Omówienie zabezpieczeń w usłudze Azure Container Apps

Usługa Azure Container Apps udostępnia kilka wbudowanych funkcji zabezpieczeń, które ułatwiają tworzenie bezpiecznych konteneryzowanych aplikacji. W tym przewodniku omówiono kluczowe zasady zabezpieczeń, w tym tożsamości zarządzane, zarządzanie wpisami tajnymi i magazyn tokenów, zapewniając jednocześnie najlepsze rozwiązania ułatwiające projektowanie bezpiecznych i skalowalnych aplikacji.

Tożsamości zarządzane

Tożsamości zarządzane eliminują konieczność przechowywania poświadczeń w kodzie lub konfiguracji, zapewniając automatycznie zarządzaną tożsamość w usłudze Microsoft Entra ID. Aplikacje kontenerów mogą używać tych tożsamości do uwierzytelniania w dowolnej usłudze obsługującej uwierzytelnianie firmy Microsoft Entra, takie jak Azure Key Vault, Azure Storage lub Azure SQL Database.

Typy tożsamości zarządzanych

Usługa Azure Container Apps obsługuje dwa typy tożsamości zarządzanych:

• Tożsamość przypisana przez system: Tworzona i zarządzana automatycznie w cyklu życia aplikacji kontenerowej. Tożsamość jest usuwana po usunięciu aplikacji.

• Tożsamość przypisana przez użytkownika: utworzona niezależnie i może być przypisana do wielu aplikacji kontenerów, co umożliwia udostępnianie tożsamości między zasobami.

Korzyści zabezpieczeń tożsamości zarządzanych

• Eliminuje konieczność zarządzania poświadczeniami i obracania ich w kodzie aplikacji
• Zmniejsza ryzyko ujawnienia poświadczeń w plikach konfiguracji
• Zapewnia szczegółową kontrolę dostępu za pośrednictwem mechanizmu RBAC platformy Azure
• Obsługuje zasadę najniższych uprawnień, udzielając tylko niezbędnych uprawnień

Kiedy należy używać każdego typu tożsamości

• Użyj tożsamości przypisanych przez system dla obciążeń, które:

  • Są zawarte w jednym zasobie
  • Potrzebna jest niezależna tożsamość

• Użyj tożsamości przypisanych przez użytkownika dla obciążeń, które:

  • Działanie w wielu zasobach dzielących jedną tożsamość
  • Potrzeba wstępnego uwierzytelniania w celu zabezpieczenia zasobów

Tożsamość zarządzana na potrzeby ściągania obrazów

Typowy wzorzec zabezpieczeń używa tożsamości zarządzanych do ściągania obrazów z repozytoriów prywatnych w usłudze Azure Container Registry. Takie podejście:

• Unika używania poświadczeń administracyjnych dla rejestru
• Zapewnia szczegółową kontrolę dostępu za pośrednictwem roli ACRPull
• Obsługuje tożsamości przypisane przez system i przypisane przez użytkownika
• Można kontrolować, aby ograniczyć dostęp do określonych kontenerów

Aby uzyskać więcej informacji, zobacz Tożsamości zarządzane i ściąganie obrazu z usługi Azure Container Registry z tożsamością zarządzaną, aby dowiedzieć się, jak skonfigurować tożsamość zarządzaną dla swojej aplikacji.

Zarządzanie tajemnicami

Usługa Azure Container Apps udostępnia wbudowane mechanizmy bezpiecznego przechowywania poufnych wartości konfiguracji, takich jak parametry połączenia, klucze interfejsu API i certyfikaty.

Kluczowe funkcje zabezpieczeń dla tajemnic

• Izolacja wpisów tajnych: wpisy tajne są ograniczone do poziomu aplikacji i odizolowane od określonych poprawek.
• Odwołania do zmiennych środowiskowych: Uwidaczniaj tajne dane w kontenerach jako zmienne środowiskowe.
• Montowanie woluminów: montowanie wpisów tajnych jako plików w kontenerach.
• Integracja z usługą Key Vault: Odwoływanie się do sekretów przechowywanych w usłudze Azure Key Vault.

