了解 ROSA 的安全策略和服务定义 | ROSA 简介 | AWS 上的 Red Hat OpenShift 服务

本文档详细介绍了 AWS 上托管的 Red Hat OpenShift Service (ROSA) 的 Red Hat、Amazon Web Services (AWS) 和客户安全责任。

首字母缩略词和术语

安全和法规遵从性

安全和法规遵从性包括实施安全控制和合规性认证等任务。

Red Hat 定义并遵循数据分类标准，以确定数据的敏感性，并在收集、使用、传输、存储和处理数据时突出显示对该数据机密性和完整性的固有风险。客户拥有的数据被分类为最高级别的敏感性和处理要求。

AWS 上的 Red Hat OpenShift Service (ROSA) 使用 AWS 密钥管理服务 (KMS) 来帮助安全地管理加密数据的密钥。这些密钥用于默认情况下加密的控制平面、基础设施和工作程序数据卷。客户应用程序的持久卷 (PV) 也使用 AWS KMS 进行密钥管理。

当客户删除其 ROSA 集群时，所有集群数据都将被永久删除，包括控制平面数据卷和客户应用程序数据卷，例如持久卷 (PV)。

Red Hat 使用行业标准工具定期对 ROSA 进行漏洞扫描。已识别的漏洞将根据严重性基于时间表进行跟踪修复。漏洞扫描和修复活动有文档记录，以便在合规性认证审核过程中由第三方评估机构进行验证。

每个 ROSA 集群都受到使用 AWS 安全组防火墙规则的安全网络配置的保护。ROSA 客户还通过AWS Shield Standard获得针对 DDoS 攻击的保护。

客户可以选择配置其 ROSA 集群端点（例如 Web 控制台、API 和应用程序路由器）为私有端点，以便集群控制平面和应用程序无法从 Internet 访问。Red Hat SRE 仍然需要受 IP 允许列表保护的 Internet 可访问端点。

AWS 客户可以通过 AWS VPC 对等互连、AWS VPN 或 AWS Direct Connect 等技术配置到其 ROSA 集群的私有网络连接。

客户可以使用NetworkPolicy对象和 OpenShift SDN 在每个项目的基础上配置细粒度的网络访问控制规则。

Red Hat 定期对 ROSA 进行渗透测试。测试由内部独立团队使用行业标准工具和最佳实践进行。

任何可能发现的问题都将根据严重性进行优先排序。任何属于开源项目的问题都将与社区共享以寻求解决方案。

AWS 上的 Red Hat OpenShift Service 遵循安全和控制的常见行业最佳实践。认证在以下表格中列出。

表 1. AWS 上 Red Hat OpenShift Service 的安全和控制认证
合规性	AWS 上的 Red Hat OpenShift Service (ROSA)	带有托管控制平面 (HCP) 的 AWS 上的 Red Hat OpenShift Service (ROSA)
HIPAA 合格^[1]	是	是
ISO 27001	是	是
ISO 27017	是	是
ISO 27018	是	是
PCI DSS 4.0	是	是
SOC 1 Type 2	是	是
SOC 2 Type 2	是	是
SOC 3	是	是
FedRAMP 高级^[2]	是 (GovCloud 必需)	否

其他资源