Información general de seguridad para Azure Container Apps

Azure Container Apps proporciona varias características de seguridad integradas que le ayudan a crear aplicaciones en contenedores seguras. En esta guía se exploran los principios clave de seguridad, incluidas las identidades administradas, la administración de secretos y el almacén de tokens, a la vez que se proporcionan procedimientos recomendados para ayudarle a diseñar aplicaciones seguras y escalables.

Identidades administradas

Las identidades administradas eliminan la necesidad de almacenar credenciales en el código o la configuración proporcionando una identidad administrada automáticamente en microsoft Entra ID. Las aplicaciones de contenedor pueden usar estas identidades para autenticarse en cualquier servicio que admita la autenticación de Microsoft Entra, como Azure Key Vault, Azure Storage o Azure SQL Database.

Tipos de identidad administrada

Azure Container Apps admite dos tipos de identidades administradas:

• Identidad asignada por el sistema: se crea y administra automáticamente con el ciclo de vida de la aplicación contenedora. La identidad se elimina cuando se elimina la aplicación.

• Identidad asignada por el usuario: se crea de forma independiente y se puede asignar a varias aplicaciones de contenedor, lo que permite el uso compartido de identidades entre recursos.

Ventajas de seguridad de las identidades administradas en Azure Container Apps

• Elimina la necesidad de administrar y rotar las credenciales en el código de la aplicación.
• Reduce el riesgo de exposición de credenciales en archivos de configuración
• Proporciona un control de acceso específico a través de RBAC de Azure
• Admite el principio de privilegios mínimos al conceder solo los permisos necesarios.

Elegir entre identidades asignadas por el sistema y asignadas por el usuario

• Use identidades asignadas por el sistema para cargas de trabajo que:

  • Se incluyen dentro de un único recurso
  • Necesidad de identidades independientes

• Use identidades asignadas por el usuario para cargas de trabajo que:

  • Ejecutar en varios recursos que comparten una sola identidad
  • Necesidad de autenticación previa para proteger los recursos

Identidad administrada para las extracción de imágenes

Un patrón de seguridad común es usar identidades administradas para extraer imágenes de repositorios privados en Azure Container Registry. Este enfoque:

• Evita el uso de credenciales administrativas para el registro
• Proporciona un control de acceso específico a través del rol ACRPull
• Admite identidades asignadas por el sistema y asignadas por el usuario
• Se puede controlar para limitar el acceso a contenedores específicos

Para más información, consulte Identidades administradas e incorporación de imágenes de Azure Container Registry con identidad administrada para más información sobre cómo configurar una identidad administrada para la aplicación.

Administración de secretos

Azure Container Apps proporciona mecanismos integrados para almacenar y acceder de forma segura a valores de configuración confidenciales, como cadenas de conexión, claves de API y certificados.

Características de administración de secretos clave

• Aislamiento de secretos: Limite los secretos al nivel de la aplicación y aíslelos de revisiones específicas.
• Referencias a variables de entorno: exponer secretos a contenedores como variables de entorno.
• Montajes de volúmenes: montaje de secretos como archivos dentro de contenedores.
• Integración de Key Vault: secretos de referencia almacenados en Azure Key Vault.

Procedimientos recomendados para la administración de secretos

• Evite almacenar secretos directamente en Container Apps para entornos de producción.
• Use la integración de Azure Key Vault para la administración centralizada de secretos.
• Implemente privilegios mínimos al conceder acceso a secretos.
• Use referencias secretas en variables de entorno en lugar de valores de codificación rígida.
• Uso de montajes de volumen para acceder a secretos como archivos cuando corresponda.
• Implementación de prácticas de rotación de secretos adecuadas.

Para obtener más información, consulte Importar certificados de Azure Key Vault para obtener información sobre cómo configurar la administración de secretos para la aplicación.

Almacén de tokens para la seguridad de autenticación

La característica de almacén de tokens proporciona una manera segura de administrar los tokens de autenticación independientemente del código de la aplicación.

Funcionamiento del almacén de tokens de autenticación

• El sistema almacena tokens en Azure Blob Storage, lo que los mantiene separados del código de la aplicación.
• Solo el usuario asociado puede acceder a tokens almacenados en caché.
• Container Apps controla automáticamente la actualización del token.
• Esta característica reduce la superficie expuesta a ataques eliminando el código de administración de tokens personalizado.

Para más información, consulte Habilitación de un almacén de tokens de autenticación para obtener más información sobre cómo configurar un almacén de tokens para la aplicación.

Seguridad de red

La implementación de medidas de seguridad de red adecuadas ayuda a proteger las cargas de trabajo frente al acceso no autorizado y las posibles amenazas. También permite una comunicación segura entre las aplicaciones y otros servicios.

Para más información sobre la seguridad de red en Azure Container Apps, consulte los siguientes artículos:

• Configuración de WAF Application Gateway
• Habilitar rutas definidas por el usuario (UDR)
• Enrutamiento basado en reglas
  • Uso del enrutamiento basado en reglas
  • Configuración de un dominio personalizado
  • Protección de una VNET personalizada con un NSG
  • Uso de un punto de conexión privado
  • Uso de mTLS
  • Integración con Azure Front Door

Computación confidencial (versión preliminar)

Azure Container Apps incluye un perfil de carga de trabajo de proceso confidencial que ejecuta cargas de trabajo en contenedores dentro de entornos de ejecución de confianza (TEE) basados en hardware. La computación confidencial complementa el cifrado de Azure en reposo y en tránsito, protegiendo los datos en uso mediante el cifrado de memoria y la atestación del entorno antes de la ejecución del código. Esta funcionalidad ayuda a reducir el riesgo de acceso no autorizado a cargas de trabajo confidenciales, incluido el acceso desde operadores de nube.

Utilice el perfil de computación confidencial cuando sus aplicaciones procesen datos regulados o altamente confidenciales y requieran aseguramiento basado en atestación. Para obtener información general sobre las regiones admitidas y las funcionalidades de la plataforma, consulte Azure computación confidencial.

Para obtener más detalles de configuración, consulte Computación confidencial en Azure Container Apps.

Posición de seguridad de contenedores sin servidor de Microsoft Defender para la nube (versión preliminar)

Microsoft Defender para la nube incluye funcionalidades de posición de contenedores sin servidor en CSPM para Azure Container Apps. Estas funcionalidades proporcionan inventario, evaluaciones de postura y análisis de rutas de ataque para las cargas de trabajo de Azure Container Apps, de modo que los equipos de seguridad puedan identificar y priorizar los riesgos en su entorno de aplicaciones en contenedores. Para obtener instrucciones de incorporación y detalles de características, consulte Protección sin servidor.