Sicherheitsübersicht in Azure-Container-Apps

Azure Container Apps bietet mehrere integrierte Sicherheitsfeatures, mit denen Sie sichere containerisierte Anwendungen erstellen können. In diesem Leitfaden werden die wichtigsten Sicherheitsprinzipien erläutert, einschließlich verwalteter Identitäten, geheimer Schlüsselverwaltung und Tokenspeicher, wobei bewährte Methoden bereitgestellt werden, mit denen Sie sichere und skalierbare Anwendungen entwerfen können.

Verwaltete Identitäten

Verwaltete Identitäten vermeiden die Notwendigkeit, Anmeldeinformationen in Ihrem Code oder Ihrer Konfiguration zu speichern, indem eine automatisch verwaltete Identität in Microsoft Entra ID bereitgestellt wird. Container-Apps können diese Identitäten verwenden, um sich bei jedem Dienst zu authentifizieren, der die Microsoft Entra-Authentifizierung unterstützt, z. B. Azure Key Vault, Azure Storage oder Azure SQL-Datenbank.

Typen verwalteter Identitäten

Azure Container-Apps unterstützen zwei Arten von verwalteten Identitäten:

• Vom System zugewiesene Identität: Die vom System zugewiesene Identität wird automatisch erstellt und mit dem Lebenszyklus Ihrer Container-Anwendung verwaltet. Die Identität wird gelöscht, wenn Ihre App gelöscht wird.

• Vom Benutzer zugewiesene Identität: Unabhängig erstellt und kann mehreren Container-Apps zugewiesen werden, sodass die Identitätsfreigabe über Ressourcen hinweg möglich ist.

Sicherheitsvorteile von verwalteten Identitäten

• Beseitigt die Notwendigkeit, Zugangsdaten innerhalb Ihres Anwendungscodes zu verwalten und zu rotieren.
• Verringert das Risiko der Gefährdung von Anmeldeinformationen in Konfigurationsdateien.
• Bietet eine differenzierte Zugriffssteuerung über Azure RBAC
• Unterstützt das Prinzip der geringsten Berechtigungen, indem nur erforderliche Berechtigungen gewährt werden

Wann jeder Identitätstyp verwendet werden soll

• Verwenden Sie vom System zugewiesene Identitäten für Workloads, die:

  • Sind in einer einzelnen Ressource enthalten
  • Unabhängige Identitäten benötigen

• Verwenden Sie vom Benutzer zugewiesene Identitäten für Workloads, die:

  • Über mehrere Ressourcen hinweg agieren, die eine gemeinsame Identität teilen
  • Vorautorisierung erforderlich, um Ressourcen zu sichern

Verwaltete Identität für Image-Pulls

Ein gängiges Sicherheitsmuster verwendet verwaltete Identitäten, um Bilder aus privaten Repositorys in der Azure-Containerregistrierung abzurufen. Dieser Ansatz:

• Verwenden Sie keine Administrator-Zugangsdaten für die Registrierung.
• Bietet eine differenzierte Zugriffssteuerung über die ACRPull-Rolle
• Unterstützt sowohl vom System zugewiesene als auch vom Benutzer zugewiesene Identitäten
• Kann gesteuert werden, um den Zugriff auf bestimmte Container einzuschränken.

Weitere Informationen finden Sie unter Verwaltete Identitäten und Image-Zugriff aus der Azure-Containerregistrierung mit verwalteter Identität, um weitere Details zum Einrichten einer verwalteten Identität für Ihre Anwendung zu erhalten.

Geheimnisverwaltung

Azure Container-Apps bieten integrierte Mechanismen zum sicheren Speichern und Zugreifen auf vertrauliche Konfigurationswerte wie Verbindungszeichenfolgen, API-Schlüssel und Zertifikate.

Wichtige Sicherheitsmerkmale für Geheimnisse

• Geheimnisisolation: Geheimnisse sind auf eine Anwendungsebene festgelegt und von bestimmten Versionen isoliert.
• Verweise auf Umgebungsvariablen: Verfügbarmachen von Geheimnissen für Container als Umgebungsvariablen.
• Volume mounts: Geheimnisse als Dateien innerhalb von Containern einbinden.
• Key Vault-Integration: Referenzschlüssel, die in Azure Key Vault gespeichert sind.

