مشاركة عبر

نظرة عامة على الأمان في Azure Container Apps

توفر Azure Container Apps العديد من ميزات الأمان المضمنة التي تساعدك على إنشاء تطبيقات آمنة في حاويات. يستكشف هذا الدليل مبادئ الأمان الرئيسية، بما في ذلك الهويات المدارة وإدارة الأسرار وتخزين الرموز المميزة، مع توفير أفضل الممارسات لمساعدتك في تصميم تطبيقات آمنة وقابلة للتطوير.

الهويات المدارة

تلغي الهويات المدارة الحاجة إلى تخزين بيانات الاعتماد في التعليمات البرمجية أو التكوين الخاص بك من خلال توفير هوية مدارة تلقائيا في معرف Microsoft Entra. يمكن لتطبيقات الحاوية استخدام هذه الهويات للمصادقة على أي خدمة تدعم مصادقة Microsoft Entra، مثل Azure Key Vault أو Azure Storage أو قاعدة بيانات Azure SQL.

أنواع الهويات المدارة

تدعم Azure Container Apps نوعين من الهويات المدارة:

  • الهوية المعينة من قبل النظام: تم إنشاؤها وإدارتها تلقائيا باستخدام دورة حياة تطبيق الحاوية. يتم حذف الهوية عند حذف تطبيقك.

  • الهوية المعينة من قبل المستخدم: تم إنشاؤها بشكل مستقل ويمكن تعيينها إلى تطبيقات حاوية متعددة، ما يسمح بمشاركة الهوية عبر الموارد.

الفوائد الأمنية للهويات المدارة

  • يلغي الحاجة إلى إدارة بيانات الاعتماد وتدويرها في التعليمات البرمجية للتطبيق الخاص بك
  • يقلل من مخاطر التعرض لبيانات الاعتماد في ملفات التكوين
  • يوفر تحكما دقيقا في الوصول من خلال Azure RBAC
  • يدعم مبدأ الامتياز الأقل من خلال منح الأذونات الضرورية فقط

متى تستخدم كل نوع هوية

  • استخدم الهويات المعينة من قبل النظام لأحمال العمل التي:

    • مضمنة في مورد واحد
    • تحتاج إلى هويات مستقلة

  • استخدم الهويات المعينة من قبل المستخدم لأحمال العمل التي:

    • تشغيل عبر موارد متعددة تشترك في هوية واحدة
    • تحتاج إلى مصادقة مسبقة لتأمين الموارد

الهوية المدارة لسحب الصور

يستخدم نمط أمان شائع الهويات المدارة لسحب الصور من المستودعات الخاصة في Azure Container Registry. هذا النهج:

  • تجنب استخدام بيانات الاعتماد الإدارية للسجل
  • يوفر تحكما دقيقا في الوصول من خلال دور ACRPull
  • يدعم كلا من الهويات المعينة من قبل النظام والمخصصة من قبل المستخدم
  • يمكن التحكم في الحد من الوصول إلى حاويات معينة

لمزيد من المعلومات، راجع الهويات المدارةوسحب الصور من Azure Container Registry مع الهوية المدارة لمزيد من التفاصيل حول كيفية إعداد هويات مدارة لتطبيقك.

إدارة البيانات السرية

توفر Azure Container Apps آليات مضمنة لتخزين قيم التكوين الحساسة والوصول إليها بأمان مثل سلاسل الاتصال ومفاتيح واجهة برمجة التطبيقات والشهادات.

ميزات الأمان الرئيسية للبيانات السرية

  • عزل البيانات السرية: يتم تحديد نطاق الأسرار على مستوى التطبيق، معزولة عن مراجعات محددة
  • مراجع متغير البيئة: كشف الأسرار للحاويات كمتغيرات بيئة
  • تحميل وحدة التخزين: تحميل البيانات السرية كملفات داخل الحاويات
  • تكامل Key Vault: البيانات السرية المرجعية المخزنة في Azure Key Vault

أفضل ممارسات الأمان للبيانات السرية

  • تجنب تخزين الأسرار مباشرة في Container Apps لبيئات الإنتاج
  • استخدام تكامل Azure Key Vault لإدارة البيانات السرية المركزية
  • تنفيذ أقل امتياز عند منح حق الوصول إلى الأسرار
  • استخدام المراجع السرية في متغيرات البيئة بدلا من قيم الترميز الثابت
  • استخدام تحميلات وحدة التخزين للوصول إلى البيانات السرية كملفات عند الاقتضاء
  • تنفيذ ممارسات تناوب البيانات السرية المناسبة

لمزيد من المعلومات، راجع استيراد الشهادات من Azure Key Vault لمزيد من التفاصيل حول كيفية إعداد إدارة البيانات السرية لتطبيقك.

مخزن الرمز المميز للمصادقة الآمنة

توفر ميزة مخزن الرمز المميز طريقة آمنة لإدارة رموز المصادقة المميزة بشكل مستقل عن رمز التطبيق الخاص بك.

كيفية عمل متجر الرمز المميز

  • يتم تخزين الرموز المميزة في Azure Blob Storage، منفصلة عن التعليمات البرمجية للتطبيق الخاص بك
  • لا يمكن الوصول إلى الرموز المميزة المخزنة مؤقتا إلا للمستخدم المقترن
  • تعالج تطبيقات الحاوية تحديث الرمز المميز تلقائيا
  • تقلل الميزة من سطح الهجوم عن طريق إزالة التعليمات البرمجية لإدارة الرمز المميز المخصص

لمزيد من المعلومات، راجع تمكين مخزن رمز المصادقة للحصول على مزيد من التفاصيل حول كيفية إعداد مخزن رمز مميز للتطبيق الخاص بك.

أمن الشبكة

يساعد تنفيذ تدابير أمان الشبكة المناسبة على حماية أحمال العمل الخاصة بك من الوصول غير المصرح به والتهديدات المحتملة مع تمكين الاتصال الآمن بين تطبيقاتك والخدمات الأخرى.

لمزيد من المعلومات حول أمان الشبكة في Azure Container Apps، راجع المقالات التالية: