Zusammenfassung
Die Sicherheitsüberprüfung von Contoso Retail hat drei Containersicherheitslücken identifiziert– eine Registrierung mit freigegebenen Administratoranmeldeinformationen, Containerarbeitslasten, die geheime Schlüssel als Nur-Text-Umgebungsvariablen übergeben, und eine Container-Apps-Umgebung mit uneingeschränktem öffentlichen Eingang für jeden Dienst. Dieses Modul hat jede Lücke mit demselben Satz von Steuerelementen geschlossen, die auf alle drei Azure Containerdienstebenen angewendet werden.
Was Sie erreicht haben
Sie haben Azure Container Registry gesichert, indem Sie das Administratorkonto deaktivieren und durch RBAC-Rollenzuweisungen ersetzen, die auf bestimmte Identitäten und Vorgänge festgelegt sind. Entwickler und Pipelines authentifizieren sich jetzt mit Microsoft Entra ID Identitäten, und jede Registrierungsaktion ist auf einen bestimmten Benutzer oder eine bestimmte Workload zurückzuführen. Scope-Map-Token gewährten CI/CD-Pipelines die Mindestberechtigungen, die für ihr jeweiliges Repository erforderlich waren, ohne Zugriff auf den Rest der Registry zu gewähren. Private Endpoints haben den öffentlichen Netzwerkzugriff auf die Registry unterbunden, und Content Trust hat die Anforderung festgelegt, dass Images kryptografisch signiert sein müssen, bevor sie in der Registry gespeichert werden können.
Für Azure Container Instances haben Sie containergruppen verwaltete Identitäten zugewiesen und Nur-Text-Umgebungsvariablen durch Key Vault geheime Verweise ersetzt, die von der verwalteten Identität zur Laufzeit abgerufen werden. Das Bereitstellungsmanifest enthält keine vertraulichen Werte mehr, und die geheimen Werte sind in Azure Portalmetadaten oder API-Antworten nicht sichtbar. Container werden jetzt in einem virtuellen Netzwerk mit privaten IP-Adressen ausgeführt, funktionieren als nichtroot-Benutzer und verwenden schreibgeschützte Stammdateisysteme.
In Azure Container Apps haben Sie Dienste umgebungsübergreifend nach Vertrauensstufen getrennt, verwaltete Identitäten zum Abrufen von Images und für den Zugriff auf Key Vault zugewiesen und internen Eingangsverkehr konfiguriert, um Back-End-APIs aus dem öffentlichen Internet herauszuhalten. Key Vault-Verweise ersetzten Geheimnisse auf Umgebungsebene für Verbindungszeichenfolgen und Anmeldeinformationen. Für Dienste, die Dapr verwenden, verschlüsselte automatische gegenseitige TLS die gesamte Dienst-zu-Dienst-Kommunikation ohne Zertifikatverwaltung oder Anwendungscodeänderungen.