Einführung

  • 2 Minuten

Azure Containerdienste bieten Entwicklungsteams die Möglichkeit, Anwendungen in isolierten, tragbaren Umgebungen zu erstellen, zu speichern und auszuführen. Containerregistrierungen enthalten die Images, von denen Workloads abhängen, Containerinstanzen führen diese Images als kurzlebige oder lange ausgeführte Aufträge aus, und Container-App-Umgebungen bieten eine verwaltete Plattform für Microservices im großen Maßstab. Jede Ebene führt einen unterschiedlichen Satz von Sicherheitssteuerelementen ein, die absichtlich konfiguriert werden müssen – Containerdienste sind standardmäßig nicht sicher.

Contoso Retail führt einen erheblichen Teil seiner E-Commerce-Plattform auf Azure Containerdiensten aus, und eine kürzlich durchgeführte Sicherheitsüberprüfung hat drei Lücken aufgedeckt. Die Containerregistrierung basiert auf ihrem integrierten Administratorkonto für die Authentifizierung. Dieses Konto gibt jedem Entwickler und jeder Pipeline dieselbe Gruppe von Anmeldeinformationen mit vollständigem Registrierungszugriff, und keine einzelne Aktion kann auf eine bestimmte Identität zurückverfolgt werden. Die Container Instance-Workloads, die Inventardaten verwalten, übergeben Datenbank-Verbindungszeichenfolgen als Klartext-Umgebungsvariablen in ARM-Vorlagen, die in die Quellcodeverwaltung eingecheckt wurden, wodurch alle Geheimnisse für jeden sichtbar sind, der Zugriff auf das Repository hat. Und die Container-Apps-Umgebung, die kundenorientierte APIs bereitstellt, hat für jeden Dienst einen externen Eingang aktiviert, einschließlich interner Back-End-Dienste, die niemals über das öffentliche Internet erreichbar sein sollten.

Diese drei Lücken folgen demselben Muster: Standardzugriff auf Anmeldeinformationen, nurtext-Geheimverarbeitung und uneingeschränkte Netzwerkexposition. Die Steuerelemente zum Schließen folgen einem übereinstimmenden Muster: Standardanmeldeinformationen deaktivieren, verwaltete Identitäten für die Authentifizierung verwenden, Netzwerkisolation anwenden und geheime Schlüssel in Azure Key Vault speichern.

In diesem Modul werden alle drei Ebenen behandelt. Sie implementieren RBAC, private Endpunkte und Content Trust für Azure Container Registry, verwenden verwaltete Identitäten und die Integration in virtuelle Netzwerke für Azure Container Instances und konfigurieren Ingresssteuerungen, verwaltete Identitäten und die Key Vault-basierte Verwaltung von Geheimnissen für Azure Container Apps-Umgebungen.

Lernziele

Nach Abschluss dieses Moduls werden Sie zu Folgendem in der Lage sein:

  • Implementieren von Zugriffssteuerungen und Netzwerkisolation für Azure Container Registry
  • Konfigurieren von Sicherheitssteuerelementen für Azure Container Instances Workloads
  • Wenden Sie Eingangskontrollen, verwaltete Identitäten und Geheimnisverwaltung für Azure Container Apps an