Az Azure Container Apps biztonsági áttekintése

Az Azure Container Apps számos beépített biztonsági funkciót biztosít, amelyek segítenek biztonságos tárolóalapú alkalmazások létrehozásában. Ez az útmutató bemutatja a legfontosabb biztonsági alapelveket, többek között a felügyelt identitásokat, a titkos kulcsok kezelését és a jogkivonatok tárolását, miközben ajánlott eljárásokat biztosít a biztonságos és méretezhető alkalmazások tervezéséhez.

Felügyelt identitások

A felügyelt identitások kiküszöbölik a hitelesítő adatok kódban vagy konfigurációban való tárolásának szükségességét azáltal, hogy automatikusan felügyelt identitást biztosítanak a Microsoft Entra-azonosítóban. A tárolóalkalmazások ezeket az identitásokat használhatják a Microsoft Entra-hitelesítést támogató bármely szolgáltatásban, például az Azure Key Vaultban, az Azure Storage-ban vagy az Azure SQL Database-ben történő hitelesítéshez.

Felügyelt identitástípusok

Az Azure Container Apps kétféle felügyelt identitást támogat:

• Rendszer által hozzárendelt identitás: Automatikusan létrejön és felügyelhető a tárolóalkalmazás életciklusával. Az identitás az alkalmazás törlésekor törlődik.

• Felhasználó által hozzárendelt identitás: Önállóan hozható létre, és több tárolóalkalmazáshoz is hozzárendelhető, így lehetővé teszi az erőforrások közötti identitásmegosztást.

A felügyelt identitások biztonsági előnyei a Azure Container Apps

• Szükségtelenné teszi a hitelesítő adatok kezelését és elforgatását az alkalmazáskódban
• Csökkenti a hitelesítő adatok expozíciójának kockázatát a konfigurációs fájlokban
• Részletes hozzáférés-vezérlést biztosít az Azure RBAC-vel
• Támogatja a minimális jogosultság elvét úgy, hogy csak a szükséges engedélyeket adja meg

Választás a rendszer által hozzárendelt és a felhasználó által hozzárendelt identitások között

• Rendszer által hozzárendelt identitások használata olyan számítási feladatokhoz, amelyek:

  • Egyetlen erőforrásban vannak tárolva
  • Független identitások szükségesek

• Felhasználó által hozzárendelt identitások használata olyan számítási feladatokhoz, amelyek:

  • Több olyan erőforráson keresztül, amelyek egy közös identitással rendelkeznek.
  • Előhitelesítésre van szükség az erőforrások védelméhez

Felügyelt identitás rendszerképek lekéréséhez

Gyakori biztonsági minta a felügyelt identitások használata képek lekérésére az Azure Container Registry privát adattáraiból. Ez a megközelítés:

• Elkerüli a regisztrációs adatbázis rendszergazdai hitelesítő adatainak használatát
• Részletes hozzáférés-vezérlést biztosít az ACRPull szerepkörön keresztül
• Támogatja a rendszer által hozzárendelt és a felhasználó által hozzárendelt identitásokat is
• Szabályozható az adott tárolókhoz való hozzáférés korlátozása

További információ: Felügyelt identitások és rendszerkép lekérése az Azure Container Registryből felügyelt identitással . További információ a felügyelt identitások alkalmazáshoz való beállításáról.

Titkos kódok kezelése

Az Azure Container Apps beépített mechanizmusokat biztosít a bizalmas konfigurációs értékek, például kapcsolati sztringek, API-kulcsok és tanúsítványok biztonságos tárolására és elérésére.

Titkok legfontosabb biztonsági funkciói

• Titkos kulcsok elkülönítése: A titkos kulcsokat korlátozza alkalmazásszintre, és különítse el őket az egyes verzióktól.
• Környezeti változók hivatkozásai: Titkos kulcsok elérhetővé tehetők a tárolók számára környezeti változókként.
• Kötet felcsatolása: A titkos adatok csatlakoztatása tárolókon belüli fájlokként.
• Key Vault-integráció: Az Azure Key Vaultban tárolt titkos kulcsok hivatkozása.

