Introduction
Azure servicios de contenedor ofrecen a los equipos de desarrollo la capacidad de compilar, almacenar y ejecutar aplicaciones en entornos aislados y portátiles. Los registros de contenedor contienen las imágenes de las que dependen las cargas de trabajo, las instancias de contenedor ejecutan esas imágenes como trabajos de corta duración o de larga duración, y los entornos de aplicaciones de contenedor proporcionan una plataforma administrada para microservicios a escala. Cada capa presenta un conjunto distinto de controles de seguridad que se deben configurar intencionadamente: los servicios de contenedor no son seguros de forma predeterminada.
Contoso Retail ejecuta una parte significativa de su plataforma de comercio electrónico en Azure servicios de contenedor y una revisión de seguridad reciente descubrió tres brechas. El registro de contenedor se basa en su cuenta de administrador integrada para la autenticación. Esa cuenta proporciona a todos los desarrolladores y canalizaciones el mismo conjunto de credenciales con acceso completo al registro y no se puede realizar un seguimiento de ninguna acción individual a una identidad específica. Las cargas de trabajo de Container Instances que administran los datos de inventario pasan cadenas de conexión de base de datos como variables de entorno de texto sin formato en plantillas de ARM activadas en el control de origen, lo que hace que todos los secretos sean visibles para cualquier persona con acceso al repositorio. Además, el entorno de Container Apps que atiende las API orientadas al cliente tiene habilitada la entrada externa para cada servicio, incluidos los servicios back-end internos que nunca deben ser accesibles desde la red pública de Internet.
Estas tres brechas siguen el mismo patrón: acceso a credenciales predeterminado, control de secretos de texto no cifrado y exposición de red sin restricciones. Los controles para cerrarlos siguen un patrón coincidente: deshabilite las credenciales predeterminadas, use identidades administradas para la autenticación, aplique el aislamiento de red y almacene secretos en Azure Key Vault.
Este módulo aborda las tres capas. Implementa RBAC, puntos de conexión privados y confianza del contenido para Azure Container Registry; aplica identidades administradas e integración con red virtual para Azure Container Instances; y configura controles de entrada, identidades administradas y administración de secretos basada en Key Vault para entornos de Azure Container Apps.
Objetivos de aprendizaje
Después de completar este módulo, podrá:
- Implementación de controles de acceso y aislamiento de red para Azure Container Registry
- Configuración de controles de seguridad para cargas de trabajo de Azure Container Instances
- Aplicación de controles de entrada, identidad administrada y administración de secretos para Azure Container Apps