Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Sicurezza dell'infrastruttura in ROSA
<a name="infrastructure-security"></a>

In quanto servizio gestito, Servizio Red Hat OpenShift su AWS è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar — AWS Well-Architected* Framework.

Utilizzi chiamate API AWS pubblicate per accedere ROSA attraverso la rete. AWS I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale IAM. In alternativa è possibile utilizzare [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/) (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.

## Isolamento della rete di cluster
<a name="infrastructure-security-cluster-network"></a>

I tecnici di Red Hat Site Reliability (SREs) sono responsabili della gestione continua e della sicurezza di rete del cluster e della piattaforma applicativa sottostante. Per ulteriori informazioni sulle responsabilità di Red Hat per ROSA, consulta[Panoramica delle responsabilità per ROSA](rosa-responsibilities.md).

Quando si crea un nuovo cluster, ROSA offre la possibilità di creare un endpoint e un percorso applicativo del server API Kubernetes pubblico o un endpoint e un percorso applicativo dell'API Kubernetes privati. Questa connessione viene utilizzata per comunicare con il cluster (utilizzando strumenti di OpenShift gestione come ROSA CLI e CLI OpenShift ). Una connessione privata consente a tutte le comunicazioni tra i tuoi nodi e il server API di rimanere all'interno del tuo VPC. Se abiliti l'accesso privato al server API e ai percorsi delle applicazioni, devi utilizzare un VPC esistente e connettere il VPC AWS PrivateLink al servizio di backend. OpenShift 

L'accesso al server dell'API Kubernetes è protetto utilizzando una combinazione di () e il controllo degli accessi basato sui ruoli AWS Identity and Access Management (RBAC IAM) di Kubernetes nativo. [Per ulteriori informazioni su Kubernetes RBAC, consulta Using RBAC Authorization nella documentazione di Kubernetes.](https://kubernetes.io/docs/reference/access-authn-authz/rbac/)

 ROSA consente di creare percorsi applicativi sicuri utilizzando diversi tipi di terminazione TLS per fornire certificati al client. Per maggiori informazioni, consulta [Percorsi protetti nella documentazione di Red](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-routes#configuring-default-certificate) Hat.

Se crei un ROSA cluster in un VPC esistente, specifichi le sottoreti VPC e le zone di disponibilità da utilizzare per il cluster. È inoltre possibile definire gli intervalli CIDR da utilizzare per la rete di cluster e abbinare questi intervalli CIDR alle sottoreti VPC. Per ulteriori informazioni, consultate le [definizioni degli intervalli CIDR](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/cidr-range-definitions) nella documentazione di Red Hat.

Per i cluster che utilizzano l'endpoint API pubblico, è ROSA necessario che il VPC sia configurato con una sottorete pubblica e privata per ogni zona di disponibilità in cui si desidera distribuire il cluster. Per i cluster che utilizzano l'endpoint API privato, sono necessarie solo sottoreti private.

Se utilizzi un VPC esistente, puoi configurare i ROSA cluster in modo che utilizzino un server proxy HTTP o HTTPS durante o dopo la creazione del cluster per crittografare il traffico web del cluster, aggiungendo un altro livello di sicurezza per i tuoi dati. Quando abiliti un proxy, ai componenti principali del cluster viene negato l'accesso diretto a Internet. Il proxy non nega l'accesso a Internet per i carichi di lavoro degli utenti. Per maggiori informazioni, consultate [Configurazione di un proxy a livello di cluster](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/networking/configuring-a-cluster-wide-proxy) nella documentazione di Red Hat.

## Isolamento della rete Pod
<a name="infrastructure-security-pod-network"></a>

Se sei un amministratore del cluster, puoi definire politiche di rete a livello di pod che limitino il traffico ai pod del ROSA cluster.