クラウド アプリケーションは、多くの場合、攻撃からアプリケーションを完全に保護するために、さまざまな層のセキュリティを備えています。 アプリケーションに最適なレイヤーを決定するには、次のリソースを確認します。
| リソース | 説明 |
|---|---|
| Container Apps のセキュリティ ベンチマーク | セキュリティ ベースラインには、Azure Container Apps 専用の Microsoft クラウド セキュリティ ベンチマークからの推奨事項が組み込まれています。 このベンチマークでは、定義済みのセキュリティ制御によって分類された Azure クラウド ソリューションのセキュリティ保護に関するガイダンスを提供します。 |
| クラウド セキュリティ ベンチマーク | Microsoft クラウド セキュリティ ベンチマーク (MCSB) には、Azure およびマルチクラウド環境でのセキュリティを強化するためのベスト プラクティスと推奨事項が用意されています。 |
| Azure ランディング ゾーンのセキュリティ | クラウド導入フレームワークには、セキュリティ プロセスとベスト プラクティスに関するガイダンスが用意されています。 NIST、The Open Group、Center for Internet Security (CIS) などの組織と共同で、このフレームワークを作成しています。 |
| 送信トラフィックの保護 | Azure Firewall でユーザー定義ルート (UDR) を使用し、Container Apps からバックエンドの Azure リソースまたはその他のネットワーク資産への送信トラフィックを制限できます。 |
推奨事項
外部要求を受け入れるか、内部要求のみにロックダウンするか、Container Apps 環境を構成できます。
ランディング ゾーン アクセラレータの推奨事項は次のとおりです。
内部環境を作成する: アプリケーションをパブリック Web に公開する場合は、Azure Application Gateway または Azure Front Door を使用して、きめ細かいセキュリティ制御を行うことができます。
送信トラフィックをセキュリティで保護する: 送信トラフィックをセキュリティで保護するために、ハブ ネットワークにデプロイされている Azure Firewall を通過するように送信トラフィックに指示するルート テーブルを構成できます。
ログ セキュリティ関連のアクティビティ: 監視ツールや Log Analytics を幅広く活用して、機密性の高いアクションに関する情報を記録します。
セキュリティ プロファイル: コンテナー アプリをセキュリティで保護するための開始点として、Container Apps セキュリティ プロファイルを使用します。