Přehled zabezpečení ve službě Azure Container Apps

Azure Container Apps poskytuje několik integrovaných funkcí zabezpečení, které vám pomůžou sestavovat zabezpečené kontejnerizované aplikace. Tato příručka zkoumá klíčové principy zabezpečení, včetně spravovaných identit, správy tajných kódů a úložiště tokenů, a poskytuje osvědčené postupy, které vám pomůžou navrhovat zabezpečené a škálovatelné aplikace.

Spravované identity

Spravované identity eliminují potřebu ukládat přihlašovací údaje do kódu nebo konfigurace tím, že v Microsoft Entra ID poskytují automaticky spravovanou identitu. Kontejnerové aplikace můžou tyto identity použít k ověření ve všech službách, které podporují ověřování Microsoft Entra, jako je Azure Key Vault, Azure Storage nebo Azure SQL Database.

Typy spravovaných identit

Azure Container Apps podporuje dva typy spravovaných identit:

• Identita přiřazená systémem: Automaticky se vytvoří a spravuje s životním cyklem vaší aplikace kontejneru. Identita se odstraní při odstranění vaší aplikace.

• Identita přiřazená uživatelem: Vytvořená nezávisle a je možné ji přiřadit k více aplikacím kontejnerů, což umožňuje sdílení identit mezi prostředky.

Výhody zabezpečení spravovaných identit

• Eliminuje potřebu správy a obměny přihlašovacích údajů v kódu aplikace.
• Snižuje riziko vystavení přihlašovacích údajů v konfiguračních souborech.
• Poskytuje podrobné řízení přístupu prostřednictvím Azure RBAC.
• Podporuje princip nejnižší úrovně oprávnění tím, že uděluje pouze potřebná oprávnění.

Kdy použít každý typ identity

• Použijte identity přiřazené systémem pro úlohy, které:

  • Jsou obsaženy v jednom zdroji.
  • Potřeba nezávislých identit

• Použijte identity přiřazené uživatelem pro úlohy, které:

  • Působení na několika prostředcích, které sdílejí společnou identitu
  • Potřebujete předběžné ověření pro zabezpečení prostředků.

Spravovaná identita pro stahování obrázků

Běžným vzorem zabezpečení je použití spravovaných identit k načtení imagí z privátních úložišť ve službě Azure Container Registry. Tento přístup:

• Vyhněte se používání přihlašovacích údajů správce pro registr.
• Poskytuje jemně odstupňované řízení přístupu prostřednictvím role ACRPull.
• Podporuje identity přiřazené systémem i uživatelem.
• Je možné řídit omezení přístupu ke konkrétním kontejnerům.

Další informace najdete v tématu Spravované identity a stažení image ze služby Azure Container Registry pomocí spravované identity, kde se dozvíte, jak nastavit spravovanou identitu pro vaši aplikaci.

Správa tajemství

Azure Container Apps poskytuje integrované mechanismy pro bezpečné ukládání citlivých konfiguračních hodnot, jako jsou připojovací řetězce, klíče rozhraní API a certifikáty.

Klíčové funkce zabezpečení tajných kódů

• Izolace tajných kódů: Tajné kódy jsou vymezeny na úroveň aplikace a jsou izolované od konkrétních revizí.
• Odkazy na proměnné prostředí: Zpřístupnění tajných údajů kontejnerům ve formě proměnných prostředí.
• Připojení svazků: Připojte tajemství jako soubory v kontejnerech.
• Integrace služby Key Vault: Odkazujte na tajné kódy uložené ve službě Azure Key Vault.

Osvědčené postupy zabezpečení pro tajné kódy

• Vyhněte se ukládání tajných kódů přímo v Container Apps pro produkční prostředí.
• Integrace služby Azure Key Vault se používá k centralizované správě tajných kódů.
• Implementujte nejnižší oprávnění při udělování přístupu k tajným kódům.
• Místo pevně zakódovaných hodnot používejte tajné odkazy v proměnných prostředí.
• Použijte připojení svazků pro přístup k tajemstvím jako k souborům, pokud je to vhodné.
• Implementujte správné postupy obměně tajných kódů.

Další informace najdete v tématu Import certifikátů ze služby Azure Key Vault , kde najdete další podrobnosti o nastavení správy tajných kódů pro vaši aplikaci.

Úložiště tokenů pro zabezpečené ověřování

Funkce úložiště tokenů poskytuje bezpečný způsob správy ověřovacích tokenů nezávisle na kódu aplikace.

Jak funguje úložiště tokenů

• Tokeny se ukládají ve službě Azure Blob Storage odděleně od kódu vaší aplikace.
• K tokenům uloženým v mezipaměti má přístup pouze přidružený uživatel.
• Container Apps automaticky zpracovává aktualizaci tokenů.
• Tato funkce snižuje prostor pro útoky odstraněním vlastního kódu pro správu tokenů.

Další informace najdete v tématu Povolení úložiště ověřovacích tokenů , kde najdete další podrobnosti o nastavení úložiště tokenů pro vaši aplikaci.

Zabezpečení sítě

Implementace správných bezpečnostních opatření sítě pomáhá chránit vaše úlohy před neoprávněným přístupem a potenciálními hrozbami. Umožňuje také zabezpečenou komunikaci mezi vašimi aplikacemi a dalšími službami.

Další informace o zabezpečení sítě v Azure Container Apps najdete v následujících článcích:

• Konfigurace brány Application Gateway WAF
• Povolení tras definovaných uživatelem (UDR)
• Směrování na základě pravidel
  • Použití směrování založeného na pravidlech
  • Konfigurace vlastní domény
  • Zabezpečení vlastní virtuální sítě pomocí skupiny zabezpečení sítě
  • Použití privátního koncového bodu
  • Použití mTLS
  • Integrace se službou Azure Front Door

Důvěrný výpočet (Preview)

Azure Container Apps zahrnuje důvěrný profil výpočetních úloh (Public Preview), který spouští kontejnerizované úlohy uvnitř hardwarových důvěryhodných spouštěcích prostředí (TEE). Důvěrné výpočetní operace doplňují šifrování Azure při nečinnosti a přenášení tím, že chrání data, která se používají šifrováním paměti a testováním prostředí před spuštěním kódu. Tato funkce pomáhá snížit riziko neoprávněného přístupu k citlivým úlohám, včetně přístupu od cloudových operátorů.

Profil důvěrné výpočetní úlohy použijte, když vaše aplikace zpracovávají regulovaná nebo vysoce citlivá data a vyžadují záruky založené na ověření identity. Verze Preview je dostupná ve Spojených arabských emirátech – sever. Přehled možností platformy najdete v tématu Důvěrné výpočetní prostředí Azure.