2.7. 了解 Red Hat OpenShift Service on AWS 的安全性

本文档详细介绍了 Red Hat、Amazon Web Services (AWS)和托管 Red Hat OpenShift Service on AWS (ROSA)的客户安全职责。

缩写和术语

  • AWS - Amazon Web Services
  • CEE - Customer Experience and Engagement (Red Hat Support)
  • CI/CD - Continuous Integration / Continuous Delivery
  • CVE - 常见漏洞和风险
  • PVs - 持久性卷
  • ROSA - Red Hat OpenShift Service on AWS
  • SRE - Red Hat Site Reliability Engineering
  • VPC - Virtual Private Cloud

2.7.1. 安全和合规性

安全和合规性和合规性包括实施安全控制和合规认证等任务。

2.7.1.1. 数据分类

红帽定义并遵循一个数据分类标准,以确定数据的敏感度,并强调所收集、使用、传输、存储和处理数据的保密性和完整性的固有风险。客户拥有的数据被分类为最高水平的敏感度和处理要求。

2.7.1.2. 数据管理

Red Hat OpenShift Service on AWS (ROSA )使用 AWS 密钥管理服务 (KMS) 来帮助安全地管理加密的数据密钥。这些密钥用于默认加密的 control plane、基础架构和 worker 数据卷。客户应用程序的持久性卷 (PV) 也使用 AWS KMS 进行密钥管理。

当客户删除其 ROSA 集群时,所有集群数据都会被永久删除,包括 control plane 数据卷和客户应用程序数据卷,如持久性卷 (PV)。

2.7.1.3. 漏洞管理

红帽使用行业标准工具对 ROSA 执行定期漏洞扫描。识别的漏洞将根据严重性的时间表跟踪其补救。记录漏洞扫描和修复活动,以供在合规认证审计课程中由第三方评估商进行验证。

2.7.1.4. 网络安全性

2.7.1.4.1. 防火墙和 DDoS 保护

每个 ROSA 集群都由使用 AWS 安全组的防火墙规则的安全网络配置进行保护。ROSA 客户还可保护对 AWS Shield Standard 的 DDoS 攻击。

2.7.1.4.2. 私有集群和网络连接

客户可以选择配置其 ROSA 集群端点,如 Web 控制台、API 和应用程序路由器,以便无法从互联网访问集群 control plane 和应用程序。Red Hat SRE 仍然需要通过 IP allow-lists 保护的端点。

AWS 客户可通过 AWS VPC 对等、AWS VPN 或 AWS Direct Connect 等技术配置私有网络连接到其 ROSA 集群。

2.7.1.4.3. 集群网络访问控制

客户可以使用 NetworkPolicy 对象和 OpenShift SDN 配置细粒度网络访问控制规则。

2.7.1.5. penetration 测试

Red Hat 会定期对 ROSA 进行测试。通过使用行业标准工具和最佳实践,由独立内部团队执行测试。

发现的任何问题会根据严重性进行优先级排序。属于开源项目的所有问题都与社区共享以解决问题。

2.7.1.6. Compliance

Red Hat OpenShift Service on AWS 在安全性和控制方面遵循常见的行业最佳实践。下表中概述了认证。

表 2.3. Red Hat OpenShift Service on AWS 的安全性和控制认证

ComplianceRed Hat OpenShift Service on AWS (ROSA)带有托管 control plane (HCP)的 Red Hat OpenShift Service on AWS (ROSA)

HIPAA Qualified

ISO 27001

ISO 27017

ISO 27018

PCI DSS

SOC 1 类型 2

SOC 2 类型 2

SOC 3

FedRAMP High[1]

是(GovCloud requisite)

  1. 有关 GovCloud 上的 ROSA 的更多信息,请参阅 FedRAMP Marketplace ROSA AgencyROSA JAB 列表

其他资源