2.9. Red Hat OpenShift Service on AWS のセキュリティーについて
このドキュメントでは、Red Hat、Amazon Web Services (AWS)、および管理対象の Red Hat OpenShift Service on AWS (ROSA) に対するお客様のセキュリティーに関する責任を詳しく説明します。
頭字語および用語
- AWS - Amazon Web Services
- CEE - Customer Experience and Engagement (Red Hat サポート)
- CI/CD - 継続的インテグレーション/継続的デリバリー
- CVE - 共通脆弱性識別子 (Common Vulnerabilities and Exposures)
- PV - 永続ボリューム
- ROSA - Red Hat OpenShift Service on AWS
- SRE - Red Hat Site Reliability Engineering
- VPC - Virtual Private Cloud
2.9.1. セキュリティーおよび規制コンプライアンス
セキュリティーおよび規制コンプライアンスには、セキュリティー管理の実装やコンプライアンス認定などのタスクが含まれます。
2.9.1.1. データの分類
Red Hat は、データの機密性を判断し、収集、使用、送信、保存、処理中にそのデータの機密性および整合性に対する固有のリスクを強調表示するために、データ分類標準を定義し、フォローします。お客様が所有するデータは、最高レベルの機密性と処理要件に分類されます。
2.9.1.2. データ管理
Red Hat OpenShift Service on AWS (ROSA) は、AWS Key Management Service (KMS) を使用して、暗号化されたデータのキーを安全に管理します。これらのキーは、デフォルトで暗号化されるコントロールプレーン、インフラストラクチャー、およびワーカーデータボリュームに使用されます。お客様のアプリケーションの永続ボリューム (PV) は、キー管理に AWS KMS を使用します。
お客様が ROSA クラスターを削除すると、コントロールプレーンのデータボリュームや、永続ボリューム (PV) などのお客様のアプリケーションデータボリュームを含め、すべてのクラスターのデータが永久に削除されます。
2.9.1.3. 脆弱性管理
Red Hat は業界標準ツールを使用して ROSA の定期的な脆弱性スキャンを実行します。特定された脆弱性は、重大度に基づくタイムラインに応じて修復で追跡されます。コンプライアンス認定監査の過程で、脆弱性スキャンと修復のアクティビティーが文書化され、サードパーティーの評価者による検証が行われます。
2.9.1.4. ネットワークセキュリティー
2.9.1.4.1. ファイアウォールおよび DDoS 保護
各 ROSA クラスターは、AWS セキュリティーグループのファイアウォールルールを使用してセキュアなネットワーク設定で保護されます。ROSA のお客様は、AWS Shield Standard により DDoS 攻撃に対して保護されます。
2.9.1.4.2. プライベートクラスターおよびネットワーク接続
お客様はオプションとして、Web コンソール、API、アプリケーションルーターなどの ROSA クラスターエンドポイントをプライベートに設定し、クラスターのコントロールプレーンおよびアプリケーションがインターネットからアクセスされないようにできます。Red Hat SRE には、IP 許可リストを使用して保護されるインターネットアクセス可能なエンドポイントが必要です。
AWS のお客様は、AWS VPC のピアリング、AWS VPN、AWS Direct Connect などのテクノロジーを使用して、ROSA クラスターへのプライベートネットワーク接続を設定できます。
2.9.1.4.3. クラスターネットワークのアクセス制御
粒度の細かいネットワークアクセス制御ルールは、お客様が NetworkPolicy オブジェクトおよび OpenShift SDN を使用してプロジェクトごとに設定できます。
2.9.1.5. ペネトレーションテスト
Red Hat は、ROSA に対して定期的なペネトレーションテストを実行します。テストは、業界標準ツールやベストプラクティスを使用して独立した内部チームによって実行されます。
検出される可能性のある問題は、重大度に基づいて優先付けされます。オープンソースプロジェクトに属する問題が確認される場合は、解決に向けてコミュニティーに共有されます。
2.9.1.6. コンプライアンス
Red Hat OpenShift Service on AWS は、セキュリティーおよび管理に関する一般的な業界のベストプラクティスに従います。認定の概要を以下の表に示します。
| コンプライアンス | Red Hat OpenShift Service on AWS (ROSA) | ホスト型コントロールプレーン (HCP) を備えた Red Hat OpenShift Service on AWS (ROSA) |
|---|---|---|
| HIPAA Qualified[1] | はい | はい |
| ISO 27001 | はい | はい |
| ISO 27017 | はい | はい |
| ISO 27018 | はい | はい |
| PCI DSS 4.0 | はい | はい |
| SOC 1 タイプ 2 | はい | はい |
| SOC 2 タイプ 2 | はい | はい |
| SOC 3 | はい | はい |
| FedRAMP High[2] | はい (GovCloud の要件) | いいえ |
- Red Hat の HIPAA 認定 ROSA サービスの詳細は、HIPAA Overview を参照してください。
- ROSA on GovCloud の詳細は、FedRAMP Marketplace ROSA Agency および ROSA JAB listings を参照してください。
関連情報
- SRE の常駐に関する詳細は、Red Hat Subprocessor List を参照してください。
- お客様や責任共有の詳細は、ROSA の各種の責任 に関する文書を参照してください。
- ROSA およびそのコンポーネントの詳細は、ROSA サービス定義 を参照してください。
