Protection des données à l'aide du chiffrement - Red Hat OpenShift Service on AWS
Chiffrement des données pour les Amazon EBS volumes de stockage sauvegardésChiffrement des données pour le registre d'images intégréConfidentialité du trafic inter-réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données à l'aide du chiffrement

La protection des données fait référence à la protection des données en transit (lors de leur trajet aller-retour ROSA) et au repos (lorsqu'elles sont stockées sur des disques dans AWS des centres de données).

Red Hat OpenShift Service on AWS fournit un accès sécurisé aux volumes de stockage Amazon Elastic Block Store (Amazon EBS) attachés aux Amazon EC2 instances pour le plan de ROSA contrôle, l'infrastructure et les nœuds de travail, ainsi qu'aux volumes persistants Kubernetes pour le stockage persistant. ROSA chiffre les données en volume au repos et en transit, et utilise AWS Key Management Service (AWS KMS) pour protéger vos données chiffrées. Le service utilise Amazon S3 le stockage du registre des images de conteneurs, qui est chiffré au repos par défaut.

Important

Parce que ROSA c'est un service géré, AWS et Red Hat gère l'infrastructure qui l' ROSA utilise. Les clients ne doivent pas essayer d'arrêter manuellement les Amazon EC2 instances ROSA utilisées depuis la AWS console ouCLI. Cette action peut entraîner une perte de données client.

Chiffrement des données pour les Amazon EBS volumes de stockage sauvegardés

Red Hat OpenShift Service on AWS utilise le framework de volumes persistants (PV) Kubernetes pour permettre aux administrateurs de clusters de fournir un stockage persistant à un cluster. Les volumes persistants, ainsi que le plan de contrôle, l'infrastructure et les nœuds de travail, sont soutenus par Amazon Elastic Block Store (Amazon EBS) des volumes de stockage attachés aux Amazon EC2 instances.

Pour les volumes ROSA persistants et les nœuds soutenus par Amazon EBS, les opérations de chiffrement sont effectuées sur les serveurs hébergeant les EC2 instances, garantissant ainsi la sécurité des données au repos et des données en transit entre une instance et son stockage attaché. Pour plus d'informations, consultez la section sur le Amazon EBS chiffrement dans le guide de Amazon EC2 l'utilisateur.

Chiffrement des données pour le Amazon EBS CSI conducteur et Amazon EFS CSI le conducteur

ROSA par défaut, le Amazon EBS CSI pilote est utilisé pour provisionner le Amazon EBS stockage. Le Amazon EBS CSI pilote et l'opérateur de Amazon EBS CSI pilote sont installés sur le cluster par défaut dans l'espace de openshift-cluster-csi-drivers noms. Le Amazon EBS CSI pilote et l'opérateur vous permettent de provisionner dynamiquement des volumes persistants et de créer des instantanés de volumes.

ROSA est également capable de provisionner des volumes persistants à l'aide du Amazon EFS CSI pilote et de l'opérateur Amazon EFS CSI du pilote. Le Amazon EFS pilote et l'opérateur vous permettent également de partager les données du système de fichiers entre des pods ou avec d'autres applications au sein ou en dehors de Kubernetes.

Les données de volume sont sécurisées pendant le transport, tant pour le Amazon EBS CSI conducteur que pour Amazon EFS CSI le chauffeur. Pour plus d'informations, consultez Using Container Storage Interface (CSI) dans la documentation Red Hat.

Important

Lors du provisionnement dynamique de volumes ROSA persistants à l'aide du Amazon EFS CSI pilote, tenez Amazon EFS compte de l'ID utilisateur, de l'ID de groupe (GID) et IDs du groupe secondaire du point d'accès lors de l'évaluation des autorisations du système de fichiers. Amazon EFS remplace l'utilisateur et le groupe IDs sur les fichiers par l'utilisateur et le groupe IDs sur le point d'accès et ignore le NFS clientIDs. Par conséquent, ignore Amazon EFS silencieusement les paramètresfsGroup. ROSA n'est pas en mesure GIDs de remplacer les fichiers en utilisantfsGroup. Tout pod pouvant accéder à un point d' Amazon EFS accès monté peut accéder à n'importe quel fichier du volume. Pour plus d'informations, consultez la section Utilisation des points Amazon EFS d'accès dans le guide de Amazon EFS l'utilisateur.

cryptage etcd

ROSA offre la possibilité d'activer le chiffrement des valeurs etcd clés dans le etcd volume lors de la création du cluster, en ajoutant une couche de chiffrement supplémentaire. Une fois etcd le chiffrement effectué, vous devrez supporter une surcharge de performance d'environ 20 %. Nous vous recommandons d'activer etcd le chiffrement uniquement si vous en avez spécifiquement besoin pour votre cas d'utilisation. Pour plus d'informations, consultez la section chiffrement etcd dans la définition du ROSA service.

Gestion des clés

ROSA permet KMS keys de gérer en toute sécurité le plan de contrôle, l'infrastructure et les volumes de données des employés, ainsi que les volumes persistants pour les applications des clients. Lors de la création du cluster, vous avez le choix d'utiliser la clé AWS gérée par défaut KMS key fournie par Amazon EBS ou de spécifier votre propre clé gérée par le client. Pour de plus amples informations, veuillez consulter Chiffrement des données avec KMS.

Chiffrement des données pour le registre d'images intégré

ROSA fournit un registre d'images de conteneur intégré pour stocker, récupérer et partager des images de conteneurs via le stockage par Amazon S3 bucket. Le registre est configuré et géré par l'opérateur de registre OpenShift d'images. Il fournit une out-of-the-box solution permettant aux utilisateurs de gérer les images qui exécutent leurs charges de travail et s'exécute au-dessus de l'infrastructure de cluster existante. Pour plus d'informations, consultez la section Registre dans la documentation Red Hat.

ROSA propose des registres d'images publics et privés. Pour les applications d'entreprise, nous vous recommandons d'utiliser un registre privé afin de protéger vos images contre toute utilisation par des utilisateurs non autorisés. Pour protéger les données de votre registre au repos, ROSA utilise par défaut le chiffrement côté serveur avec des clés Amazon S3 gérées (SSE-S3). Cela ne nécessite aucune action de votre part et est proposé sans frais supplémentaires. Pour plus d'informations, consultez la section Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement Amazon S3 gérées (SSE-S3) dans le guide de l' Amazon S3 utilisateur.

ROSA utilise le protocole Transport Layer Security (TLS) pour sécuriser les données en transit vers et depuis le registre d'images. Pour plus d'informations, consultez la section Registre dans la documentation Red Hat.

Confidentialité du trafic inter-réseau

Red Hat OpenShift Service on AWS utilise Amazon Virtual Private Cloud (Amazon VPC) pour créer des limites entre les ressources de votre ROSA cluster et contrôler le trafic entre celles-ci, votre réseau local et Internet. Pour plus d'informations sur Amazon VPC la sécurité, consultez la section Confidentialité du trafic interréseau Amazon VPC dans le Guide de l' Amazon VPC utilisateur.

Dans leVPC, vous pouvez configurer vos ROSA clusters pour utiliser un serveur HTTPS proxy HTTP ou un serveur proxy afin de refuser l'accès direct à Internet. Si vous êtes administrateur de cluster, vous pouvez également définir des politiques réseau au niveau du pod qui limitent le trafic interréseau aux pods de votre ROSA cluster. Pour de plus amples informations, veuillez consulter Sécurité de l'infrastructure dans ROSA.