Service Fabric güvenlik senaryolarını yapılandırma

Azure Service Fabric kümesi, sahip olduğunuz bir kaynaktır. Yetkisiz kullanıcıların onlara bağlanmasını önlemeye yardımcı olmak için kümelerinizi güvenli hale almak sizin sorumluluğundadır. Kümede üretim iş yükleri çalıştırıyorken güvenli bir küme özellikle önemlidir. Güvenliksiz bir küme oluşturmak mümkündür, ancak küme yönetim uç noktalarını genel İnternet'e açığa çıkarırsa anonim kullanıcılar bu kümeye bağlanabilirsiniz. Üretim iş yükleri için, sorumlu olmayan kümeler desteklenmemektedir.

Bu makale, Azure kümelerine ve tek başına kümelere ilişkin güvenlik senaryolarına ve bunları uygulamak için kullanabileceğiniz çeşitli teknolojilere genel bir bakış sunar:

  • Düğümden düğüme güvenlik
  • İstemciden düğüme güvenlik
  • Service Fabric tabanlı erişim denetimi

Düğümden düğüme güvenlik

Düğümden düğüme güvenlik, bir kümedeki VM'ler veya bilgisayarlar arasındaki iletişimin güvenliğini sağlar. Bu güvenlik senaryosu, kümede uygulama ve hizmet barındırmaya yalnızca kümeye katılma yetkisi olan bilgisayarların katılmasını sağlar.

Düğümden düğüme iletişim diyagramı

Hem Azure'da hem de Windows çalıştıran tek başına kümelerde çalışan kümeler, Windows Sunucu bilgisayarları için sertifika Windows veya Windows kullanabilir.

Düğümden düğüme sertifika güvenliği

Service Fabric küme yapılandırmasını bir parçası olarak belirttiğiniz X.509 sunucu sertifikalarını kullanır. Sertifika güvenliğini Azure portal, Azure Resource Manager şablon kullanarak veya tek başına JSON şablonu kullanarak oluşturabilirsiniz. Bu makalenin sonunda, bu sertifikaların ne olduğu ve bunları nasıl elde etmek ya da oluşturabilirsiniz hakkında kısa bir genel bakış bulabilirsiniz.

Service Fabric SDK'nın varsayılan davranışı, sertifikayı gelecekteki sona erme tarihine en uzak olan sertifikayı dağıtmak ve yüklemektir. Bu birincil sertifika, istemciden düğüme güvenlik için ayar varsayılan yönetici istemci ve salt okunur istemci sertifikalarından farklı olması gerekir. SDK'nın klasik davranışı, el ile başlatılan geçişlere izin vermek için birincil ve ikincil sertifikaların tanımlanmasına olanak sağlar; yeni işlevlerde kullanılması önerilmez.

Azure için bir kümede sertifika güvenliği ayarlama hakkında bilgi edinmek için bkz. Azure'da sertifika Azure Resource Manager ayarlama.

Tek başına bir Windows Server kümesi için bir kümede sertifika güvenliğini ayarlama hakkında bilgi edinmek için bkz. X.509sertifikalarını kullanarak Windows tek başına kümenin güvenliğini sağlama.

Düğümden düğüme Windows güvenlik

Not

Windows doğrulaması Kerberos'u temel alan bir kimlik doğrulamasıdır. NTLM, kimlik doğrulaması türü olarak desteklenmiyor.

Mümkün olduğunda, kümeler için X.509 sertifika Service Fabric kullanın.

Tek başına Windows Server kümesi için Windows güvenliğini ayarlama hakkında bilgi edinmek için bkz. Windows'de tek başına kümenin güvenliğini Windows.

İstemciden düğüme güvenlik

İstemciden düğüme güvenlik, istemcilerin kimliğini doğrular ve bir istemci ile kümedeki tek tek düğümler arasındaki iletişimin güvenliğini sağlar. Bu tür güvenlik, kümeye ve kümeye dağıtılan uygulamalara yalnızca yetkili kullanıcıların erişemelerini sağlamaya yardımcı olur. İstemciler, kendi güvenlik kimlik Windows veya sertifika güvenliği kimlik bilgileri aracılığıyla benzersiz olarak tanımlanır.

İstemciden düğüme iletişim diyagramı

Azure'da ve Windows üzerinde çalışan tek başına kümelerde çalışan kümeler, mümkün olduğunda X.509 sertifika kimlik doğrulamasını kullanmaksa dasertifika güvenliğini veya Windows güvenliğini kullanabilir.

İstemciden düğüme sertifika güvenliği

Kümeyi oluşturmak için istemciden düğüme sertifika güvenliğini Azure portal bir Resource Manager veya tek başına JSON şablonu kullanarak ayarlayın. Sertifikayı oluşturmak için bir yönetici istemci sertifikası veya kullanıcı istemci sertifikası belirtin. En iyi uygulama olarak, belirttiğiniz yönetici istemci ve kullanıcı istemci sertifikaları, düğümden düğüme güvenlik için belirttiğiniz birincil ve ikincil sertifikalardan farklı olması gerekir. Küme sertifikaları, istemci yönetici sertifikaları ile aynı haklara sahip olur. Ancak, güvenlik için en iyi yöntem olarak yönetici kullanıcılar tarafından değil yalnızca küme tarafından kullanılmalıdır.

Yönetim sertifikasını kullanarak kümeye bağlanan istemciler yönetim özelliklerine tam erişime sahip olur. Kümeye salt okunur kullanıcı istemci sertifikası kullanarak bağlanan istemciler yönetim özelliklerine yalnızca okuma erişimine sahip olur. Bu sertifikalar, bu makalenin Service Fabric RBAC için kullanılır.

Azure için bir kümede sertifika güvenliği ayarlama hakkında bilgi edinmek için bkz. Azure'da sertifika Azure Resource Manager ayarlama.

Tek başına bir Windows Server kümesi için bir kümede sertifika güvenliğini ayarlama hakkında bilgi edinmek için bkz. X.509sertifikalarını kullanarak Windows tek başına kümenin güvenliğini sağlama.

Azure'da istemciden düğüme Azure Active Directory güvenliği

Azure Active Directory (Azure AD), kuruluşların (kiracı olarak bilinir) uygulamalara kullanıcı erişimini yönetmelerini sağlar. Uygulamalar, web tabanlı oturum açma kullanıcı arabirimine ve yerel istemci deneyimine sahip kullanıcılara ayrılır. Henüz bir kiracı oluşturmadıysanız başlangıç olarak Kiracıyı nasıl Azure Active Directory edin.

Azure'da çalışan kümeler için, yönetim uç noktalarına erişimin güvenliğini sağlamak için Azure AD'den de kullanabilirsiniz. Bir Service Fabric kümesi, yönetim işlevselliğine web tabanlı depolama ve yönetim gibi çeşitli giriş noktaları Service Fabric Explorer ve Visual Studio. Sonuç olarak, kümeye erişimi kontrol etmek için iki Azure AD uygulaması oluşturun: bir web uygulaması ve bir yerel uygulama. Gerekli Azure AD yapıtlarını oluşturma ve kümeyi oluşturma sırasında bunları nasıl doldurmak için bkz. İstemcilerin kimliğini doğrulamak için Azure AD'i ayarlama.

Güvenlik önerileri

Azure Service Fabric barındırılan bir genel ağa dağıtılmış kümeler için istemciden düğüme karşılıklı kimlik doğrulaması önerisi şu şekildedir:

  • İstemci Azure Active Directory için kimlik doğrulamayı kullanma
  • Sunucu kimliği ve HTTP iletişimin TLS şifrelemesi için bir sertifika

Azure Service Fabric barındırılan bir ortak ağa dağıtılmış olan kümeler için düğümden düğüme güvenlik önerisi, düğümlerin kimliğini doğrulamak için küme sertifikası kullanmaktır.

