Datenschutz durch Verschlüsselung - Red Hat OpenShift Service in AWS
Datenverschlüsselung für Amazon EBS-gestützte SpeichervolumesDatenverschlüsselung für die integrierte Image-RegistryRichtlinie für den Datenverkehr zwischen Netzwerken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenschutz durch Verschlüsselung

Datenschutz bezieht sich auf den Schutz von Daten während der Übertragung (beim Hin- und ROSA Hersenden) und im Ruhezustand (während sie auf Festplatten in AWS Rechenzentren gespeichert werden).

Red Hat OpenShift Service in AWS bietet sicheren Zugriff auf Amazon Elastic Block Store (Amazon EBS) Speichervolumes, die an Amazon EC2 Instanzen für die ROSA Steuerungsebene, die Infrastruktur und die Worker-Knoten angeschlossen sind, sowie auf persistente Kubernetes-Volumes für persistenten Speicher. ROSA verschlüsselt Volumendaten im Ruhezustand und bei der Übertragung und verwendet AWS Key Management Service (AWS KMS), um Ihre verschlüsselten Daten zu schützen. Der Dienst verwendet den Registryspeicher Amazon S3 für Container-Images, der im Ruhezustand standardmäßig verschlüsselt ist.

Wichtig

Weil es ROSA sich um einen verwalteten Service handelt, AWS und Red Hat verwaltet die Infrastruktur, die ROSA verwendet wird. Kunden sollten nicht versuchen, die ROSA verwendeten Amazon EC2 Instances über die AWS Konsole oder CLI manuell herunterzufahren. Diese Aktion kann zum Verlust von Kundendaten führen.

Datenverschlüsselung für Amazon EBS-gestützte Speichervolumes

Red Hat OpenShift Service in AWS verwendet das Kubernetes Persistent Volume (PV) -Framework, um Clusteradministratoren die Bereitstellung eines Clusters mit persistentem Speicher zu ermöglichen. Persistente Volumes sowie die Kontrollebene, die Infrastruktur und die Worker-Knoten werden durch Amazon Elastic Block Store (Amazon EBS) Speichervolumes unterstützt, die an Amazon EC2 Instanzen angehängt sind.

Bei ROSA persistenten Volumes und Nodes, die von unterstützt werden Amazon EBS, finden Verschlüsselungsvorgänge auf den Servern statt, die EC2 Instances hosten. Dadurch wird die Sicherheit sowohl der ruhenden Daten als auch der Daten bei der Übertragung zwischen einer Instance und dem zugehörigen Speicher gewährleistet. Weitere Informationen finden Sie im Amazon EC2 Benutzerhandbuch unter Amazon EBS Verschlüsselung.

Datenverschlüsselung für den Amazon EBS CSI-Treiber und den Amazon EFS CSI-Treiber

ROSA verwendet standardmäßig den Amazon EBS CSI-Treiber zur Amazon EBS Speicherbereitstellung. Der Amazon EBS CSI-Treiber und der Amazon EBS CSI Driver Operator sind standardmäßig im openshift-cluster-csi-drivers Namespace auf dem Cluster installiert. Mit dem Amazon EBS CSI-Treiber und -Operator können Sie persistente Volumes dynamisch bereitstellen und Volume-Snapshots erstellen.

ROSA ist auch in der Lage, persistente Volumes mithilfe des Amazon EFS CSI-Treibers und des Amazon EFS CSI-Treiberoperators bereitzustellen. Der Amazon EFS Treiber und der Operator ermöglichen es Ihnen auch, Dateisystemdaten zwischen Pods oder mit anderen Anwendungen innerhalb oder außerhalb von Kubernetes gemeinsam zu nutzen.

Volumendaten werden während der Übertragung sowohl für den CSI-Treiber als auch für Amazon EBS den CSI-Treiber gesichert Amazon EFS . Weitere Informationen finden Sie unter Using Container Storage Interface (CSI) in der Red Hat-Dokumentation.

