2.9. 了解 Red Hat OpenShift Service on AWS 的安全性
本文档详细介绍了 受管 Red Hat OpenShift Service on AWS (ROSA)的 Red Hat、Amazon Web Services (AWS)和客户安全职责。
缩写和术语
- AWS - Amazon Web Services
- CEE - 客户体验与参与(红帽支持)
- CI/CD - Continuous Integration / Continuous Delivery
- CVE - 常见漏洞和风险
- PVs - 持久性卷
- ROSA - Red Hat OpenShift Service on AWS
- SRE - Red Hat Site Reliability Engineering
- VPC - Virtual Private Cloud
2.9.1. 安全和合规性
安全和合规性和合规性包括实施安全控制和合规认证等任务。
2.9.1.1. 数据分类
红帽定义并遵循一个数据分类标准,以确定数据的敏感度,并强调所收集、使用、传输、存储和处理数据的保密性和完整性的固有风险。客户拥有的数据被分类为最高水平的敏感度和处理要求。
2.9.1.2. 数据管理
Red Hat OpenShift Service on AWS (ROSA )使用 AWS 密钥管理服务 (KMS) 来帮助安全地管理加密的数据密钥。这些密钥用于默认加密的 control plane、基础架构和 worker 数据卷。客户应用程序的持久性卷 (PV) 也使用 AWS KMS 进行密钥管理。
当客户删除其 ROSA 集群时,所有集群数据都会被永久删除,包括 control plane 数据卷和客户应用程序数据卷,如持久性卷 (PV)。
2.9.1.3. 漏洞管理
红帽使用行业标准工具对 ROSA 执行定期漏洞扫描。识别的漏洞将根据严重性的时间表跟踪其补救。记录漏洞扫描和修复活动,以供在合规认证审计课程中由第三方评估商进行验证。
2.9.1.4. 网络安全性
2.9.1.4.1. 防火墙和 DDoS 保护
每个 ROSA 集群都由使用 AWS 安全组的防火墙规则的安全网络配置进行保护。ROSA 客户还可保护对 AWS Shield Standard 的 DDoS 攻击。
2.9.1.4.2. 私有集群和网络连接
客户可以选择配置其 ROSA 集群端点,如 Web 控制台、API 和应用程序路由器,以便无法从互联网访问集群 control plane 和应用程序。Red Hat SRE 仍然需要通过 IP allow-lists 保护的端点。
AWS 客户可通过 AWS VPC 对等、AWS VPN 或 AWS Direct Connect 等技术配置私有网络连接到其 ROSA 集群。
2.9.1.4.3. 集群网络访问控制
客户可以使用 NetworkPolicy
对象和 OpenShift SDN 配置细粒度网络访问控制规则。
2.9.1.5. penetration 测试
红帽对 ROSA 执行定期测试。通过使用行业标准工具和最佳实践,由独立内部团队执行测试。
发现的任何问题会根据严重性进行优先级排序。属于开源项目的所有问题都与社区共享以解决问题。
2.9.1.6. Compliance
Red Hat OpenShift Service on AWS 在安全性和控制方面遵循常见的行业最佳实践。下表中概述了认证。
Compliance | Red Hat OpenShift Service on AWS (ROSA) | 带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA) |
---|---|---|
HIPAA 限定[1] | 是 | 是 |
ISO 27001 | 是 | 是 |
ISO 27017 | 是 | 是 |
ISO 27018 | 是 | 是 |
PCI DSS 4.0 | 是 | 是 |
SOC 1 类型 2 | 是 | 是 |
SOC 2 类型 2 | 是 | 是 |
SOC 3 | 是 | 是 |
FedRAMP High[2] | 是(GovCloud requisite) | 否 |
- 有关红帽 HIPAA 限定 ROSA 产品的更多信息,请参阅 HIPAA 概述。
- 有关 GovCloud 的 ROSA 的更多信息,请参阅 FedRAMP Marketplace ROSA Agency 和 ROSA JAB 列表。
其他资源
- 有关 SRE 驻留的信息,请参阅 Red Hat Subprocessor 列表。
- 有关客户或共享职责的更多信息,请参阅 ROSA 责任 文档。
- 有关 ROSA 及其组件的更多信息,请参阅 ROSA 服务定义。