Tek başına Windows Server kümeleri için, Windows Server 2012 R2 ve Active Directory Windows varsa, grup tarafından yönetilen hizmet hesaplarıyla Windows güvenlik kullanmalarını öneririz. Aksi takdirde, Windows hesaplarıyla Windows kullanın.

Service Fabric tabanlı erişim denetimi

Farklı kullanıcı grupları için belirli küme işlemlerine erişimi sınırlamak üzere erişim denetimi kullanabilirsiniz. Bu, kümenin daha güvenli hale yardımcı olur. Bir kümeye bağlanan istemciler için iki erişim denetimi türü de kullanılabilir: Yönetici rolü ve Kullanıcı rolü.

Yönetici rolü atanmış kullanıcılar, okuma ve yazma özellikleri de dahil olmak üzere yönetim özelliklerine tam erişime sahip olur. Kullanıcı rolüne atanan kullanıcılar varsayılan olarak yönetim özelliklerine (sorgu özellikleri gibi) yalnızca okuma erişimine sahip olur. Ayrıca uygulamaları ve hizmetleri de çözümlemektedir.

Kümeyi seniz Yönetici ve Kullanıcı istemci rollerini ayarlayın. Her rol türü için ayrı kimlikler sağlayarak (örneğin sertifikalar veya Azure AD kullanarak) roller attayın. Varsayılan erişim denetimi ayarları ve varsayılan ayarları değiştirme hakkında daha fazla bilgi için bkz. Service Fabric için rol tabanlı erişim Service Fabric..

X.509 sertifikaları ve Service Fabric

X.509 dijital sertifikaları genellikle istemcilerin ve sunucuların kimliğini doğrulamak için kullanılır. İletileri şifrelemek ve dijital olarak imzalamak için de kullanılır. Service Fabric bir kümenin güvenliğini sağlamak ve uygulama güvenlik özellikleri sağlamak için X.509 sertifikalarını kullanır. X.509 dijital sertifikaları hakkında daha fazla bilgi için bkz. Sertifikalarla çalışma. Azure'Key Vault kümelerini yönetmek için Service Fabric sertifikaları kullanırsiniz.

Dikkat etmek gereken bazı önemli şeyler:

  • Üretim iş yüklerini çalıştıran kümeler için sertifika oluşturmak üzere, doğru yapılandırılmış bir Windows Sunucusu sertifika hizmetini veya onaylı bir sertifika yetkilisini (CA) kullanın.
  • Üretim ortamındaki sertifikalar gibi araçları kullanarak hiçbir zaman geçici MakeCert.exe veya test sertifikalarını kullanmayın.
  • Otomatik olarak imzalanan bir sertifika kullanabilirsiniz, ancak yalnızca bir test kümesinde kullanabilirsiniz. Üretimde otomatik olarak imzalanan bir sertifika kullanmayın.
  • Sertifika parmak izini üretirken bir SHA1 parmak izi 1'i 1'den emin olun. SHA1, İstemci ve Küme sertifikası parmak izleri yapılandırken kullanılır.

Küme ve sunucu sertifikası (gerekli)

Bu sertifikalar (bir birincil ve isteğe bağlı olarak ikincil) bir kümenin güvenliğini sağlamak ve buna yetkisiz erişimi önlemek için gereklidir. Bu sertifikalar küme ve sunucu kimlik doğrulaması sağlar.

Küme kimlik doğrulaması, küme federasyonu için düğümden düğüme iletişimin kimliğini doğrular. Yalnızca bu sertifikayla kimliklerini kanıtlayacak düğümler kümeye katılabilir. Sunucu kimlik doğrulaması, bir yönetim istemcisi için küme yönetim uç noktalarının kimliğini doğrular, böylece yönetim istemcisi bunun "ortadaki adam" değil gerçek kümeyle konuştuğunu bilir. Bu sertifika ayrıca HTTPS yönetim API'si için ve HTTPS üzerinden Service Fabric Explorer TLS sağlar. bir istemci veya düğüm bir düğümün kimliğini doğrulasa, ilk denetimlerden biri Konu alanında ortak adın değeridir. Bu ortak ad veya sertifikaların Konu Diğer Adlarından (SAN) biri, izin verilen ortak adlar listesinde mevcut olması gerekir.

