Red Hat Summit2.9. Comprendre la sécurité pour Red Hat OpenShift Service sur AWS
Ce document détaille le Red Hat, Amazon Web Services (AWS) et les responsabilités de sécurité des clients pour le service Red Hat OpenShift géré sur AWS (ROSA).
Acronymes et termes
- AWS - Amazon Web Services
- CEE - Expérience client et engagement (assistance au chapeau rouge)
- CI/CD - Intégration continue / Livraison continue
- CVE - Vulnérabilités et expositions communes
- Les PVS - Volumes persistants
- Accueil > ROSA - Red Hat OpenShift Service sur AWS
- Ingénierie de fiabilité du site de Red Hat
- Le VPC - Cloud privé virtuel
2.9.1. Conformité à la sécurité et à la réglementation
La conformité à la sécurité et à la réglementation comprend des tâches telles que la mise en œuvre de contrôles de sécurité et la certification de conformité.
2.9.1.1. Classification des données
Red Hat définit et suit une norme de classification des données pour déterminer la sensibilité des données et mettre en évidence le risque inhérent à la confidentialité et à l’intégrité de ces données lors de leur collecte, de leur utilisation, de leur transmission, de leur stockage et de leur traitement. Les données appartenant au client sont classées au plus haut niveau de sensibilité et d’exigences de manipulation.
2.9.1.2. Gestion des données
Le service OpenShift Red Hat sur AWS (ROSA) utilise AWS Key Management Service (KMS) pour aider à gérer en toute sécurité les clés pour les données chiffrées. Ces clés sont utilisées pour le plan de contrôle, l’infrastructure et les volumes de données de travail qui sont cryptés par défaut. Les volumes persistants (PV) pour les applications client utilisent également AWS KMS pour la gestion des clés.
Lorsqu’un client supprime son cluster ROSA, toutes les données de cluster sont définitivement supprimées, y compris les volumes de données de plan de contrôle et les volumes de données d’application client, tels que les volumes persistants (PV).
2.9.1.3. Gestion de la vulnérabilité
Le Red Hat effectue une analyse périodique de vulnérabilité de ROSA à l’aide d’outils standard de l’industrie. Les vulnérabilités identifiées sont suivies de leur assainissement en fonction des échéanciers en fonction de la gravité. Les activités d’analyse et d’assainissement des vulnérabilités sont documentées aux fins de vérification par des tiers évaluateurs dans le cadre d’audits de certification de conformité.
2.9.1.4. La sécurité du réseau
2.9.1.4.1. Coupe-feu et protection DDoS
Chaque cluster ROSA est protégé par une configuration réseau sécurisée en utilisant les règles de pare-feu pour AWS Security Groups. Les clients ROSA sont également protégés contre les attaques DDoS avec AWS Shield Standard.
2.9.1.4.2. Clusters privés et connectivité réseau
Les clients peuvent éventuellement configurer leurs points de terminaison de cluster ROSA, tels que la console Web, l’API et le routeur d’applications, pour être rendus privés afin que le plan de contrôle du cluster et les applications ne soient pas accessibles à partir d’Internet. Le Red Hat SRE nécessite toujours des points de terminaison accessibles à Internet qui sont protégés par des listes d’autorisations IP.
Les clients AWS peuvent configurer une connexion réseau privée à leur cluster ROSA grâce à des technologies telles que AWS VPC peering, AWS VPN ou AWS Direct Connect.
2.9.1.4.3. Contrôles d’accès au réseau cluster
Les règles de contrôle d’accès réseau fines peuvent être configurées par les clients, sur une base par projet, à l’aide des objets NetworkPolicy et du SDN OpenShift.
2.9.1.5. Essais de pénétration
Le Red Hat effectue des tests de pénétration périodiques contre ROSA. Les tests sont effectués par une équipe interne indépendante en utilisant des outils standard de l’industrie et des meilleures pratiques.
Les problèmes qui peuvent être découverts sont prioritaires en fonction de la gravité. Les problèmes constatés dans le cadre de projets open source sont partagés avec la communauté aux fins de résolution.
2.9.1.6. Conformité
Le service OpenShift Red Hat sur AWS suit les meilleures pratiques de l’industrie en matière de sécurité et de contrôle. Les certifications sont décrites dans le tableau suivant.
| Conformité | Le service OpenShift Red Hat sur AWS (ROSA) | Le service OpenShift Red Hat sur AWS (ROSA) avec des avions de contrôle hébergés (HCP) |
|---|---|---|
| HIPAA Qualifié[1] | ♪ oui ♪ | ♪ oui ♪ |
| ISO 27001 | ♪ oui ♪ | ♪ oui ♪ |
| ISO 27017 | ♪ oui ♪ | ♪ oui ♪ |
| ISO 27018 | ♪ oui ♪ | ♪ oui ♪ |
| DSS 4.0 PCI | ♪ oui ♪ | ♪ oui ♪ |
| COS 1 Type 2 | ♪ oui ♪ | ♪ oui ♪ |
| Le SOC 2 de type 2 | ♪ oui ♪ | ♪ oui ♪ |
| LE SOC 3 | ♪ oui ♪ | ♪ oui ♪ |
| FedRAMP High[2] | (GovCloud requis) | C) Non |
- En savoir plus sur les offres ROSA qualifiées HIPAA de Red Hat, consultez l’aperçu HIPAA.
- En savoir plus sur ROSA sur GovCloud, consultez les annonces FedRAMP Marketplace ROSA et ROSA JAB.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}