3.3.4. Consideraciones de seguridad
Revise los siguientes cambios de seguridad que debe tener en cuenta al pasar de OpenShift Container Platform 3.11 a OpenShift Container Platform 4.10.
Acceso no autenticado a los terminales de detección
En OpenShift Container Platform 3.11, un usuario no autenticado podía acceder a los terminales de detección (por ejemplo, /api/*
y /apis/*
). Por motivos de seguridad, en OpenShift Container Platform 4.10 ya no se permite el acceso no autenticado a los terminales de detección. Si necesita permitir el acceso no autenticado, puede configurar los ajustes de RBAC como sea necesario; sin embargo, asegúrese de considerar las implicaciones de seguridad ya que esto puede exponer los componentes internos del clúster a la red externa.
Proveedores de identidad
La configuración de los proveedores de identidad ha cambiado para OpenShift Container Platform 4, incluidos los siguientes cambios notables:
- El proveedor de identidad del encabezado de solicitud en OpenShift Container Platform 4.10 requiere TLS mutuo, mientras que en OpenShift Container Platform 3.11 no lo requería.
-
La configuración del proveedor de identidades OpenID Connect se ha simplificado en OpenShift Container Platform 4.10. Ahora obtiene los datos, que antes había que especificar en OpenShift Container Platform 3.11, del terminal
/.well-known/openid-configuration
del proveedor.
Para obtener más información, consulte Comprensión de la configuración del proveedor de identidades.
Formato de almacenamiento de tokens OAuth
Los tokens de portador HTTP OAuth recién creados ya no coinciden con los nombres de los objetos del token de acceso OAuth. Los nombres de los objetos son ahora un hash del token del portador y ya no son sensibles. Esto reduce el riesgo de filtrar información sensible.