Wichtig

Bei der dynamischen Bereitstellung ROSA persistenter Volumes mithilfe des Amazon EFS CSI-Treibers sollten bei der Bewertung der Dateisystemberechtigungen die Benutzer-ID, Gruppen-ID (GID) und die sekundäre Gruppe IDs des Access Points Amazon EFS berücksichtigt werden. Amazon EFS ersetzt den Benutzer und die Gruppe IDs in Dateien durch den Benutzer und die Gruppe IDs auf dem Access Point und ignoriert den NFS-Client. IDs Dies hat zur Folge, dass Einstellungen im Amazon EFS Hintergrund ignoriert werden. fsGroup ROSA ist nicht in der Lage, die Dateien mithilfe GIDs von zu ersetzen. fsGroup Jeder Pod, der auf einen bereitgestellten Amazon EFS Access Point zugreifen kann, kann auf jede Datei auf dem Volume zugreifen. Weitere Informationen finden Sie im Amazon EFS Benutzerhandbuch unter Arbeiten mit Amazon EFS Access Points.

etcd-Verschlüsselung

ROSA bietet die Option, die Verschlüsselung von etcd Schlüsselwerten innerhalb des etcd Volumes während der Clustererstellung zu aktivieren, wodurch eine zusätzliche Verschlüsselungsebene hinzugefügt wird. Sobald die Verschlüsselung abgeschlossen etcd ist, entsteht ein zusätzlicher Leistungsaufwand von ca. 20%. Wir empfehlen, die etcd Verschlüsselung nur zu aktivieren, wenn Sie sie speziell für Ihren Anwendungsfall benötigen. Weitere Informationen finden Sie unter etcd-Verschlüsselung in der ROSA Dienstdefinition.

Schlüsselverwaltung

ROSA dient KMS keys zur sicheren Verwaltung von Datenmengen auf Steuerungsebene, Infrastruktur und Mitarbeitern sowie persistente Volumes für Kundenanwendungen. Bei der Clustererstellung haben Sie die Wahl, den standardmäßigen AWS verwalteten Schlüssel zu verwenden, der von KMS key bereitgestellt wird Amazon EBS, oder Ihren eigenen, vom Kunden verwalteten Schlüssel anzugeben. Weitere Informationen finden Sie unter Datenverschlüsselung mit KMS.

Datenverschlüsselung für die integrierte Image-Registry

ROSA bietet eine integrierte Container-Image-Registrierung zum Speichern, Abrufen und Teilen von Container-Images über den Amazon S3 Bucket-Speicher. Die Registrierung wird vom OpenShift Image Registry Operator konfiguriert und verwaltet. Es bietet Benutzern eine out-of-the-box Lösung zur Verwaltung der Images, auf denen ihre Workloads ausgeführt werden, und wird auf der vorhandenen Cluster-Infrastruktur ausgeführt. Weitere Informationen finden Sie unter Registry in der Red Hat-Dokumentation.

ROSA bietet öffentliche und private Image-Registries. Für Unternehmensanwendungen empfehlen wir die Verwendung einer privaten Registrierung, um Ihre Bilder vor der Verwendung durch unbefugte Benutzer zu schützen. ROSA Verwendet standardmäßig serverseitige Verschlüsselung mit Amazon S3 verwalteten Schlüsseln (SSE-S3), um die Daten Ihrer Registrierung im Ruhezustand zu schützen. Dies erfordert kein Eingreifen Ihrerseits und wird ohne zusätzliche Kosten angeboten. Weitere Informationen finden Sie im Benutzerhandbuch unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit Amazon S3 verwalteten Verschlüsselungsschlüsseln (SSE-S3). Amazon S3

ROSA verwendet das Transport Layer Security (TLS) -Protokoll, um Daten bei der Übertragung zur und von der Image-Registry zu sichern. Weitere Informationen finden Sie unter Registry in der Red Hat-Dokumentation.

Richtlinie für den Datenverkehr zwischen Netzwerken

Red Hat OpenShift Service in AWS verwendet Amazon Virtual Private Cloud (Amazon VPC), um Grenzen zwischen Ressourcen in Ihrem ROSA Cluster zu erstellen und den Verkehr zwischen ihnen, Ihrem lokalen Netzwerk und dem Internet zu kontrollieren. Weitere Informationen zur Amazon VPC Sicherheit finden Sie unter Datenschutz im Netzwerkdatenverkehr Amazon VPC im Amazon VPC Benutzerhandbuch.

Innerhalb der VPC können Sie Ihre ROSA Cluster so konfigurieren, dass sie einen HTTP- oder HTTPS-Proxyserver verwenden, um den direkten Internetzugang zu verweigern. Wenn Sie ein Clusteradministrator sind, können Sie auch Netzwerkrichtlinien auf Pod-Ebene definieren, die den Netzwerkverkehr auf Pods in Ihrem ROSA Cluster beschränken. Weitere Informationen finden Sie unter Sicherheit der Infrastruktur in ROSA.