Share via

Azure Container Registry ograniczanie eksfiltracji danych za pomocą dedykowanych punktów końcowych danych

  • Artykuł

Azure Container Registry wprowadza dedykowane punkty końcowe danych. Ta funkcja umożliwia ściśle ograniczone zakresy reguł zapory klienta do określonych rejestrów, minimalizując obawy dotyczące eksfiltracji danych.

Funkcja dedykowanych punktów końcowych danych jest dostępna w warstwie usługi Premium . Aby uzyskać informacje o cenach, zobacz container-registry-pricing (Cennik usługi Container-registry).

Ściąganie zawartości z rejestru obejmuje dwa punkty końcowe:

Punkt końcowy rejestru, często określany jako adres URL logowania, używany do uwierzytelniania i odnajdywania zawartości. Polecenie takie jak docker pulls contoso.azurecr.io/hello-world wysyła żądanie REST, które uwierzytelnia i negocjuje warstwy reprezentujące żądany artefakt. Punkty końcowe danych obsługują obiekty blob reprezentujące warstwy zawartości.

Diagram przedstawiający punkty końcowe.

Konta magazynu zarządzanego w rejestrze

Azure Container Registry jest usługą wielodostępną. Usługa rejestru zarządza kontami magazynu punktu końcowego danych. Korzyści wynikające z kont magazynu zarządzanego obejmują równoważenie obciążenia, kontrowersyjne dzielenie zawartości, wiele kopii na potrzeby dostarczania wyższej współbieżnej zawartości oraz obsługę wielu regionów dzięki replikacji geograficznej.

Obsługa sieci wirtualnej Azure Private Link umożliwia korzystanie z prywatnych punktów końcowych usługi rejestru zarządzanego z sieci wirtualnych platformy Azure. W takim przypadku zarówno rejestr, jak i punkty końcowe danych są dostępne z poziomu sieci wirtualnej przy użyciu prywatnych adresów IP.

Gdy zarówno usługa rejestru zarządzanego, jak i konta magazynu są zabezpieczone w celu uzyskania dostępu z sieci wirtualnej, publiczne punkty końcowe zostaną usunięte.

Diagram przedstawiający obsługę sieci wirtualnej.

Niestety połączenie sieci wirtualnej nie zawsze jest opcją.

Ważne

Azure Private Link to najbezpieczniejszy sposób kontrolowania dostępu sieciowego między klientami i rejestrem, ponieważ ruch sieciowy jest ograniczony do usługi Azure Virtual Network przy użyciu prywatnych adresów IP. Jeśli Private Link nie jest opcją, dedykowane punkty końcowe danych mogą zapewnić bezpieczną wiedzę na temat zasobów dostępnych dla każdego klienta.

Reguły zapory klienta i ryzyko eksfiltracji danych

Reguły zapory klienta ograniczają dostęp do określonych zasobów. Reguły zapory mają zastosowanie podczas nawiązywania połączenia z rejestrem z hostów lokalnych, urządzeń IoT i niestandardowych agentów kompilacji. Reguły są również stosowane, gdy obsługa Private Link nie jest dostępna.

Diagram przedstawiający reguły zapory klienta.

Gdy klienci zablokowali konfiguracje zapory klienta, zdali sobie sprawę, że muszą utworzyć regułę z symbolem wieloznacznymi dla wszystkich kont magazynu, co budzi obawy dotyczące eksfiltracji danych. Nieprawidłowy aktor może wdrożyć kod, który mógłby zapisywać na koncie magazynu.

Diagram przedstawiający ryzyko eksfiltracji danych klienta.

Aby rozwiązać problemy z eksfiltracją danych, Azure Container Registry udostępnia dedykowane punkty końcowe danych.

Dedykowane punkty końcowe danych

Dedykowane punkty końcowe danych ułatwiają pobieranie warstw z usługi Azure Container Registry z w pełni kwalifikowanymi nazwami domen reprezentującymi domenę rejestru.

Ponieważ każdy rejestr może stać się replikowany geograficznie, używany jest wzorzec regionalny: [registry].[region].data.azurecr.io.

W przykładzie firmy Contoso dodano wiele regionalnych punktów końcowych danych obsługujących region lokalny z repliką w pobliżu.

W przypadku dedykowanych punktów końcowych danych nieprawidłowy aktor nie może zapisywać danych na innych kontach magazynu.

Diagram przedstawiający przykład contoso z dedykowanymi punktami końcowymi danych.

Włączanie dedykowanych punktów końcowych danych

Uwaga

Przełączenie do dedykowanych punktów końcowych danych będzie miało wpływ na klientów, którzy skonfigurowali dostęp zapory do istniejących *.blob.core.windows.net punktów końcowych, powodując błędy ściągania. Aby zapewnić klientom spójny dostęp, dodaj nowe punkty końcowe danych do reguł zapory klienta. Po zakończeniu istniejące rejestry mogą włączyć dedykowane punkty końcowe danych za pomocą polecenia az cli.

Aby użyć kroków interfejsu wiersza polecenia platformy Azure w tym artykule, wymagany jest interfejs wiersza polecenia platformy Azure w wersji 2.4.0 lub nowszej. Jeśli musisz zainstalować lub uaktualnić, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure lub uruchamianie w usłudze Azure Cloud Shell.

  • Uruchom polecenie az acr update , aby włączyć dedykowany punkt końcowy danych.
az acr update --name contoso --data-endpoint-enabled
  • Uruchom polecenie az acr show , aby wyświetlić punkty końcowe danych, w tym regionalne punkty końcowe dla rejestrów replikowanych geograficznie.
az acr show-endpoints --name contoso

Przykładowe dane wyjściowe:

{
  "loginServer": "contoso.azurecr.io",
  "dataEndpoints": [
    {
      "region": "eastus",
      "endpoint": "contoso.eastus.data.azurecr.io",
    },
    {
     "region": "westus",
      "endpoint": "contoso.westus.data.azurecr.io",
    }
  ]
}

Następne kroki