Vue d’ensemble de la sécurité dans Azure Container Apps

Azure Container Apps fournit plusieurs fonctionnalités de sécurité intégrées qui vous aident à créer des applications conteneurisées sécurisées. Ce guide explore les principes de sécurité clés, notamment les identités managées, la gestion des secrets et le magasin de jetons, tout en fournissant des bonnes pratiques pour vous aider à concevoir des applications sécurisées et évolutives.

Identités managées

Les identités managées éliminent la nécessité de stocker les informations d’identification dans votre code ou configuration en fournissant une identité managée automatiquement dans l’ID Microsoft Entra. Les applications conteneur peuvent utiliser ces identités pour s’authentifier auprès de n’importe quel service prenant en charge l’authentification Microsoft Entra, telle qu’Azure Key Vault, Stockage Azure ou Azure SQL Database.

Types d'identités managées

Azure Container Apps prend en charge deux types d’identités managées :

• Identité affectée par le système : créée et gérée automatiquement avec le cycle de vie de votre application conteneur. L’identité est supprimée lorsque votre application est supprimée.

• Identité affectée par l’utilisateur : créée indépendamment et peut être affectée à plusieurs applications conteneur, ce qui permet le partage d’identité entre les ressources.

Avantages de sécurité des identités managées

• Élimine la nécessité de gérer et de faire pivoter les informations d’identification dans votre code d’application
• Réduit le risque d’exposition des informations d’identification dans les fichiers de configuration
• Fournit un contrôle d’accès affiné via Azure RBAC
• Prend en charge le principe du privilège minimum en accordant uniquement les autorisations nécessaires

Quand utiliser chaque type d’identité

• Utilisez des identités affectées par le système pour les charges de travail qui :

  • Sont contenus dans une seule ressource
  • Besoin d’identités indépendantes

• Utilisez des identités affectées par l’utilisateur pour les charges de travail qui :

  • Exécuter sur plusieurs ressources qui partagent une identité unique
  • Besoin d’une pré-authentification pour sécuriser les ressources

Identité gérée pour le téléchargement d’images

Un modèle de sécurité courant utilise des identités managées pour extraire des images à partir de dépôts privés dans Azure Container Registry. Cette approche a les caractéristiques suivantes :

• Évite d’utiliser des informations d’identification administratives pour le Registre
• Fournit un contrôle d’accès affiné via le rôle ACRPull
• Prend en charge les identités attribuées par le système et par l'utilisateur
• Peut être contrôlé pour limiter l’accès à des conteneurs spécifiques

Pour en savoir plus sur la configuration d'une identité managée pour votre application, consultez Identités managées et Extraire une image depuis Azure Container Registry avec une identité managée.

Gestion des secrets

Azure Container Apps fournit des mécanismes intégrés pour stocker et accéder en toute sécurité aux valeurs de configuration sensibles telles que les chaînes de connexion, les clés API et les certificats.

Fonctionnalités de sécurité clés pour les secrets

• Isolation des secrets : les secrets sont limités à un niveau d’application et isolés des révisions spécifiques.
• Références de variables d'environnement : exposez les secrets aux conteneurs en tant que variables d'environnement.
• Montages de volume : monter les secrets sous forme de fichiers dans des conteneurs.
• Intégration de Key Vault : référencer les secrets stockés dans Azure Key Vault.

Meilleures pratiques de sécurité pour les secrets

• Évitez de stocker des secrets directement dans Container Apps pour les environnements de production.
• Utilisez l’intégration d’Azure Key Vault pour la gestion centralisée des secrets.
• Implémentez le privilège minimum lors de l’octroi de l’accès aux secrets.
• Utilisez des références secrètes dans des variables d’environnement au lieu de valeurs de codage en dur.
• Utilisez des montages de volume pour accéder aux secrets en tant que fichiers le cas échéant.
• Implémentez les bonnes pratiques de rotation des secrets.

Pour plus d’informations, consultez Importer des certificats à partir d’Azure Key Vault pour plus d’informations sur la configuration de la gestion des secrets pour votre application.

Magasin de jetons pour l’authentification sécurisée

La fonctionnalité de magasin de jetons offre un moyen sécurisé de gérer les jetons d’authentification indépendamment de votre code d’application.

Fonctionnement du magasin de jetons

• Les jetons sont stockés dans stockage Blob Azure, distincts de votre code d’application
• Seul l’utilisateur associé peut accéder aux jetons mis en cache.
• Container Apps gère automatiquement l’actualisation des jetons.
• Cette fonctionnalité réduit la surface d’attaque en éliminant le code de gestion des jetons personnalisé.

Pour plus d’informations, consultez Activer un magasin de jetons d’authentification pour plus d’informations sur la configuration d’un magasin de jetons pour votre application.

Sécurité réseau

L’implémentation de mesures de sécurité réseau appropriées permet de protéger vos charges de travail contre l’accès non autorisé et les menaces potentielles. Il permet également une communication sécurisée entre vos applications et d’autres services.

Pour plus d’informations sur la sécurité réseau dans Azure Container Apps, consultez les articles suivants :

• Configurer WAF Application Gateway
• Activer les itinéraires définis par l’utilisateur (UDR)
• Routage basé sur des règles
  • Utiliser le routage basé sur des règles
  • Configurer un domaine personnalisé
  • Sécurisation d’un réseau virtuel personnalisé avec un groupe de sécurité réseau
  • Utiliser un point de terminaison privé
  • Utiliser mTLS
  • Intégrer à Azure Front Door

Calcul confidentiel (Aperçu)

Azure Container Apps inclut un profil de charge de travail de calcul confidentiel (préversion publique) qui exécute des charges de travail conteneurisées dans des environnements d’exécution approuvés basés sur le matériel (TEE). L’informatique confidentielle complète le chiffrement Azure au repos et en transit en protégeant les données utilisées en chiffrant la mémoire et en attestant l’environnement avant l’exécution du code. Cette fonctionnalité permet de réduire le risque d’accès non autorisé aux charges de travail sensibles, y compris l’accès à partir d’opérateurs cloud.

Utilisez le profil de charge de travail de calcul confidentiel lorsque vos applications traitent des données réglementées ou hautement sensibles et nécessitent des garanties basées sur l’attestation. La préversion est disponible dans la région Émirats arabes unis Nord. Pour obtenir une vue d’ensemble des fonctionnalités de la plateforme, consultez l’informatique confidentielle Azure.