Resumen

Completado

La revisión de seguridad de Contoso Retail identificó tres deficiencias de seguridad en contenedores: un registro de contenedores que usa credenciales de administrador compartidas, cargas de trabajo en contenedores que transmiten secretos como variables de entorno en texto sin formato y un entorno de Container Apps con acceso público entrante sin restricciones en todos los servicios. Este módulo cerró cada brecha con el mismo conjunto de controles que se aplican en los tres niveles de servicio de contenedor de Azure.

Lo que ha logrado

Ha protegido Azure Container Registry deshabilitando la cuenta de administrador y sustituyéndola por asignaciones de roles de RBAC delimitadas a identidades y operaciones específicas. Los desarrolladores y las canalizaciones ahora se autentican con identidades de Microsoft Entra ID, y cada acción del registro puede atribuirse a un usuario o a una carga de trabajo específicos. Los tokens con ámbito definido otorgaron a las canalizaciones de CI/CD los permisos mínimos necesarios para cada repositorio concreto, sin conceder acceso al resto del registro. Los puntos de conexión privados eliminaron el acceso público al registro, y la confianza del contenido estableció que las imágenes deben estar firmadas criptográficamente antes de poder almacenarse en él.

En Azure Container Instances, asignó identidades administradas a grupos de contenedores y reemplazó las variables de entorno de texto sin formato por referencias a secretos de Key Vault que la identidad administrada recupera en tiempo de ejecución. El manifiesto de implementación ya no contiene valores confidenciales y los valores secretos no son visibles en Azure metadatos del portal ni respuestas de API. Los contenedores ahora se ejecutan en una red virtual con direcciones IP privadas, se ejecutan sin privilegios de root y utilizan sistemas de archivos raíz en modo de solo lectura.

En Azure Container Apps, separó los servicios por nivel de confianza en distintos entornos, asignó identidades administradas para la extracción de imágenes y el acceso a Key Vault, y configuró el ingreso interno para mantener las API de backend fuera de la Internet pública. Las referencias de Key Vault reemplazaron los secretos del entorno para las cadenas de conexión y las credenciales. Para los servicios que usan Dapr, el TLS mutuo automático cifraba toda la comunicación entre servicios sin necesidad de gestionar certificados ni de modificar el código de la aplicación.

Aprende más