Ajánlott biztonsági eljárások titkos kódokhoz

• Ne tároljon titkos adatokat közvetlenül a Container Apps alkalmazásaiban éles környezetekben.
• Az Azure Key Vault-integrációval központosított titkos kulcskezelést használhat.
• A titkos kódokhoz való hozzáférés biztosításakor a legkisebb jogosultság implementálása.
• Használjon titkos hivatkozásokat a környezeti változókban a kemény kódolású értékek helyett.
• Ha megfelelő, használjon kötetcsatolásokat, hogy titkokhoz fájlként hozzáférjen.
• Valósítsa meg a titkos kulcsok megfelelő rotálási eljárásait.

További információkért lásd: Tanúsítványok importálása az Azure Key Vaultból, amely bemutatja, hogyan állíthatja be a titokkezelést az alkalmazásához.

Tokentároló a biztonságos azonosításhoz

A jogkivonat-tároló funkció biztonságos módot biztosít a hitelesítési jogkivonatok alkalmazáskódtól független kezelésére.

A hitelesítési jogkivonat-tároló működése

• A rendszer a tokeneket az Azure Blob Storage-ban tárolja, és elkülöníti őket az alkalmazás kódjától.
• Csak a társított felhasználó férhet hozzá a gyorsítótárazott jogkivonatokhoz.
• A Container Apps automatikusan kezeli a jogkivonatok frissítését.
• Ez a funkció az egyéni tokenkezelési kód eltávolításával csökkenti a támadási felületet.

További információért tekintse meg a Hitelesítési jogkivonat-tároló engedélyezése részt, ahol további részleteket talál az alkalmazás jogkivonattárolójának beállításáról.

Hálózati biztonság

A megfelelő hálózati biztonsági intézkedések alkalmazása segít megvédeni a számítási feladatokat a jogosulatlan hozzáféréstől és a potenciális fenyegetésektől. Emellett biztonságos kommunikációt tesz lehetővé az alkalmazások és más szolgáltatások között.

Az Azure Container Apps hálózati biztonságával kapcsolatos további információkért tekintse meg az alábbi cikkeket:

• WAF Application Gateway konfigurálása
• Felhasználó által megadott útvonalak engedélyezése (UDR)
• Szabályalapú útválasztás
  • Szabályalapú útválasztás használata
  • Egyéni tartomány konfigurálása
  • Egyéni virtuális hálózat védelme NSG-vel
  • Privát végpont használata
  • mTLS használata
  • Integrálás az Azure Front Doorral

Bizalmas számítás

Azure Container Apps tartalmaz egy bizalmas számítási feladatprofilt, amely tárolóalapú számítási feladatokat futtat hardveralapú megbízható végrehajtási környezetekben (TEE-kben). A bizalmas számítástechnika kiegészíti Azure inaktív és átvitel alatt lévő titkosítást azáltal, hogy a kód végrehajtása előtt memóriatitkosítással és környezetigazolással védi a használatban lévő adatokat. Ez a funkció segít csökkenteni a bizalmas számítási feladatokhoz való jogosulatlan hozzáférés kockázatát, beleértve a felhőszolgáltatók hozzáférését is.

A bizalmas számítási feladatok profilját akkor használja, amikor az alkalmazások szabályozott vagy rendkívül bizalmas adatokat dolgoznak fel, és igazolásalapú biztosítékokat igényelnek. A támogatott régiók és platformképességek áttekintése: Azure bizalmas számítástechnika.

A konfiguráció részleteit lásd: Bizalmas számítás az Azure Container Appsben.

Microsoft Defender for Cloud kiszolgáló nélküli tárolók állapota (előzetes verzió)

A Microsoft Defender for Cloud az Azure Container Appshez készült kiszolgáló nélküli tárolók biztonságihelyzet-kezelési képességeit is tartalmazza a CSPM-ben. Ezek a képességek leltározási, helyzetértékelési és támadási útvonalelemzést biztosítanak Azure Container Apps számítási feladatokhoz, hogy a biztonsági csapatok azonosíthassák és rangsorolhassák a kockázatokat a tárolóalkalmazások környezetében. Az előkészítési útmutatót és a funkciók részleteit a Kiszolgáló nélküli védelem című témakörben találja.