直接系結至因驗證而作用中的登入會話。

先前,以這些身分識別為基礎的使用者起始殼層會話是與Linux上應用程式互動的主要方法。 隨著移至 Web、行動裝置和雲端導向的使用者介面,使用此身分識別耗用量模式的應用程式較不常見。

目前,當您在作業系統上執行隔離的應用程式或服務時,這些身分識別通常是支持機制。 應用層級身分識別不一定與系統層級使用者相同。 但系統層級身分識別對於有效率地執行和保護在雲端環境中大規模執行的Linux基礎結構仍然很重要。

對於小型雲端部署或試驗部署,這些傳統的 IAM 方法提供簡單的開始使用方式。 隨著環境調整,即使您使用自動化,這些機制也比較難以管理。 隨著觸控點數目的增加,組態數據、記錄數據、漂移數據以及必要分析的數量也會增加。 若要管理此複雜性,您可以集中管理 IAM。

您可以使用各種工具,在 Linux 環境中提供集中式安全性。 請確定此工具符合您的商務和技術需求。 RHEL 具有廣泛的軟體相容性清單,適用於安全性。 您可以使用 Azure 原生Microsoft Entra ID、Okta、SailPoint 或 JumpCloud 等商業開放原始碼軟體解決方案,或 Keycloak 等開放原始碼專案解決方案來整合應用層級安全性。 操作系統層級也有各種安全性解決方案。 您可以在雲端中部署數個商業解決方案和開放原始碼軟體專案。

Red Hat 身分識別管理的設計建議

本節說明當您使用 Red Hat Identity Management (IdM) 和 Red Hat SSO 時,RHEL Azure 登陸區域中 IAM 的設計建議。 這些服務與 Azure 和 Red Hat 基礎結構標準採用模型的 雲端採用架構 一致。 建議會擴充您用來實作混合式雲端部署的原則。

Red Hat IdM 提供集中式方式,以管理 Linux 型網域中的身分識別存放區、驗證、原則和授權。 Red Hat IdM 原生會與 Windows Server Active Directory 整合,並Microsoft Entra ID,並隨附於 RHEL。 如果您將 內部部署的 Active Directory 延伸至 Azure,您可以受益於 Red Hat IdM 原生 Windows Server Active Directory 信任功能。 同樣地,如果您採用 Microsoft Entra ID 或使用替代識別提供者,您可以使用 Red Hat IdM 和 Red Hat SSO 進行無縫整合。 Red Hat SSO 是 Keycloak 開放原始碼專案支援的企業實作。 各種 Red Hat 訂用帳戶無需額外費用,包括 Red Hat Ansible 自動化平臺。 Red Hat 建議您在 Azure 中的 RHEL 部署內實作 Red Hat IdM。 下圖顯示 RHEL 管理訂用帳戶部署。

此圖顯示 RHEL 管理訂用帳戶部署的高階描述。

Azure 中 Red Hat 部署的 IAM 元件會 使用訂用帳戶調整模型 ,為管理工具提供額外的控制和隔離。 Red Hat IdM 主要系統和複本系統和 Red Hat SSO 實例位於具有其他工具的 Red Hat 管理訂用帳戶中。 訂用帳戶提供資源群組,可讓您在整個實作中使用,以提供當地語系化服務和高可用性。

下圖顯示 Red Hat IdM 區域部署架構。

顯示 Red Hat IdM 區域部署架構的圖表。

下圖顯示跨區域和可用性區域的 Red Hat IdM 高可用性部署。

顯示 Red Hat IdM 多區域部署架構的圖表。

此架構在每個區域中都有IdM伺服器,這些伺服器會複寫至彼此和隱藏的複本。 跨區域至少有兩個復寫連結。 隱藏的復本可作為備份點,因為您可以將它們脫機作為完整備份,而不會影響可用性。

IdM 用戶端可以根據服務記錄探索,或透過 sssd.conf 檔案中的伺服器清單,在 IdM 伺服器之間進行負載平衡和故障轉移。 請勿搭配IdM使用外部負載平衡或高可用性組態。

請考慮下列 Red Hat IdM 部署的重要設計建議。

  • 實作基礎結構即程序代碼 (IaC) 自動化,以進行 Red Hat IdM 的部署、設定和第 2 天作業。 若要將 Red Hat IdM 自動化,您可以透過 Ansible 自動化中樞使用認證的 Ansible 集合redhat.rhel_idm。 若要自動化 Red Hat SSO,您可以使用 redhat.sso 認證的 Ansible 集合。

  • 實作企業和應用程式身分識別支援。 了解實例所公開的服務,以及哪些服務需要操作系統層級和應用層級的驗證。 使用 Red Hat IdM 來實作 OS 層安全性、主機型存取控制規則,以及 sudo 等許可權提升管理規則。 您也可以使用 Red Hat IdM 來對應 SELinux 原則,並對應舊版系統的身分識別。 使用 Red Hat SSO 將企業驗證來源與 Web 應用程式整合。

