
ARO چیست؟ همانطور که سازمانها به دنبال مدرن کردنِ برنامههای خود هستند، به دنبال یک پلتفرم برنامهی ایمنتر و آسانتر برای استفاده نیز میباشند. همراه با این حرکت به سمتِ مدرنسازی، تغییر قابل توجهی در اطلاعات اعتباریِ بلندمدت به نفع مکانیسمهای امتیازی کوتاه مدت و محدود بهوجود آمده که نیازی به مدیریت فعال ندارد. این منجر به پذیرش سریع هویتهای مدیریت شده در Microsoft Azure شده است، و کاربران ما از پلتفرم های کاربردی خود مانند Azure Red Hat OpenShift یا ARO همین انتظار را دارند. این پلتفرم یک برنامهی کاربردیِ کاملاً مدیریت شده است که به سازمانها اجازه میدهد تا بر روی آنچه که مهمتر است تمرکز کنند و با ایجاد و استقرار برنامهها، ارزش را به کاربران ارائه دهند.
ARO چیست و چگونه از اطلاعات استفاده میکند؟
همانند بسیاری از سرویسهای Azure، این سرویس نیاز به انجام عملیات قانونی در حساب Azure سازمان دارد. پس این سؤال مطرح می شود که چگونه این سرویس میتواند این اطلاعات را به دستآورد تا بتواند در حساب کاربری کاربران فعالیت کند؟ در حال حاضر، Azure Red Hat OpenShift به یک سرویس اصلی با دسترسی در سطح مشارکتکننده در شبکه مجازی و گروه منابع مدیریت شده نیاز دارد، یعنی یک گروه منبع که شامل تمام اجزای کلاستر مانند ماشینهای مجازی، حسابهای ذخیرهسازی و غیره بوده تا بتواند کار کند. این امر امکان ایجاد و مدیریت منابع مورد نیاز یک کلاستر Red Hat OpenShift از جمله: ماشینهای مجازی، متعادلکنندههای بار، حسابهای ذخیرهسازی و غیره را فراهم میکند. اگرچه، با پیشرفتهای فعلی در زمینهی امنیت و بهکارگیری شیوههای مناسب، راه بهتری وجود دارد.
بیشتر بخوانید: منظور از امنیت Azure چیست – بررسی اهمیت، مزایا، اصول و مبانی کلیدی این پلتفرم
هویتهای مدیریت شده و بارهای کاری چیست؟
هویتهای مدیریت شده در Microsoft Azure نوعی اصلِ امنیتی است که میتواند با حذفِ نیاز به مدیریت دستی اطلاعات اعتباری، گواهیها، کلیدها یا اصرار به کاهش خطر نقض امنیت کمک کند. یک برنامه یا یک سرویس از احراز هویت Microsoft Entra ID برای درخواست اطلاعات اعتباری موقت و محدود برای دسترسی به سایر خدمات Azure استفاده میکند. هویتهای مدیریتشده در کنار تخصیصِ نقش استفاده میشوند، که به تعریفِ نقش اشاره دارد که مجوزهای مجاز را لیست میکند. سپس این نقش به یک هویتِ مدیریتشده اختصاص داده میشود تا دسترسی آن به خدمات Azure را مجاز یا حتی محدود کند. به عنوان مثال، با این ترکیب از تعاریفِ نقش و تخصیصِ نقش، میتوان به یک هویت مدیریت شده مجوزهایی اختصاص داد که فقط اجازهی دسترسی خواندن به حسابهای ذخیرهسازی را میدهد. حال، اگر آن هویت بخواهد در یک حساب ذخیرهسازی بنویسد، آن عملیات رد میشود.
جهت مشاوره رایگان و یا راه اندازی زیرساخت مجازی سازی دیتاسنتر با کارشناسان شرکت APK تماس بگیرید. |
هویتهای بارهای کاری در عمل یکسان هستند، با این تفاوت که به جای هویت مربوط به یک جزء جداییناپذیر از کلاستر، از هویت حجم کار برای نشان دادن یک برنامهی کاربردی یا بارهای کاری که در کلاستر در حال اجراست و نیاز به دسترسی به خدمات Azure دارد استفاده میشود.
هویتهای مدیریتشده چه مزایایی برای Azure Red Hat OpenShift دارند؟
استفاده از هویتهای مدیریتشده نسبت به اصول سرویس دو مزیت اصلی دارد:
- حداقل مجموعه مجوزهای اصلاح شده یعنی اصل حداقل امتیاز
- اطلاعات اعتباری کوتاه مدت
اصل حداقل امتیاز یک مفهوم امنیتی است که بیان میکند فقط باید حداقل مجوزهای مورد نیاز به یک نهاد داده شود تا بتواند وظیفهی خود را انجام دهد و نه بیشتر. بنابراین، برای مثال، اگر برنامهای دارید که فقط نیاز به خواندن دادهها از پایگاه داده Azure CosmosDB دارد، این تنها مجوزی است که برنامه باید داشته باشد. برنامه نباید قابلیت نوشتن یا حذف از CosmosDB را داشته باشد و همچنین نباید به هیچ سرویس Azure دیگری دسترسی داشته باشد. به این ترتیب، حتی اگر برنامه به خطر بیفتد، تأثیر آن محدود میشود.