Sertifika aşağıdaki gereksinimleri karşılamalıdır:

  • Sertifika bir özel anahtar içermeli. Bu sertifikalar genellikle .pfx veya .pem uzantılarına sahip olur
  • Sertifika, kişisel bilgiler dosyası (.pfx) dosyasına aktarılabilir anahtar değişimi Exchange oluşturularak oluşturularak.
  • Sertifikanın konu adı, sertifika kümesine erişmek için kullanabileceğiniz etki Service Fabric gerekir. Kümenin HTTPS yönetim uç noktası ve yönetim uç noktası için TLS sağlamak için bu Service Fabric Explorer. *.cloudapp.azure.com etki alanı için bir sertifika yetkiliden (CA) TLS/SSL sertifikası cloudapp.azure.com edinebilirsiniz. Kümeniz için özel bir etki alanı adı edinmeniz gerekir. CA’dan sertifika istediğinizde sertifikanın konu adı, kümeniz için kullandığınız özel etki alanı adıyla eşleşmelidir.

Dikkat etmek gereken diğer bazı şeyler:

  • Konu alanında birden çok değer olabilir. Her değere, değer türünü belirtmek için bir başlatma ön eki eklidir. Genellikle başlatma CN'dir (ortak ad için); Örneğin, CN = www . contoso.com.
  • Konu alanı boş olabilir.
  • İsteğe bağlı Konu Diğer Adı alanı doldurulmuşsa, hem sertifikanın ortak adına hem de SAN başına bir girişe sahip olması gerekir. Bunlar DNS Adı değerleri olarak girilir. SAN'lara sahip sertifikalar oluşturma hakkında bilgi edinmek için bkz. Güvenli bir LDAP sertifikasına Konu Diğer Adı ekleme.
  • Sertifikanın Hedeflenen Amaçlar alanı, Sunucu Kimlik Doğrulaması veya İstemci Kimlik Doğrulaması gibi uygun bir değer içermeli.

Uygulama sertifikaları (isteğe bağlı)

Uygulama güvenliği amacıyla bir kümeye herhangi bir sayıda ek sertifika yükleyebilirsiniz. Kümenizi oluşturmadan önce, düğümlere bir sertifikanın yüklü olması gereken uygulama güvenlik senaryolarını göz önünde bulundurabilirsiniz, örneğin:

  • Uygulama yapılandırma değerlerini şifreleme ve şifre çözme.
  • Çoğaltma sırasında düğümler arasında veri şifrelemesi.

İster Linux ister diğer kümeler olsun, güvenli kümeler oluşturma Windows aynıdır.

İstemci kimlik doğrulama sertifikaları (isteğe bağlı)

Yönetici veya kullanıcı istemci işlemleri için herhangi bir sayıda ek sertifika belirtilebilir. İstemci, karşılıklı kimlik doğrulaması gerektiğinde bu sertifikaları kullanabilir. İstemci sertifikaları genellikle bir üçüncü taraf CA tarafından verilen değildir. Bunun yerine, geçerli kullanıcı konumunun Kişisel deposu genellikle bir kök yetkili tarafından yerleştirilen istemci sertifikalarını içerir. Sertifikanın İstemci Kimlik Doğrulaması'nın Hedeflenen Amaçlar değerine sahip olması gerekir.

Varsayılan olarak küme sertifikasının yönetici istemci ayrıcalıkları vardır. Bu ek istemci sertifikaları kümeye yüklenmemeli, ancak küme yapılandırmasında izin veriliyor olarak belirtilir. Ancak, kümeye bağlanmak ve tüm işlemleri gerçekleştirmek için istemci makinelerine istemci sertifikaları yüklenmeleri gerekir.

Not

Bir kümede tüm yönetim Service Fabric sunucu sertifikaları gerektirir. İstemci sertifikaları yönetim için kullanılamaz.

Sonraki adımlar