Bewährte Sicherheitspraktiken für vertrauliche Informationen

• Vermeiden Sie das direkte Speichern von geheimen Schlüsseln in Container-Apps für Produktionsumgebungen.
• Verwenden Sie die Azure Key Vault-Integration für die zentrale geheime Verwaltung.
• Implementieren Sie beim Gewähren des Zugriffs auf geheime Schlüssel die geringsten Berechtigungen.
• Verwenden Sie geheime Verweise in Umgebungsvariablen anstelle von hartcodierenden Werten.
• Verwenden Sie Volume-Mounts, um bei Bedarf auf Geheimnisse als Dateien zuzugreifen.
• Implementieren Sie die richtigen geheimen Rotationspraktiken.

Weitere Informationen finden Sie unter Importieren von Zertifikaten aus Azure Key Vault , um weitere Informationen zum Einrichten der Geheimschlüsselverwaltung für Ihre Anwendung zu erhalten.

Tokenspeicher für sichere Authentifizierung

Das Tokenspeicherfeature bietet eine sichere Möglichkeit, Authentifizierungstoken unabhängig von Ihrem Anwendungscode zu verwalten.

Funktionsweise des Tokenspeichers

• Token werden in Azure Blob Storage getrennt von Ihrem Anwendungscode gespeichert.
• Nur der zugeordnete Benutzer kann auf zwischengespeicherte Token zugreifen.
• Container-Apps behandeln automatisch die Token-Aktualisierung.
• Dieses Feature reduziert die Angriffsfläche, indem benutzerdefinierter Tokenverwaltungscode eliminiert wird.

Weitere Informationen finden Sie unter Aktivieren eines Authentifizierungstokenspeichers , um weitere Informationen zum Einrichten eines Tokenspeichers für Ihre Anwendung zu erhalten.

Netzwerksicherheit

Durch die Implementierung geeigneter Netzwerksicherheitsmaßnahmen können Sie Ihre Workloads vor unbefugtem Zugriff und potenziellen Bedrohungen schützen. Es ermöglicht auch die sichere Kommunikation zwischen Ihren Apps und anderen Diensten.

Weitere Informationen zur Netzwerksicherheit in Azure-Container-Apps finden Sie in den folgenden Artikeln:

• Konfigurieren des WAF-Anwendungsgateways
• Benutzerdefinierte Routen aktivieren (UDR)
• Regelbasiertes Routing
  • Verwenden des regelbasierten Routings
  • Konfigurieren einer benutzerdefinierten Domäne
  • Sichern eines benutzerdefinierten VNET mit einem NSG
  • Verwenden eines privaten Endpunkts
  • Verwenden von mTLS
  • Integration mit Azure Front Door

Vertrauliches Berechnen (Vorschau)

Azure-Container-Apps enthalten ein vertrauliches Rechnerleistungsprofil (öffentliche Vorschau), das containerisierte Workloads in hardwarebasierten, vertrauenswürdigen Ausführungsumgebungen (Trusted Execution Environments, TEEs) ausführt. Confidential Computing ergänzt Verschlüsselung ruhender Daten und die Datenverschlüsselung während der Übertragung in Azure durch den Schutz von Daten, die verwendet werden, indem vor der Ausführung des Codes der Speicher verschlüsselt und die Umgebung bestätigt wird. Diese Funktion trägt dazu bei, das Risiko eines nicht autorisierten Zugriffs auf vertrauliche Workloads zu verringern, einschließlich des Zugriffs von Cloudbetreibern.

Verwenden Sie das Profil für vertrauliche Rechenlasten, wenn Ihre Anwendungen regulierte oder hochsensible Daten verarbeiten und bescheinigung-basierte Zusicherungen erfordern. Die Vorschau ist in den VEREINIGTEN Arabischen Emiraten Nord verfügbar. Eine Übersicht über die Plattformfunktionen finden Sie unter Azure Confidential Computing.