بیشتر بخوانید: پیادهسازی، مدیریت و قابلیتهای دسکتاپ مجازی Azure – قسمت اول
مزیت دیگر این است که اطلاعات اعتباری داده شده به برنامه دارای محدودیت زمانی است. بنابراین، به جای اینکه مجبور باشید اطلاعات اعتباری را مدیریت کرده و هر چند وقت یکبار آنها را جابهجا کنید، توکن دسترسی اعطا شده پس از مدت کوتاهی منقضی میشود و دیگر قابل استفاده نخواهد بود. حتی اگر توکن به خطر بیفتد، اعتبار آن توکن به اندازه کافی کوتاه است که تأثیر را کاهش دهد. در مثال بالا، هر زمان که برنامه نیاز به خواندن از پایگاه داده داشته باشد و توکن موجود منقضی شود، یک توکن جدید درخواست میکند. اگر برنامه به خطر بیفتد، توکن اعطا شده فقط برای مدت کوتاهی پس از اعطای آن معتبر خواهد بود.
ARO چیست و هویتهای مدیریت شده چگونه در OpenShift Azure Red Hat پیادهسازی خواهند شد؟
می توان گفت Red Hat OpenShift متشکل از تعدادی اپراتور اصلی است که وظایف مورد نیاز را برای نصب، اجرا، مدیریت و حذف یک کلاستر انجام میدهند. در حال حاضر، هفت اپراتور اصلی OpenShift و یک اپراتور برای سرویس ARO وجود دارد. همچنین یک هویتِ اضافی وجود دارد که برای فعال کردن استفاده از این هویتها به مجوزهای Azure نیاز دارد. اینها عبارتند از:
- OpenShift Image Registry Operator
- OpenShift Network Operator
- OpenShift Disk Storage Operator
- OpenShift File Storage Operator
- OpenShift Cluster Ingress Operator
- OpenShift Cloud Controller Manager
- OpenShift Machine API Operator
- Azure Red Hat OpenShift Service Operator
- Azure Red Hat OpenShift Federated Credential
با رعایت اصلِ حداقل امتیاز، ARO دارای هشت هویتِ مدیریتشدهی مختلف و نقشهای داخلی مربوط خواهد بود که نشاندهندهی مجوزهای مورد نیاز برای هر جزء Red Hat OpenShift برای انجام وظایف خود است. علاوه بر این، این پلتفرم به یک هویت اضافی برای ایجاد اطلاعات اعتباری وابسته برای هویتهای بالا نیاز دارد. در این پارادایم، با یک هویتِ مدیریتشده، تأثیر یک حادثه تنها به مجموعه مجوزهای آن و تنها در طولِ اعتبار کوتاه مدت توکنِ دسترسی، محدود میشود. برای مثال، در این سناریوی غیرمحتمل که، هویت مدیریتشدهی The Red Hat OpenShift File Storage Operator به خطر افتاده باشد، هیچ اجازهای برای خواندن، نوشتن و حذف کردن هیچ ماشین مجازیای ندارد. به این ترتیب وضعیت امنیتی کلاسترها به طور قابل توجهی بهبود مییابد.
چند گزینه از نظر روند کار برای ایجاد کلاستر وجود خواهد داشت. به طور کلی، اولین قدم ایجاد هویت و انجام نقشهای مرتبط با نقشهای داخلی مربوط خواهد بود. سپس شما باید هویتها را در هنگام ایجاد کلاستر منتقل کنید تا سرویس از هویتهای صحیح برای هر یک از اجزای کلاستر استفاده کند. برای کسانی که به دنبال یک راه سریع برای ایجاد یک کلاسترِ هویت مدیریتشده هستند، گزینهای برای دستورِ «چندمنظوره» وجود دارد که در آن تمام هویتهای مورد نیاز به نام کاربر ایجاد شده و سپس کلاستر با استفاده از آن هویتها ایجاد میشود.
آیا ARO از هویت برای بارهای کاری کاربران پشتیبانی میکند؟
کاربران قادر خواهند بود به منابع Azure دسترسی داشته باشند تا از هویتهای بارِکاری برای بارهای کاری و برنامههای خود استفاده کنند. میتوان با استفاده از Service Account Token Volume Projection و وابستگی OIDC، بارهای کاری پادها را برای استفاده از هویتها برای دسترسی به منابع Azure به طور ایمن فعال کنید.
ما چندین جنبه را در این مقاله بررسی کردهایم، اما نکتهی اصلی این است که استفاده از هویتهای مدیریتشده برای کلاستر ARO میتواند با تقسیم کردن مجوزهای مورد نیاز به اجزای مجزا، به بهبود امنیت کلاسترهای شما کمک کند. توسط یک هویت، و پالایش مجوزهای درخواست شده برای اعطای تنها آنچه برای آن جزء لازم است. علاوه بر این، به جای استفاده از اطلاعات اعتباری طولانیمدت مانند یک سرویسِ اصلی با اطلاعات اعتباری کاربران، هویتهای مدیریتشده امکان استفاده از اطلاعات اعتباری کوتاه مدت را فراهم میکند که پس از مدت کوتاهی منقضی میشوند. این امر همچنین از نیاز به مدیریت و جابهجایی اطلاعات اعتباری بلند مدت جلوگیری میکند.