Introducción a la seguridad en Azure Container Apps

Azure Container Apps proporciona varias características de seguridad integradas que le ayudan a crear aplicaciones en contenedores seguras. En esta guía se exploran los principios clave de seguridad, incluidas las identidades administradas, la administración de secretos y el almacén de tokens, a la vez que se proporcionan procedimientos recomendados para ayudarle a diseñar aplicaciones seguras y escalables.

Identidades administradas

Las identidades administradas eliminan la necesidad de almacenar credenciales en el código o la configuración proporcionando una identidad administrada automáticamente en microsoft Entra ID. Las aplicaciones de contenedor pueden usar estas identidades para autenticarse en cualquier servicio que admita la autenticación de Microsoft Entra, como Azure Key Vault, Azure Storage o Azure SQL Database.

Tipos de identidades administradas

Azure Container Apps admite dos tipos de identidades administradas:

• Identidad asignada por el sistema: se crea y administra automáticamente con el ciclo de vida de la aplicación contenedora. La identidad se elimina cuando se elimina la aplicación.

• Identidad asignada por el usuario: se crea de forma independiente y se puede asignar a varias aplicaciones de contenedor, lo que permite el uso compartido de identidades entre recursos.

Ventajas de seguridad de las identidades administradas

• Elimina la necesidad de administrar y rotar las credenciales en el código de la aplicación.
• Reduce el riesgo de exposición de credenciales en archivos de configuración
• Proporciona un control de acceso específico a través de RBAC de Azure
• Admite el principio de privilegios mínimos al conceder solo los permisos necesarios.

Cuándo usar cada tipo de identidad

• Use identidades asignadas por el sistema para cargas de trabajo que:

  • Se incluyen dentro de un único recurso
  • Necesidad de identidades independientes

• Use identidades asignadas por el usuario para cargas de trabajo que:

  • Ejecutar en varios recursos que comparten una sola identidad
  • Necesidad de autenticación previa para proteger los recursos

Identidad administrada para las extracción de imágenes

Un patrón de seguridad común es usar identidades administradas para extraer imágenes de repositorios privados en Azure Container Registry. Este enfoque:

• Evita el uso de credenciales administrativas para el registro
• Proporciona un control de acceso específico a través del rol ACRPull
• Admite identidades asignadas por el sistema y asignadas por el usuario
• Se puede controlar para limitar el acceso a contenedores específicos

Para más información, consulte Identidades administradas e incorporación de imágenes de Azure Container Registry con identidad administrada para más información sobre cómo configurar una identidad administrada para la aplicación.

Administración de secretos

Azure Container Apps proporciona mecanismos integrados para almacenar y acceder de forma segura a valores de configuración confidenciales, como cadenas de conexión, claves de API y certificados.

Características de seguridad clave para secretos

• Aislamiento de secretos: los secretos se limitan a un nivel de aplicación, aislado de revisiones específicas.
• Referencias a variables de entorno: exponer secretos a contenedores como variables de entorno
• Montajes de volúmenes: montaje de secretos como archivos dentro de contenedores
• Integración de Key Vault: secretos de referencia almacenados en Azure Key Vault

Procedimientos recomendados de seguridad para secretos

• Evite almacenar secretos directamente en Container Apps para entornos de producción.
• Uso de la integración de Azure Key Vault para la administración centralizada de secretos
• Implementar privilegios mínimos al conceder acceso a secretos
• Uso de referencias secretas en variables de entorno en lugar de valores de codificación rígida
• Uso de montajes de volumen para acceder a secretos como archivos cuando corresponda
• Implementación de prácticas de rotación de secretos adecuadas

Para más información, consulte Importación de certificados desde Azure Key Vault para más información sobre cómo configurar la administración de secretos para la aplicación.

Almacén de tokens para la autenticación segura

La característica de almacén de tokens proporciona una manera segura de administrar los tokens de autenticación independientemente del código de la aplicación.

Funcionamiento del almacén de tokens

• Los tokens se almacenan en Azure Blob Storage, independientes del código de la aplicación.
• Los tokens almacenados en caché solo son accesibles para el usuario asociado
• Container Apps controla automáticamente la actualización de tokens.
• La característica reduce la superficie expuesta a ataques eliminando el código de administración de tokens personalizado.

Para más información, consulte Habilitación de un almacén de tokens de autenticación para obtener más información sobre cómo configurar un almacén de tokens para la aplicación.

Seguridad de red

La implementación de medidas de seguridad de red adecuadas ayuda a proteger las cargas de trabajo contra el acceso no autorizado y las posibles amenazas, al tiempo que permite una comunicación segura entre las aplicaciones y otros servicios.

Para más información sobre la seguridad de red en Azure Container Apps, consulte los siguientes artículos:

• Configuración de WAF Application Gateway
• Habilitar rutas definidas por el usuario (UDR)
• Enrutamiento basado en reglas
  • Uso del enrutamiento basado en reglas
  • Configuración de un dominio personalizado
  • Protección de una VNET personalizada con un NSG
  • Uso de un punto de conexión privado
  • Uso de mTLS
  • Integración con Azure Front Door