Omówienie zabezpieczeń Azure Container Apps

Usługa Azure Container Apps udostępnia kilka wbudowanych funkcji zabezpieczeń, które ułatwiają tworzenie bezpiecznych konteneryzowanych aplikacji. W tym przewodniku omówiono kluczowe zasady zabezpieczeń, w tym tożsamości zarządzane, zarządzanie wpisami tajnymi i magazyn tokenów, zapewniając jednocześnie najlepsze rozwiązania ułatwiające projektowanie bezpiecznych i skalowalnych aplikacji.

Tożsamości zarządzane

Tożsamości zarządzane eliminują konieczność przechowywania poświadczeń w kodzie lub konfiguracji, zapewniając automatycznie zarządzaną tożsamość w usłudze Microsoft Entra ID. Aplikacje kontenerów mogą używać tych tożsamości do uwierzytelniania w dowolnej usłudze obsługującej uwierzytelnianie firmy Microsoft Entra, takie jak Azure Key Vault, Azure Storage lub Azure SQL Database.

Zarządzane typy tożsamości

Usługa Azure Container Apps obsługuje dwa typy tożsamości zarządzanych:

• Tożsamość przypisana przez system: Tworzona i zarządzana automatycznie w cyklu życia aplikacji kontenerowej. Tożsamość jest usuwana po usunięciu aplikacji.

• Tożsamość przypisana przez użytkownika: utworzona niezależnie i może być przypisana do wielu aplikacji kontenerów, co umożliwia udostępnianie tożsamości między zasobami.

Korzyści zabezpieczeń tożsamości zarządzanych w Azure Container Apps

• Eliminuje konieczność zarządzania poświadczeniami i obracania ich w kodzie aplikacji
• Zmniejsza ryzyko ujawnienia poświadczeń w plikach konfiguracji
• Zapewnia szczegółową kontrolę dostępu za pośrednictwem mechanizmu RBAC platformy Azure
• Obsługuje zasadę najniższych uprawnień, udzielając tylko niezbędnych uprawnień

Wybieranie między tożsamościami przypisanymi przez system i przypisanymi przez użytkownika

• Użyj tożsamości przypisanych przez system dla obciążeń, które:

  • Są zawarte w jednym zasobie
  • Potrzebna jest niezależna tożsamość

• Użyj tożsamości przypisanych przez użytkownika dla obciążeń, które:

  • Działanie w wielu zasobach dzielących jedną tożsamość
  • Potrzeba wstępnego uwierzytelniania w celu zabezpieczenia zasobów

Tożsamość zarządzana na potrzeby ściągania obrazów

Typowy wzorzec zabezpieczeń używa tożsamości zarządzanych do ściągania obrazów z repozytoriów prywatnych w usłudze Azure Container Registry. Takie podejście:

• Unika używania poświadczeń administracyjnych dla rejestru
• Zapewnia szczegółową kontrolę dostępu za pośrednictwem roli ACRPull
• Obsługuje tożsamości przypisane przez system i przypisane przez użytkownika
• Można kontrolować, aby ograniczyć dostęp do określonych kontenerów

Aby uzyskać więcej informacji, zobacz Tożsamości zarządzane i ściąganie obrazu z usługi Azure Container Registry z tożsamością zarządzaną, aby dowiedzieć się, jak skonfigurować tożsamość zarządzaną dla swojej aplikacji.

Zarządzanie tajemnicami

Usługa Azure Container Apps udostępnia wbudowane mechanizmy bezpiecznego przechowywania poufnych wartości konfiguracji, takich jak parametry połączenia, klucze interfejsu API i certyfikaty.

Kluczowe funkcje zarządzania sekretami

• Izolacja sekretów: Ogranicz sekrety do poziomu aplikacji i odizoluj je od konkretnych wersji.
• Odwołania do zmiennych środowiskowych: Uwidaczniaj tajne dane w kontenerach jako zmienne środowiskowe.
• Montowanie woluminów: montowanie wpisów tajnych jako plików w kontenerach.
• Integracja z usługą Key Vault: Odwoływanie się do sekretów przechowywanych w usłudze Azure Key Vault.