  • 使用集中式身分識別管理進行威脅回應。 您可以跨雲端規模部署立即失效或輪替遭入侵的認證。

  • 判斷 Azure 原生識別提供者的初始整合路徑,例如 Windows Server Active Directory 和 Microsoft Entra ID。 Red Hat IdM 支援數個整合選項。 您可以在IdM中新增和移除整合,但您應該評估現有需求、移轉效果,以及一段時間的變更成本。

  • 設定 Red Hat IdM 主要部署和複本部署,以減少延遲,並確保複寫中沒有單一失敗點。 RHEL 實例的地理部署會影響您的 Red Hat IdM 基礎結構。 您可以使用 Red Hat IdM 來部署多個 Red Hat IdM 複本,以提供改善的效能、負載平衡、故障轉移和高可用性。 部署最多可以包含 60 個複本。 復本部署應該確保系統跨越容錯網域。 透過自動化管理 Red Hat IdM 複本更新,以確保復寫一致性。 使用 Red Hat 建議的復寫拓撲。

  • 請確定您已正確設定 Windows Server Active Directory 信任設定和域名系統 (DNS) 組態。 當您設定 Red Hat IdM 和 Windows Server Active Directory 時,內部部署的 Active Directory 伺服器和 Red Hat IdM 伺服器都必須位於自己的 DNS 網域或子域。 這項需求是因為 Kerberos 服務記錄和 Kerberos 服務探索。 雲端採用架構 建議 Azure 實例的私人 IP DNS 解析

  • 設定 Red Hat Satellite for Red Hat IdM 整合,以自動化管理工作,例如轉送和反向 DNS 區域、主機註冊,以及 Red Hat IdM 內的安全殼層 (SSH) 密鑰產生和註冊。 Red Hat IdM 提供整合式 DNS 服務。 將此整合與 Windows Server Active Directory 信任結合,讓 Windows Server Active Directory 使用者可以透過 SSO 順暢地登入 RHEL 系統和服務。

  • 備份您的 Red Hat IdM 資源。 一般而言,您會在自我管理的多重主要複本組態中部署 Red Hat IdM,但也必須確定您有適當的系統和數據備份。 使用 Red Hat IdM 隱藏復本來實作完整離線備份,而不會中斷服務可用性。 針對加密備份設備使用 Azure 備份。

  • 當您使用整合式 CA 部署 RHEL 時,請擁有外部證書頒發機構單位 (CA)、公司 CA 或合作夥伴 CA 簽署 Red Hat IdM 跟證書。

  • 整合 Red Hat Identity 服務與其他 Red Hat 產品。 Red Hat IdM 和 Red Hat SSO 與 Ansible Automation Platform、OpenShift Container Platform、OpenStack Platform、Satellite 和開發工具整合。

使用規劃身分識別管理指南來規劃基礎結構,並整合 Red Hat IdM 部署的服務。 請參閱您打算部署 Red Hat IdM 之 RHEL 作業系統版本的特定指南。

Azure 原生身分識別管理的設計建議

  • 使用具有 Microsoft Entra ID 的 Azure RHEL 虛擬機來限制用戶權力,並將具有系統管理員許可權的用戶數目降到最低。 限制用戶權力以保護設定和秘密存取。 如需詳細資訊,請參閱 適用於計算的 Azure 內建角色。

  • 遵循最低許可權原則,並指派用戶對於授權工作所需的最低許可權。 僅視需要提供完整存取權和 Just-In-Time 存取權。 在 Azure 登陸區域中使用Microsoft Entra PIMIAM。

  • 使用 受控識別 來存取Microsoft受 Entra ID 保護的 RHEL 資源,而不需要管理在 Azure 上執行的工作負載的秘密。

  • 請考慮使用 Microsoft Entra ID 作為核心驗證平臺,以及 SSH 到 Linux VM 的證書頒發機構單位。

  • 保護敏感性資訊,例如密鑰、秘密和憑證。 如需詳細資訊,請參閱 azure 中的加密和密鑰管理 雲端採用架構。

  • 使用 Windows Server Active Directory、Microsoft Entra ID 或 Active Directory 同盟服務 (AD FS) 實作 SSO。 根據您的存取類型選擇您的服務。 使用 SSO,讓使用者可以在中央識別提供者成功驗證之後,連線到沒有使用者標識碼和密碼的 RHEL 應用程式。

  • 使用解決方案,例如本機系統管理員密碼解決方案 (LAPS),經常輪替本機系統管理員密碼。 如需詳細資訊,請參閱 安全性評估:Microsoft LAPS 使用量

下一步