Azure Container Registry zmírnění exfiltrace dat pomocí vyhrazených datových koncových bodů
Azure Container Registry zavádí vyhrazené datové koncové body. Tato funkce umožňuje úzce vymezená pravidla brány firewall klienta na konkrétní registry a minimalizuje obavy o exfiltraci dat.
Funkce vyhrazených datových koncových bodů je k dispozici na úrovni služby Premium . Informace o cenách najdete v tématu container-registry-pricing.
Načítání obsahu z registru zahrnuje dva koncové body:
Koncový bod registru, který se často označuje jako přihlašovací adresa URL, se používá k ověřování a zjišťování obsahu. Příkaz, jako je docker pulls contoso.azurecr.io/hello-world
, vytvoří požadavek REST, který ověří a vyjedná vrstvy, které představují požadovaný artefakt.
Datové koncové body obsluhují objekty blob představující vrstvy obsahu.
Účty úložiště spravované registrem
Azure Container Registry je služba s více tenanty. Účty úložiště koncového bodu dat spravuje služba registru. Mezi výhody spravovaných účtů úložiště patří vyrovnávání zatížení, sporné rozdělení obsahu, více kopií pro vyšší souběžné doručování obsahu a podpora geografické replikace ve více oblastech.
Podpora Azure Private Link virtuální sítě
Podpora Azure Private Link virtuální sítě umožňuje privátní koncové body pro službu spravovaného registru z virtuálních sítí Azure. V tomto případě jsou registr i datové koncové body přístupné z virtuální sítě pomocí privátních IP adres.
Jakmile jsou spravované služby registru i účty úložiště zabezpečené pro přístup z virtuální sítě, veřejné koncové body se odeberou.
Připojení k virtuální síti bohužel není vždy možné.
Důležité
Azure Private Link je nejbezpečnější způsob řízení síťového přístupu mezi klienty a registrem, protože síťový provoz je omezen na Virtual Network Azure pomocí privátních IP adres. Pokud Private Link není možné, vyhrazené datové koncové body můžou poskytovat zabezpečené znalosti o tom, jaké prostředky jsou přístupné z jednotlivých klientů.
Rizika exfiltrace dat a pravidel brány firewall klienta
Pravidla brány firewall klienta omezují přístup ke konkrétním prostředkům. Pravidla brány firewall platí při připojování k registru z místních hostitelů, zařízení IoT nebo vlastních agentů sestavení. Tato pravidla platí také v případech, kdy podpora Private Link není dostupná.
Když zákazníci uzamkli konfigurace brány firewall klienta, uvědomili si, že musí vytvořit pravidlo se zástupným znakem pro všechny účty úložiště, což vyvolává obavy z exfiltrace dat. Chybný aktér by mohl nasadit kód, který by byl schopný zapisovat do svého účtu úložiště.
Aby bylo možné řešit problémy s exfiltrací dat, Azure Container Registry zpřístupňuje vyhrazené koncové body dat.
Vyhrazené datové koncové body
Vyhrazené datové koncové body pomáhají načítat vrstvy ze služby Azure Container Registry s plně kvalifikovanými názvy domén představujícími doménu registru.
Vzhledem k tomu, že se každý registr může geograficky replikovat, používá se místní model: [registry].[region].data.azurecr.io
.
V příkladu společnosti Contoso se přidá několik regionálních datových koncových bodů podporujících místní oblast s blízkou replikou.
V případě vyhrazených datových koncových bodů je chybnému objektu zápisu do jiných účtů úložiště zablokováno.
Povolení vyhrazených datových koncových bodů
Poznámka
Přepnutí na vyhrazené datové koncové body ovlivní klienty, kteří mají nakonfigurovaný přístup brány firewall ke stávajícím *.blob.core.windows.net
koncovým bodům, což způsobí selhání vyžádání. Pokud chcete zajistit, aby klienti měli konzistentní přístup, přidejte do pravidel brány firewall klienta nové datové koncové body. Po dokončení můžou stávající registry povolit vyhrazené datové koncové body prostřednictvím az cli
.
Pokud chcete použít postup Azure CLI v tomto článku, vyžaduje se Azure CLI verze 2.4.0 nebo novější. Pokud potřebujete instalaci nebo upgrade, přečtěte si téma Instalace Azure CLI nebo spuštění v Azure Cloud Shell.
- Spuštěním příkazu az acr update povolte vyhrazený datový koncový bod.
az acr update --name contoso --data-endpoint-enabled
- Spuštěním příkazu az acr show zobrazte datové koncové body, včetně regionálních koncových bodů pro geograficky replikované registry.
az acr show-endpoints --name contoso
Ukázkový výstup:
{
"loginServer": "contoso.azurecr.io",
"dataEndpoints": [
{
"region": "eastus",
"endpoint": "contoso.eastus.data.azurecr.io",
},
{
"region": "westus",
"endpoint": "contoso.westus.data.azurecr.io",
}
]
}
Další kroky
- Nakonfigurujte přístup k registru kontejneru Azure zpoza pravidel brány firewall.
- Připojení Azure Container Registry pomocí Azure Private Link
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro