نظرة عامة على الأمان في Azure Container Apps

توفر Azure Container Apps العديد من ميزات الأمان المضمنة التي تساعدك على إنشاء تطبيقات آمنة في حاويات. يستكشف هذا الدليل مبادئ الأمان الرئيسية، بما في ذلك الهويات المدارة وإدارة الأسرار وتخزين الرموز المميزة، مع توفير أفضل الممارسات لمساعدتك في تصميم تطبيقات آمنة وقابلة للتطوير.

الهويات المدارة

تلغي الهويات المدارة الحاجة إلى تخزين بيانات الاعتماد في التعليمات البرمجية أو التكوين الخاص بك من خلال توفير هوية مدارة تلقائيا في معرف Microsoft Entra. يمكن لتطبيقات الحاوية استخدام هذه الهويات للمصادقة على أي خدمة تدعم مصادقة Microsoft Entra، مثل Azure Key Vault أو Azure Storage أو قاعدة بيانات Azure SQL.

أنواع الهويات المدارة

تدعم Azure Container Apps نوعين من الهويات المدارة:

• الهوية المعينة من قبل النظام: تم إنشاؤها وإدارتها تلقائيا باستخدام دورة حياة تطبيق الحاوية. يتم حذف الهوية عند حذف تطبيقك.

• الهوية المعينة من قبل المستخدم: تم إنشاؤها بشكل مستقل ويمكن تعيينها إلى تطبيقات حاوية متعددة، ما يسمح بمشاركة الهوية عبر الموارد.

الفوائد الأمنية للهويات المدارة

• يلغي الحاجة إلى إدارة بيانات الاعتماد وتدويرها في التعليمات البرمجية للتطبيق الخاص بك
• يقلل من مخاطر التعرض لبيانات الاعتماد في ملفات التكوين
• يوفر تحكما دقيقا في الوصول من خلال Azure RBAC
• يدعم مبدأ الامتياز الأقل من خلال منح الأذونات الضرورية فقط

متى تستخدم كل نوع هوية

• استخدم الهويات المعينة من قبل النظام لأحمال العمل التي:

  • مضمنة في مورد واحد
  • تحتاج إلى هويات مستقلة

• استخدم الهويات المعينة من قبل المستخدم لأحمال العمل التي:

  • تشغيل عبر موارد متعددة تشترك في هوية واحدة
  • تحتاج إلى مصادقة مسبقة لتأمين الموارد

الهوية المدارة لسحب الصور

يستخدم نمط أمان شائع الهويات المدارة لسحب الصور من المستودعات الخاصة في Azure Container Registry. هذا النهج:

• تجنب استخدام بيانات الاعتماد الإدارية للسجل
• يوفر تحكما دقيقا في الوصول من خلال دور ACRPull
• يدعم كلا من الهويات المعينة من قبل النظام والمخصصة من قبل المستخدم
• يمكن التحكم في الحد من الوصول إلى حاويات معينة

لمزيد من المعلومات، راجع الهويات المدارةوسحب الصور من سجل الحاويات Azure مع الهوية المدارة لمزيد من التفاصيل حول كيفية إعداد هوية مدارة لتطبيقك.

إدارة البيانات السرية

توفر Azure Container Apps آليات مضمنة لتخزين قيم التكوين الحساسة والوصول إليها بأمان مثل سلاسل الاتصال ومفاتيح واجهة برمجة التطبيقات والشهادات.

ميزات الأمان الرئيسية للبيانات السرية

• العزل السري: يتم تحديد نطاق الأسرار إلى مستوى التطبيق وعزل عن مراجعات محددة.
• مراجع متغيرات البيئة: كشف الأسرار للحاويات كمتغيرات بيئية.
• تركيب الحجم: يتم تركيب الأسرار كملفات داخل الحاويات.
• تكامل Key Vault: أسرار مرجعية مخزنة في Azure Key Vault.

أفضل ممارسات الأمان للبيانات السرية

• تجنب تخزين الأسرار مباشرة في تطبيقات الحاويات لبيئات الإنتاج.
• استخدم تكامل Azure Key Vault لإدارة الأسرار المركزية.
• تطبيق أقل امتياز عند منح الوصول إلى الأسرار.
• استخدم مراجع سرية في متغيرات البيئة بدلا من الترميز الثابت للقيم.
• استخدم تركيبات الحجم للوصول إلى الأسرار كملفات عند الحاجة.
• تطبيق ممارسات التدوير السرية الصحيحة.

لمزيد من المعلومات، راجع استيراد الشهادات من Azure Key Vault لمزيد من التفاصيل حول كيفية إعداد إدارة البيانات السرية لتطبيقك.

مخزن الرمز المميز للمصادقة الآمنة

توفر ميزة مخزن الرمز المميز طريقة آمنة لإدارة رموز المصادقة المميزة بشكل مستقل عن رمز التطبيق الخاص بك.

كيف يعمل متجر الرموز

• يتم تخزين الرموز المميزة في Azure Blob Storage، منفصلة عن التعليمات البرمجية للتطبيق الخاص بك
• فقط المستخدم المرتبط يمكنه الوصول إلى الرموز المخزنة.
• تتولى تطبيقات الحاويات تحديث الرموز تلقائيا.
• تقلل هذه الميزة من سطح الهجوم عن طريق إلغاء كود إدارة الرموز المخصصة.

لمزيد من المعلومات، راجع تمكين مخزن رمز المصادقة للحصول على مزيد من التفاصيل حول كيفية إعداد مخزن رمز مميز للتطبيق الخاص بك.

أمن الشبكة

تطبيق تدابير أمان الشبكة المناسبة يساعد في حماية أعباء عملك من الوصول غير المصرح به والتهديدات المحتملة. كما يتيح التواصل الآمن بين تطبيقاتك والخدمات الأخرى.

لمزيد من المعلومات حول أمان الشبكة في Azure Container Apps، راجع المقالات التالية:

• تكوين بوابة تطبيق WAF
• تمكين المسارات المعرفة من قبل المستخدم (UDR)
• التوجيه المستند إلى القاعدة
  • استخدام التوجيه المستند إلى القواعد
  • تكوين مجال مخصص
  • تأمين VNET مخصص باستخدام NSG
  • استخدام نقطة نهاية خاصة
  • استخدام mTLS
  • التكامل مع Azure Front Door

الحساب السري (المعاينة)

يتضمن Azure Container Apps ملف عبء عمل حسابي سري (معاينة عامة) يشغل أحمال العمل المحوجرة داخل بيئات التنفيذ الموثوقة (TEEs) المعتمدة على الأجهزة. تكمل الحوسبة السرية تشفير Azure في حالة السكون والنقل من خلال حماية البيانات المستخدمة من خلال تشفير الذاكرة والتحقق من البيئة قبل تنفيذ الكود. تساعد هذه القدرة في تقليل خطر الوصول غير المصرح به إلى أحمال العمل الحساسة، بما في ذلك الوصول من مشغلي السحابة.

استخدم ملف عبء العمل الحسابي السري عندما تعالج طلباتك بيانات منظمة أو حساسة للغاية وتتطلب ضمانات قائمة على التصديق. العرض التمهيدي متوفر في شمال الإمارات. للحصول على نظرة عامة على قدرات المنصة، راجع Azure Confidential Computing.