Beveiligingsoverzicht in Azure Container Apps

Azure Container Apps biedt verschillende ingebouwde beveiligingsfuncties waarmee u beveiligde toepassingen in containers kunt bouwen. In deze handleiding worden de belangrijkste beveiligingsprincipes besproken, waaronder beheerde identiteiten, geheimenbeheer en tokenopslag, en worden aanbevolen procedures geboden om veilige en schaalbare toepassingen te ontwerpen.

Beheerde identiteiten

Beheerde identiteiten elimineren de noodzaak om referenties op te slaan in uw code of configuratie door een automatisch beheerde identiteit op te geven in Microsoft Entra-id. Container-apps kunnen deze identiteiten gebruiken om te verifiëren bij elke service die ondersteuning biedt voor Microsoft Entra-verificatie, zoals Azure Key Vault, Azure Storage of Azure SQL Database.

Typen beheerde identiteiten

Azure Container Apps ondersteunt twee typen beheerde identiteiten:

Door het systeem toegewezen identiteit: automatisch gemaakt en beheerd met de levenscyclus van uw container-app. De identiteit wordt verwijderd wanneer uw app wordt verwijderd.
Door de gebruiker toegewezen identiteit: onafhankelijk gemaakt en kan worden toegewezen aan meerdere container-apps, waardoor identiteitsdeling tussen resources mogelijk is.

Beveiligingsvoordelen van beheerde identiteiten

Elimineert de noodzaak om referenties in uw toepassingscode te beheren en te roteren
Verkleint het risico van blootstelling van toegangsgegevens in configuratiebestanden
Biedt gedetailleerd toegangsbeheer via Azure RBAC
Ondersteunt het principe van minimale bevoegdheid door alleen noodzakelijke machtigingen te verlenen

Wanneer moet u elk identiteitstype gebruiken

Door het systeem toegewezen identiteiten gebruiken voor workloads die:
- Zijn opgenomen in één resource
- Onafhankelijke identiteiten nodig
Door de gebruiker toegewezen identiteiten gebruiken voor workloads die:
- Wijdverspreid over meerdere resources die een enkele identiteit delen
- Vereist toestemming vooraf om middelen te beveiligen

Beheerde identiteit voor het ophalen van afbeeldingen

Een veelvoorkomend beveiligingspatroon is het gebruik van beheerde identiteiten om containerafbeeldingen op te halen uit privérepositories in Azure Container Registry. Deze aanpak:

Vermijd het gebruik van beheerdersreferenties voor het register
Biedt fijnmazig toegangsbeheer via de ACRPull-rol
Ondersteunt zowel door het systeem toegewezen als door de gebruiker toegewezen identiteiten
Kan worden beheerd om de toegang tot specifieke containers te beperken

Raadpleeg Beheerde identiteiten en afbeelding ophalen uit Azure Container Registry met beheerde identiteit voor details over het opzetten van een beheerde identiteit voor uw toepassing.

Geheimenbeheer

Azure Container Apps biedt ingebouwde mechanismen voor het veilig opslaan en openen van gevoelige configuratiewaarden, zoals verbindingsreeksen, API-sleutels en certificaten.

Belangrijke beveiligingsfuncties voor geheimen

Isolatie van geheimen: Geheimen zijn op toepassingsniveau begrensd en geïsoleerd van specifieke revisies.
Verwijzingen naar omgevingsvariabelen: geheimen beschikbaar maken voor containers als omgevingsvariabelen.
Volumekoppelingen: Voeg secrets toe als bestanden in containers.
Key Vault-integratie: Referentiegeheimen die zijn opgeslagen in Azure Key Vault.

Aanbevolen beveiligingsprocedures voor geheimen

Vermijd het rechtstreeks opslaan van geheimen in Container Apps voor productieomgevingen.
Azure Key Vault-integratie gebruiken voor gecentraliseerd geheimbeheer.
Implementeer minimale bevoegdheden bij het verlenen van toegang tot geheimen.
Gebruik geheime verwijzingen in omgevingsvariabelen in plaats van hardcoderingswaarden.
Gebruik volumekoppelingen om toegang te krijgen tot gevoelige gegevens als bestanden, indien van toepassing.
Implementeer de juiste procedures voor het rouleren van geheimen.

Zie Certificaten importeren uit Azure Key Vault voor meer informatie over het instellen van geheimenbeheer voor uw toepassing voor meer informatie.

Tokenarchief voor beveiligde verificatie

De functie tokenarchief biedt een veilige manier om verificatietokens onafhankelijk van uw toepassingscode te beheren.

Hoe de tokenopslag werkt

Tokens worden opgeslagen in Azure Blob Storage, gescheiden van uw toepassingscode
Alleen de gekoppelde gebruiker heeft toegang tot tokens in de cache.
Container Apps verwerkt automatisch het vernieuwen van tokens.
Deze functie vermindert het kwetsbaarheid voor aanvallen door aangepaste tokenbeheercode te elimineren.

Zie Een verificatietokenarchief inschakelen voor informatie over het instellen van een tokenarchief voor uw toepassing.

Netwerkbeveiliging

Door de juiste netwerkbeveiligingsmaatregelen te implementeren, kunt u uw workloads beschermen tegen onbevoegde toegang en mogelijke bedreigingen. Het maakt ook beveiligde communicatie mogelijk tussen uw apps en andere services.

Zie de volgende artikelen voor meer informatie over netwerkbeveiliging in Azure Container Apps:

Confidential Compute (preview)

Azure Container Apps bevat een profiel voor vertrouwelijke rekentaken (openbare preview) waarmee gecontaineriseerde workloads worden uitgevoerd binnen hardwaregebaseerde Vertrouwde Uitvoeringsomgevingen (TEE's). Confidential Computing vormt een aanvulling op Azure-versleuteling in rust en in transit door gegevens in gebruik te beveiligen door geheugen te versleutelen en de omgeving te bevestigen voordat code wordt uitgevoerd. Deze mogelijkheid helpt het risico op onbevoegde toegang tot gevoelige workloads te verminderen, inclusief toegang van cloudoperators.

Gebruik het profiel voor vertrouwelijke rekenworkloads wanneer uw toepassingen gereguleerde of zeer gevoelige gegevens verwerken en op attestation gebaseerde garanties vereisen. De preview is beschikbaar in UAE - noord. Zie Azure Confidential Computing voor een overzicht van de platformmogelijkheden.

Feedback

Is deze pagina nuttig?

Last updated on 2025-11-19