Najlepsze praktyki zarządzania sekretami

• Unikaj przechowywania tajemnic bezpośrednio w „Container Apps” w środowiskach produkcyjnych.
• Integracja z Azure Key Vault umożliwia scentralizowane zarządzanie tajemnicami.
• Implementowanie zasady najmniejszych uprawnień podczas udzielania dostępu do tajemnic.
• Używaj sekretnych referencji w zmiennych środowiskowych zamiast wartości zakodowane na stałe.
• Użyj instalacji woluminów, aby uzyskać dostęp do wpisów tajnych jako plików, jeśli jest to konieczne.
• Zastosuj odpowiednie praktyki rotacji sekretów.

Aby uzyskać więcej informacji, zobacz Importowanie certyfikatów z usługi Azure Key Vault, aby dowiedzieć się, jak skonfigurować zarządzanie wpisami tajnymi dla aplikacji.

Magazyn tokenów na potrzeby zabezpieczeń uwierzytelniania

Funkcja magazynu tokenów zapewnia bezpieczny sposób zarządzania tokenami uwierzytelniania niezależnie od kodu aplikacji.

Jak działa magazyn tokenów uwierzytelniania

• System przechowuje tokeny w Azure Blob Storage, zachowując je oddzielnie od kodu aplikacji.
• Tylko skojarzony użytkownik może uzyskiwać dostęp do buforowanych tokenów.
• Usługa Container Apps automatycznie obsługuje odświeżanie tokenu.
• Ta funkcja zmniejsza obszar ataków, eliminując niestandardowy kod zarządzania tokenami.

Aby uzyskać więcej informacji, zobacz Włączanie magazynu tokenów uwierzytelniania , aby uzyskać więcej informacji na temat konfigurowania magazynu tokenów dla aplikacji.

Bezpieczeństwo sieci

Zaimplementowanie odpowiednich środków zabezpieczeń sieci pomaga chronić obciążenia przed nieautoryzowanym dostępem i potencjalnymi zagrożeniami. Umożliwia również bezpieczną komunikację między aplikacjami i innymi usługami.

Aby uzyskać więcej informacji na temat zabezpieczeń sieci w usłudze Azure Container Apps, zobacz następujące artykuły:

• Konfigurowanie zapory aplikacji internetowej (WAF) Application Gateway
• Włączanie tras zdefiniowanych przez użytkownika (UDR)
• Routing oparty na regułach
  • Korzystanie z routingu opartego na regułach
  • Konfigurowanie domeny niestandardowej
  • Zabezpieczanie niestandardowej sieci wirtualnej za pomocą sieciowej grupy zabezpieczeń
  • Korzystanie z prywatnego punktu końcowego
  • Użyj mTLS
  • Integracja z usługą Azure Front Door

Poufne obliczenia

Azure Container Apps zawiera poufny profil obciążenia obliczeniowego, który uruchamia konteneryzowane obciążenia wewnątrz opartych na sprzęcie zaufanych środowisk wykonywania (TEE). Przetwarzanie poufne uzupełnia szyfrowanie platformy Azure danych przechowywanych i przesyłanych, chroniąc dane podczas użycia za pomocą szyfrowania pamięci i poświadczenia środowiska przed wykonaniem kodu. Ta funkcja pomaga zmniejszyć ryzyko nieautoryzowanego dostępu do wrażliwych obciążeń, w tym dostępu od operatorów chmury.

Użyj poufnego profilu obciążenia obliczeniowego, gdy aplikacje przetwarzają dane regulowane lub wysoce poufne i wymagają zaświadczeń opartych na zabezpieczeniach. Aby uzyskać informacje o obsługiwanych regionach i możliwościach platformy, zobacz Poufne przetwarzanie danych na platformie Azure.

Aby uzyskać szczegółowe informacje dotyczące konfiguracji, zobacz Poufne przetwarzanie w usłudze Azure Container Apps.

Microsoft Defender dla Chmury — poziom zabezpieczeń kontenerów bezserwerowych (wersja zapoznawcza)

Microsoft Defender dla Chmury zawiera w usłudze CSPM funkcje zarządzania stanem zabezpieczeń kontenerów bezserwerowych dla usługi Azure Container Apps. Te możliwości zapewniają spis, oceny stanu i analizę ścieżki ataku dla obciążeń Azure Container Apps, dzięki czemu zespoły ds. zabezpieczeń mogą identyfikować i ustalać priorytety zagrożeń w środowisku aplikacji kontenera. Aby uzyskać wskazówki dotyczące wdrażania i szczegółowe informacje o funkcjach, zobacz Ochrona bezserwerowa.