Najlepsze praktyki zabezpieczeń dotyczące tajemnic

• Unikaj przechowywania tajemnic bezpośrednio w „Container Apps” w środowiskach produkcyjnych.
• Integracja z Azure Key Vault umożliwia scentralizowane zarządzanie tajemnicami.
• Implementowanie zasady najmniejszych uprawnień podczas udzielania dostępu do tajemnic.
• Używaj sekretnych referencji w zmiennych środowiskowych zamiast wartości zakodowane na stałe.
• Użyj instalacji woluminów, aby uzyskać dostęp do wpisów tajnych jako plików, jeśli jest to konieczne.
• Zastosuj odpowiednie praktyki rotacji sekretów.

Zobacz Importowanie certyfikatów z usługi Azure Key Vault, aby uzyskać więcej informacji na temat konfigurowania zarządzania tajemnicami dla aplikacji.

Magazyn tokenów na potrzeby bezpiecznego uwierzytelniania

Funkcja magazynu tokenów zapewnia bezpieczny sposób zarządzania tokenami uwierzytelniania niezależnie od kodu aplikacji.

Jak działa magazyn tokenów

• Tokeny są przechowywane w usłudze Azure Blob Storage, niezależnie od kodu aplikacji
• Tylko skojarzony użytkownik może uzyskiwać dostęp do buforowanych tokenów.
• Usługa Container Apps automatycznie obsługuje odświeżanie tokenu.
• Ta funkcja zmniejsza obszar ataków, eliminując niestandardowy kod zarządzania tokenami.

Aby uzyskać więcej informacji, zobacz Włączanie magazynu tokenów uwierzytelniania , aby uzyskać więcej informacji na temat konfigurowania magazynu tokenów dla aplikacji.

Bezpieczeństwo sieci

Zaimplementowanie odpowiednich środków zabezpieczeń sieci pomaga chronić obciążenia przed nieautoryzowanym dostępem i potencjalnymi zagrożeniami. Umożliwia również bezpieczną komunikację między aplikacjami i innymi usługami.

Aby uzyskać więcej informacji na temat zabezpieczeń sieci w usłudze Azure Container Apps, zobacz następujące artykuły:

• Konfigurowanie zapory aplikacji internetowej (WAF) Application Gateway
• Włączanie tras zdefiniowanych przez użytkownika (UDR)
• Routing oparty na regułach
  • Korzystanie z routingu opartego na regułach
  • Konfigurowanie domeny niestandardowej
  • Zabezpieczanie niestandardowej sieci wirtualnej za pomocą sieciowej grupy zabezpieczeń
  • Korzystanie z prywatnego punktu końcowego
  • Użyj mTLS
  • Integracja z usługą Azure Front Door

Poufne obliczenia (wersja zapoznawcza)

Usługa Azure Container Apps zawiera poufny profil obciążenia obliczeniowego (publiczna wersja zapoznawcza), który uruchamia konteneryzowane obciążenia wewnątrz opartych na sprzęcie zaufanych środowisk wykonywania (TEE). Poufne przetwarzanie uzupełnia szyfrowanie danych w spoczynku oraz w tranzycie poprzez ochronę danych w użyciu dzięki szyfrowaniu pamięci RAM i atestacji środowiska przed wykonaniem kodu. Ta funkcja pomaga zmniejszyć ryzyko nieautoryzowanego dostępu do wrażliwych obciążeń, w tym dostępu od operatorów chmury.

Użyj poufnego profilu obciążenia obliczeniowego, gdy aplikacje przetwarzają dane regulowane lub wysoce poufne i wymagają zaświadczeń opartych na zabezpieczeniach. Wersja zapoznawcza jest dostępna w północnej Części Zjednoczonego Emiratu Arabskiego. Aby zapoznać się z omówieniem możliwości platformy, zobacz Poufne przetwarzanie na platformie Azure.