Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Container Apps menyediakan beberapa fitur keamanan bawaan yang membantu Anda membangun aplikasi kontainer yang aman. Panduan ini mengeksplorasi prinsip keamanan utama, termasuk identitas terkelola, manajemen rahasia, dan penyimpanan token, sambil memberikan praktik terbaik untuk membantu Anda merancang aplikasi yang aman dan dapat diskalakan.
Identitas yang dikelola
Identitas terkelola menghilangkan kebutuhan untuk menyimpan kredensial dalam kode atau konfigurasi Anda dengan memberikan identitas yang dikelola secara otomatis di ID Microsoft Entra. Aplikasi kontainer dapat menggunakan identitas ini untuk mengautentikasi ke layanan apa pun yang mendukung autentikasi Microsoft Entra, seperti Azure Key Vault, Azure Storage, atau Azure SQL Database.
Jenis identitas terkelola
Azure Container Apps mendukung dua jenis identitas terkelola:
Identitas yang ditetapkan sistem: Dibuat dan dikelola secara otomatis dengan siklus hidup aplikasi kontainer Anda. Identitas dihapus saat aplikasi Anda dihapus.
Identitas yang ditetapkan pengguna: Dibuat secara independen dan dapat ditetapkan ke beberapa aplikasi kontainer, memungkinkan berbagi identitas di seluruh sumber daya.
Manfaat keamanan identitas terkelola
- Menghilangkan kebutuhan untuk mengelola dan memutar kredensial dalam kode aplikasi Anda
- Mengurangi risiko paparan kredensial dalam file konfigurasi
- Menyediakan kontrol akses terperinci melalui Azure RBAC
- Mendukung prinsip hak istimewa paling sedikit dengan hanya memberikan izin yang diperlukan
Kapan menggunakan setiap jenis identitas
Gunakan identitas yang ditetapkan sistem untuk beban kerja yang:
- Terkandung dalam satu sumber daya
- Membutuhkan identitas independen
Gunakan identitas yang ditetapkan pengguna untuk beban kerja yang:
- Dijalankan pada berbagai sumber daya yang berbagi satu identitas
- Perlu praotorisasi untuk mengamankan sumber daya
Identitas terkelola untuk penarikan gambar
Pola keamanan umum menggunakan identitas terkelola untuk menarik gambar dari repositori privat di Azure Container Registry. Pendekatan ini:
- Menghindari penggunaan kredensial administratif untuk registri
- Menyediakan kontrol akses terperinci melalui peran ACRPull
- Mendukung identitas yang ditetapkan sistem dan ditetapkan pengguna
- Dapat dikontrol untuk membatasi akses ke kontainer tertentu
Untuk informasi selengkapnya, lihat Identitas terkelola dan Penarikan gambar dari Azure Container Registry dengan identitas terkelola untuk detail selengkapnya tentang cara menyiapkan identitas terkelola untuk aplikasi Anda.
Manajemen rahasia
Azure Container Apps menyediakan mekanisme bawaan untuk menyimpan dan mengakses nilai konfigurasi sensitif dengan aman seperti string koneksi, kunci API, dan sertifikat.
Fitur keamanan utama untuk rahasia
- Isolasi rahasia: Rahasia tercakup pada tingkat aplikasi dan diisolasi dari revisi spesifik.
- Referensi variabel lingkungan: Mengekspos rahasia ke kontainer sebagai variabel lingkungan.
- Pemasangan volume: Pasang rahasia sebagai file dalam kontainer.
- Integrasi Key Vault: Rahasia referensi yang disimpan di Azure Key Vault.
Praktik perlindungan terbaik untuk keamanan informasi rahasia
- Hindari menyimpan rahasia langsung di Container Apps untuk lingkungan produksi.
- Gunakan integrasi Azure Key Vault untuk manajemen rahasia terpusat.
- Terapkan hak istimewa paling sedikit saat memberikan akses ke rahasia.
- Gunakan referensi rahasia dalam variabel lingkungan alih-alih nilai yang dikodekan langsung.
- Gunakan pemasangan volume untuk mengakses rahasia sebagai file jika sesuai.
- Menerapkan praktik rotasi rahasia yang tepat.
Untuk informasi selengkapnya, lihat Mengimpor sertifikat dari Azure Key Vault untuk detail selengkapnya tentang cara menyiapkan manajemen rahasia untuk aplikasi Anda.
Penyimpanan token untuk autentikasi aman
Fitur penyimpanan token menyediakan cara yang aman untuk mengelola token autentikasi yang independen dari kode aplikasi Anda.
Cara kerja penyimpanan token
- Token disimpan di Azure Blob Storage, terpisah dari kode aplikasi Anda
- Hanya pengguna terkait yang dapat mengakses token yang di-cache.
- Container Apps secara otomatis menangani refresh token.
- Fitur ini mengurangi permukaan serangan dengan menghilangkan kode manajemen token kustom.
Untuk informasi selengkapnya, lihat Mengaktifkan penyimpanan token autentikasi untuk detail selengkapnya tentang cara menyiapkan penyimpanan token untuk aplikasi Anda.
Keamanan jaringan
Menerapkan langkah-langkah keamanan jaringan yang tepat membantu melindungi beban kerja Anda dari akses yang tidak sah dan potensi ancaman. Ini juga memungkinkan komunikasi yang aman antara aplikasi Anda dan layanan lainnya.
Untuk informasi selengkapnya tentang keamanan jaringan di Azure Container Apps, lihat artikel berikut ini:
- Mengonfigurasi Gerbang Aplikasi WAF
- Aktifkan Rute yang Ditentukan Pengguna (UDR)
- Perutean berbasis aturan
Komputasi rahasia (Pratinjau)
Azure Container Apps menyertakan profil beban kerja komputasi rahasia (pratinjau publik) yang menjalankan beban kerja kontainer di dalam Trusted Execution Environments (TEEs) berbasis perangkat keras. Komputasi rahasia melengkapi enkripsi Azure saat tidak aktif dan saat transit dengan melindungi data yang digunakan dengan mengenkripsi memori dan membuktikan lingkungan sebelum kode dijalankan. Kemampuan ini membantu mengurangi risiko akses tidak sah ke beban kerja sensitif, termasuk akses dari operator cloud.
Gunakan profil beban kerja komputasi rahasia saat aplikasi Anda memproses data yang diatur atau sangat sensitif dan memerlukan jaminan berbasis pengesahan. Pratinjau tersedia di UAE Utara. Untuk gambaran umum kemampuan platform, lihat Komputasi rahasia Azure.