セキュリティーの考慮事項

オンライン編集

以下のセクションでは、 Red Hat® OpenShift® 上でのデプロイメントをセキュアに成功させるための主な考慮事項について説明します。

遺物の署名の検証 Transformation Advisor アーティファクト

オンライン編集

署名の検証に必要な公開鍵、証明書、証明書チェーンは、以下からダウンロードできる。 Transformation Advisor 署名の検証に必要な公開鍵、証明書、証明書チェーンはこちらからダウンロードできます: taPublicKeys.zip

アーカイブを unzip して、以下のファイルにアクセスします。

  • PRD0004063key.pem.cer
  • PRD0004063key.pem.chain
  • PRD0004063key.pem.pub.key
  • PRD0004063key.pub.asc

後続のセクションでは、これらのファイルを使用して、どのようにアーティファクトの署名を検証するかを説明する。 Transformation Advisor を検証する方法について説明する。

検証 Transformation Advisor 画像署名

オンライン編集

画像は Transformation AdvisorAMD64 画像はGPGシンプル署名を使って署名されている。 署名は、 skopeo または podman のツールで以下のように検証できる:

  1. 検証を構成する policy.json ファイルを作成します。 例:
{
   "default":  [{"type": "reject"}],
   "transports": {
        "docker": {
            "cp.icr.io/cp/icpa": [{
                "type": "signedBy",
                "keyType": "GPGKeys",
                "keyPath": "<KEY_LOCATION>/PRD0004063key.pub.asc"
            }],
            "icr.io/cpopen": [{
                "type": "signedBy",
                "keyType": "GPGKeys",
                "keyPath": "<KEY_LOCATION>/PRD0004063key.pub.asc"
            }],
            "icr.io/appcafe": [{
                "type": "signedBy",
                "keyType": "GPGKeys",
                "keyPath": "<KEY_LOCATION>/PRD0004063key.pub.asc"
            }]
        }
    }
}

方法 1: skopeo copy... を使用した検証

オンライン編集
skopeo copy --policy ~/policy.json docker://cp.icr.io/cp/icpa/transformation-advisor-ui@sha256:1234... dir:./image-dir --src-creds iamapikey:myapikey

方法 2: podman pull... を使用した検証

オンライン編集
podman pull --signature-policy ~/policy.json cp.icr.io/cp/icpa/transformation-advisor-ui@sha256:1234..

イメージ署名を検証するための OpenShift クラスタの設定については、 Red Hat® OpenShift® Container Platform docs を参照してください。

検証 Transformation Advisor ローカルZIP署名

オンライン編集

ローカル Transformation Advisor ローカル、およびzipファイルのダウンロード方法については、 IBM Transformation Advisor on RHELのインストールを参照のこと。 zipをダウンロードする際には、zipファイルの完全性を確認するために <filename>.zip.cosign.sig

署名を検証するには、設定に従って 3 つの方法があります。 以下の手順に必要な公開鍵、証明書、証明書チェーンは、このセクションの冒頭にあるリンクからダウンロードできる。

方法1:PEMエンコードされた公開鍵を使う

オンライン編集

前提条件:

  • 連帯保証ユーティリティ。 インストールするにはここをクリック。
  • PEM 公開鍵: PRD0004063key.pem.pub.key
  • 署名ファイル: transformationAdvisor-${VERSION}.zip.cosign.sig
  • zip 成果物: transformationAdvisor-${VERSION}.zip
cosign verify-blob --key PRD0004063key.pem.pub.key --signature transformationAdvisor-${VERSION}.zip.cosign.sig transformationAdvisor-${VERSION}.zip

方法2:PEMエンコードされた公開証明書を使用する

オンライン編集

前提条件:

  • 連帯保証ユーティリティ。 インストールするにはここをクリック。 cosign のバージョン 1.x の使用を推奨する。 バージョン 2 + を使用している場合は、検証時にフラグ --insecure-ignore-tlog=true を追加する必要があります。
  • PEM 公開証明書: PRD0004063key.pem.cer
  • 証明書チェーン: PRD0004063key.pem.chain
  • 署名ファイル: transformationAdvisor-${VERSION}.zip.cosign.sig
  • zip 成果物: transformationAdvisor-${VERSION}.zip
cosign verify-blob --cert PRD0004063key.pem.cer --cert-chain PRD0004063key.pem.chain --signature transformationAdvisor-${VERSION}.zip.cosign.sig transformationAdvisor-${VERSION}.zip

