Azure Container Registry zmírnění exfiltrace dat pomocí vyhrazených datových koncových bodů

Článek
10/31/2023

Azure Container Registry zavádí vyhrazené datové koncové body. Tato funkce umožňuje úzce vymezená pravidla brány firewall klienta na konkrétní registry a minimalizuje obavy o exfiltraci dat.

Funkce vyhrazených datových koncových bodů je k dispozici na úrovni služby Premium . Informace o cenách najdete v tématu container-registry-pricing.

Načítání obsahu z registru zahrnuje dva koncové body:

Koncový bod registru, který se často označuje jako přihlašovací adresa URL, se používá k ověřování a zjišťování obsahu. Příkaz, jako je docker pulls contoso.azurecr.io/hello-world , vytvoří požadavek REST, který ověří a vyjedná vrstvy, které představují požadovaný artefakt. Datové koncové body obsluhují objekty blob představující vrstvy obsahu.

Diagram znázorňující koncové body

Účty úložiště spravované registrem

Azure Container Registry je služba s více tenanty. Účty úložiště koncového bodu dat spravuje služba registru. Mezi výhody spravovaných účtů úložiště patří vyrovnávání zatížení, sporné rozdělení obsahu, více kopií pro vyšší souběžné doručování obsahu a podpora geografické replikace ve více oblastech.

Podpora Azure Private Link virtuální sítě

Podpora Azure Private Link virtuální sítě umožňuje privátní koncové body pro službu spravovaného registru z virtuálních sítí Azure. V tomto případě jsou registr i datové koncové body přístupné z virtuální sítě pomocí privátních IP adres.

Jakmile jsou spravované služby registru i účty úložiště zabezpečené pro přístup z virtuální sítě, veřejné koncové body se odeberou.

Diagram znázorňující podporu virtuální sítě

Připojení k virtuální síti bohužel není vždy možné.

Důležité

Azure Private Link je nejbezpečnější způsob řízení síťového přístupu mezi klienty a registrem, protože síťový provoz je omezen na Virtual Network Azure pomocí privátních IP adres. Pokud Private Link není možné, vyhrazené datové koncové body můžou poskytovat zabezpečené znalosti o tom, jaké prostředky jsou přístupné z jednotlivých klientů.

Rizika exfiltrace dat a pravidel brány firewall klienta

Pravidla brány firewall klienta omezují přístup ke konkrétním prostředkům. Pravidla brány firewall platí při připojování k registru z místních hostitelů, zařízení IoT nebo vlastních agentů sestavení. Tato pravidla platí také v případech, kdy podpora Private Link není dostupná.

Diagram znázorňující pravidla brány firewall klienta

Když zákazníci uzamkli konfigurace brány firewall klienta, uvědomili si, že musí vytvořit pravidlo se zástupným znakem pro všechny účty úložiště, což vyvolává obavy z exfiltrace dat. Chybný aktér by mohl nasadit kód, který by byl schopný zapisovat do svého účtu úložiště.

Diagram znázorňující rizika exfiltrace dat klienta

Aby bylo možné řešit problémy s exfiltrací dat, Azure Container Registry zpřístupňuje vyhrazené koncové body dat.

Vyhrazené datové koncové body

Vyhrazené datové koncové body pomáhají načítat vrstvy ze služby Azure Container Registry s plně kvalifikovanými názvy domén představujícími doménu registru.

Vzhledem k tomu, že se každý registr může geograficky replikovat, používá se místní model: [registry].[region].data.azurecr.io.

V příkladu společnosti Contoso se přidá několik regionálních datových koncových bodů podporujících místní oblast s blízkou replikou.

V případě vyhrazených datových koncových bodů je chybnému objektu zápisu do jiných účtů úložiště zablokováno.

Diagram znázorňující příklad společnosti Contoso s vyhrazenými datovými koncovými body

Povolení vyhrazených datových koncových bodů

Poznámka

Přepnutí na vyhrazené datové koncové body ovlivní klienty, kteří mají nakonfigurovaný přístup brány firewall ke stávajícím *.blob.core.windows.net koncovým bodům, což způsobí selhání vyžádání. Pokud chcete zajistit, aby klienti měli konzistentní přístup, přidejte do pravidel brány firewall klienta nové datové koncové body. Po dokončení můžou stávající registry povolit vyhrazené datové koncové body prostřednictvím az cli.

Pokud chcete použít postup Azure CLI v tomto článku, vyžaduje se Azure CLI verze 2.4.0 nebo novější. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI nebo spuštění v Azure Cloud Shell.

Spuštěním příkazu az acr update povolte vyhrazený datový koncový bod.

az acr update --name contoso --data-endpoint-enabled

Spuštěním příkazu az acr show zobrazte datové koncové body, včetně regionálních koncových bodů pro geograficky replikované registry.

az acr show-endpoints --name contoso

Ukázkový výstup:

{
  "loginServer": "contoso.azurecr.io",
  "dataEndpoints": [
    {
      "region": "eastus",
      "endpoint": "contoso.eastus.data.azurecr.io",
    },
    {
     "region": "westus",
      "endpoint": "contoso.westus.data.azurecr.io",
    }
  ]
}

Další kroky

Nakonfigurujte přístup k registru kontejneru Azure zpoza pravidel brány firewall.
Připojení Azure Container Registry pomocí Azure Private Link

Sdílet prostřednictvím