Red Hat SummitThis documentation is for a release that is no longer maintained
See documentation for the latest supported version 3 or the latest supported version 4.3.3.4. Überlegungen zur Sicherheit
Überprüfen Sie die folgenden Sicherheitsänderungen, die Sie beim Umstieg von OpenShift Container Platform 3.11 auf OpenShift Container Platform 4.10 berücksichtigen sollten.
Nicht authentifizierter Zugriff auf Discovery-Endpunkte
In OpenShift Container Platform 3.11 konnte ein nicht authentifizierter Benutzer auf die Discovery-Endpunkte zugreifen (z. B. /api/* und /apis/*). Aus Sicherheitsgründen ist der nicht authentifizierte Zugriff auf die Discovery-Endpunkte in OpenShift Container Platform 4.10 nicht mehr erlaubt. Wenn Sie den nicht authentifizierten Zugriff zulassen müssen, können Sie die RBAC-Einstellungen nach Bedarf konfigurieren; beachten Sie jedoch die Sicherheitsauswirkungen, da dadurch interne Clusterkomponenten für das externe Netzwerk zugänglich gemacht werden können.
Identitätsanbieter
Die Konfiguration für Identitätsanbieter hat sich in OpenShift Container Platform 4 geändert, einschließlich der folgenden nennenswerten Änderungen:
- Der Request-Header-Identitätsanbieter in OpenShift Container Platform 4.10 erfordert wechselseitige TLS, während dies in OpenShift Container Platform 3.11 nicht der Fall war.
-
Die Konfiguration des OpenID-Connect-Identitätsanbieters wurde in OpenShift Container Platform 4.10 vereinfacht. Es werden nun Daten bezogen, die zuvor in OpenShift Container Platform 3.11 angegeben vom Endpunkt
/.well-known/openid-configurationdes Anbieters angegeben werden mussten.
Weitere Informationen finden Sie unter Informationen zur Identitätsanbieterkonfiguration.
OAuth-Token-Speicherformat
Neu erstellte OAuth-HTTP-Bearer-Tokens stimmen nicht mehr mit den Namen der entsprechenden OAuth-Zugriffstoken-Objekte überein. Die Objektnamen sind jetzt ein Hash des Bearer-Tokens und sind nicht mehr vertraulich. Dadurch verringert sich das Risiko, dass vertrauliche Informationen nach außen dringen.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}