方法3:opensslでPEMエンコードされた公開鍵を使う

オンライン編集

前提条件:

  • openssl
  • PEM 公開鍵: PRD0004063key.pem.pub.key
  • 署名ファイル: transformationAdvisor-${VERSION}.zip.cosign.sig
  • zip 成果物: transformationAdvisor-${VERSION}.zip
openssl enc -d -A -base64 -in transformationAdvisor-${VERSION}.zip.cosign.sig -out ./transformationAdvisor-${VERSION}.zip.bytes.sig
openssl dgst -verify PRD0004063key.pem.pub.key -keyform PEM -sha256 -signature ./transformationAdvisor-${VERSION}.zip.bytes.sig -binary transformationAdvisor-${VERSION}.zip

ユーザー管理

オンライン編集

デフォルトでは Transformation Advisor インスタンスは自動的に OpenShift Container Platform OAuthClient を使うように設定されます。 を設定することができる。 Transformation Advisor を使用して、サードパーティの認証ソースを使用するように構成できます。

サードパーティ認証ソースの構成方法の詳細については、 IBM Transformation Advisor の構成 を参照してください。

Transformation Advisor は役割を区別しない。

注: 認証されたすべてのユーザーは、製品内のすべてのアクションにアクセスできます。

経路

オンライン編集

ルートは、クラスター・リソースへの外部アクセスを提供するために使用されます。 Transformation Advisor は、インストールされているプロジェクトとクラスタ・ドメインに基づいて3つのダイナミック・ルートを作成します。 経路は以下のとおりです。

ルート 説明
<ta instance>-openapi-ルート Swagger UI を介して API にアクセスします https://openapi.myproj-ta.apps.kgta.cp.fyre.ibm.com/openapi/ui
<ta instance>-サーバー経路 Libertyサーバーにアクセスします。 エンド・ユーザーが直接使用することはできません。 https://myproj-ta.apps.kgta.cp.fyre.ibm.com/lands_advisor
<ta instance>-UIルート UI にアクセスします。 エンド・ユーザーのメイン・エントリー・ポイント。 https://openshift-operators-ta.apps.kgta.cp.fyre.ibm.com

内部 TLS 証明書

オンライン編集

ポッド間の内部TLS通信用にカスタム証明書を提供できる。 Transformation Advisor ポッド間の内部 TLS 通信用にカスタム証明書を提供できます。

詳しくは、 Bring Your Own Key (BYOK) の有効化を参照してください。

ネットワーク・ポリシー

オンライン編集

ネットワーク・ポリシーは、ポッドへの出入りのトラフィックを制御する。 Transformation Advisor ポッドに出入りするトラフィックを制御します。

出口ネットワーク・ポリシー

オンライン編集

クラスタが OpenShift SDN デフォルトのコンテナネットワークインタフェース (CNI) ネットワークプロバイダを使用している場合、 Transformation Advisor からのイグジットトラフィックを制限するために EgressNetworkPolicy を自動的に設定します。 Transformation Advisor を自動的に設定します。 デフォルト構成はほとんどの場合に適していますが、許可される Egress をカスタマイズすることも、完全に無効にすることもできます。

詳細については、 IBM Transformation Advisor の設定を 参照してください。

Ingress ネットワーク・ポリシー

オンライン編集

Transformation Advisor は、受信トラフィックを必要なトラフィックだけに制限するためのイングレス・ネットワーク・ポリシーを自動的に設定する。

詳しくは、 ネットワーク・ポリシーを参照してください。

秘密

オンライン編集

Transformation AdvisorSecret を使用することで、操作に必要な認証情報を安全に保存する。 Transformation Advisor インストール時に Secret を一意のランダムな値で自動生成します。 また、必要な値の一部または全部を、ユーザー自身が SecretTransformation Advisor は、ユーザーが与えなかった値を自動的に生成する。

例えば、ユーザーは、サード・パーティー認証のセットアップ時に OAuth クライアント ID と秘密鍵を指定する必要があります。 詳細については、 IBM Transformation Advisor の設定を 参照してください。