Chapitre 1. Sécurité et conformité de la plateforme OpenShift Container
1.1. Aperçu de la sécurité
Il est important de comprendre comment sécuriser correctement les différents aspects de votre cluster OpenShift Container Platform.
Sécurité des conteneurs
Un bon point de départ pour comprendre la sécurité d'OpenShift Container Platform est de revoir les concepts de la section Comprendre la sécurité des conteneurs. Cette section et les suivantes fournissent un aperçu de haut niveau des mesures de sécurité des conteneurs disponibles dans OpenShift Container Platform, y compris les solutions pour la couche hôte, la couche de conteneur et d'orchestration, et la couche de construction et d'application. Ces sections comprennent également des informations sur les sujets suivants :
- Pourquoi la sécurité des conteneurs est importante et comment elle se compare aux normes de sécurité existantes.
- Quelles mesures de sécurité des conteneurs sont fournies par la couche hôte (RHCOS et RHEL) et lesquelles sont fournies par OpenShift Container Platform.
- Comment évaluer le contenu de vos conteneurs et les sources de vulnérabilité.
- Comment concevoir votre processus de construction et de déploiement pour vérifier de manière proactive le contenu des conteneurs.
- Comment contrôler l'accès aux conteneurs par l'authentification et l'autorisation.
- Comment le réseau et le stockage attaché sont sécurisés dans OpenShift Container Platform.
- Solutions conteneurisées pour la gestion des API et le SSO.
Audit
L'audit d'OpenShift Container Platform fournit un ensemble chronologique d'enregistrements pertinents pour la sécurité, documentant la séquence des activités qui ont affecté le système par des utilisateurs individuels, des administrateurs ou d'autres composants du système. Les administrateurs peuvent configurer la politique des journaux d'audit et visualiser les journaux d'audit.
Certificats
Les certificats sont utilisés par divers composants pour valider l'accès au cluster. Les administrateurs peuvent remplacer le certificat d'entrée par défaut, ajouter des certificats de serveur API ou ajouter un certificat de service.
Vous pouvez également consulter plus de détails sur les types de certificats utilisés par le cluster :
- Certificats fournis par l'utilisateur pour le serveur API
- Certificats de procuration
- Certificats d'AC de service
- Certificats de nœuds
- Certificats Bootstrap
- certificats etcd
- Certificats OLM
- Certificats agrégés pour les clients de l'API
- Certificats d'opérateur de configuration de machine
- Certificats fournis par l'utilisateur pour l'entrée par défaut
- Certificats d'ingérence
- Surveillance et journalisation des clusters Certificats des composants de l'opérateur
- Certificats du plan de contrôle
Cryptage des données
Vous pouvez activer le chiffrement etcd pour votre cluster afin de fournir une couche supplémentaire de sécurité des données. Par exemple, cela peut aider à protéger la perte de données sensibles si une sauvegarde etcd est exposée à des parties incorrectes.
Analyse de la vulnérabilité
Les administrateurs peuvent utiliser Red Hat Quay Container Security Operator pour exécuter des analyses de vulnérabilité et examiner les informations sur les vulnérabilités détectées.