Editar

Partilhar via

Implante o AKS e o Gerenciamento de API com mTLS

Microsoft Entra ID
Azure Kubernetes Service (AKS)
Azure API Management
Azure Container Registry
Microsoft Defender for Cloud

Ideias de soluções

Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe com os requisitos específicos da sua carga de trabalho.

Esta solução demonstra como integrar o Serviço Kubernetes do Azure (AKS) e o Gerenciamento de API do Azure por meio de TLS mútuo (mTLS) em uma arquitetura que fornece criptografia de ponta a ponta.

Arquitetura

Diagrama que mostra uma arquitetura para integrar AKS e API Management via mTLS.

Transfira um ficheiro do Visio desta arquitetura.

Fluxo de dados

  1. Um usuário faz uma solicitação para o ponto de extremidade do aplicativo a partir da Internet.
  2. O Gateway de Aplicativo do Azure recebe tráfego como HTTPS e apresenta um certificado PFX carregado anteriormente do Cofre de Chaves do Azure para o usuário.
  3. O Application Gateway usa chaves privadas para descriptografar o tráfego (descarregamento de SSL), executa inspeções de firewall de aplicativos da Web e criptografa novamente o tráfego usando chaves públicas (criptografia de ponta a ponta).
  4. O Application Gateway aplica regras e configurações de back-end com base no pool de back-end e envia tráfego para o pool de back-end de Gerenciamento de API por HTTPS.
  5. O Gerenciamento de API é implantado no modo de rede virtual interna (somente camada Developer ou Premium) com um endereço IP privado. Ele recebe tráfego como HTTPS com certificados PFX de domínio personalizados.
  6. O Microsoft Entra ID fornece autenticação e aplica políticas de Gerenciamento de API via OAuth e validação de certificado de cliente. Para receber e verificar certificados de cliente por HTTP/2 no Gerenciamento de API, você precisa habilitar Negociar certificado de cliente na folha Domínios personalizados no Gerenciamento de API.
  7. O Gerenciamento de API envia tráfego via HTTPS para um controlador de entrada para um cluster privado do AKS.
  8. O controlador de entrada AKS recebe o tráfego HTTPS e verifica o certificado do servidor PEM e a chave privada. A maioria dos controladores de entrada de nível empresarial suporta mTLS. Exemplos incluem NGINX e AGIC.
  9. O controlador de entrada processa segredos TLS (Segredos do Kubernetes) usando cert.pem e key.pem. O controlador de entrada descriptografa o tráfego usando uma chave privada (descarregada). Para um gerenciamento de segredos de segurança aprimorado baseado em requisitos, a integração do driver CSI com o AKS está disponível.
  10. O controlador de entrada criptografa novamente o tráfego usando chaves privadas e envia tráfego por HTTPS para pods AKS. Dependendo dos seus requisitos, você pode configurar a entrada do AKS como backend ou passagem HTTPS.

Componentes

  • Gateway de Aplicação. O Application Gateway é um balanceador de carga de tráfego da Web que você pode usar para gerenciar o tráfego para aplicativos da Web.
  • AKS. O AKS fornece clusters Kubernetes totalmente gerenciados para implantação, dimensionamento e gerenciamento de aplicativos em contêineres.
  • Azure Container Registry. O Registro de Contêiner é um serviço de registro do Docker gerenciado e privado no Azure. Você pode usar o Registro de Contêiner para armazenar imagens privadas do Docker, que são implantadas no cluster.
  • ID do Microsoft Entra. Quando o AKS é integrado ao Microsoft Entra ID, você pode usar usuários, grupos ou entidades de serviço do Microsoft Entra como assuntos no Kubernetes RBAC para gerenciar recursos do AKS.
    • Identidades gerenciadas. As identidades gerenciadas do Microsoft Entra eliminam a necessidade de gerenciar credenciais como certificados, segredos e chaves.
  • Base de Dados SQL do Azure. O Banco de dados SQL é um serviço de banco de dados relacional totalmente gerenciado e inteligente criado para a nuvem. Você pode usar o Banco de dados SQL para criar uma camada de armazenamento de dados de alta disponibilidade e alto desempenho para seus aplicativos de nuvem modernos.
  • Azure Cosmos DB. O Azure Cosmos DB é um serviço de banco de dados NoSQL totalmente gerenciado para criar e modernizar aplicativos escaláveis e de alto desempenho.
  • Gerenciamento de API. Você pode usar o Gerenciamento de API para publicar APIs para seus desenvolvedores, parceiros e funcionários.
  • Azure Private Link. O Private Link fornece acesso a serviços PaaS hospedados no Azure, para que você possa manter seus dados na rede da Microsoft.
  • Cofre da chave. O Cofre de Chaves pode fornecer segurança aprimorada para chaves e outros segredos.
  • Defender para Cloud. O Defender for Cloud é uma solução para gerenciamento de postura de segurança na nuvem e proteção da carga de trabalho na nuvem. Ele encontra pontos fracos em sua configuração de nuvem, ajuda a fortalecer a segurança de seu ambiente e pode proteger cargas de trabalho em ambientes híbridos e multinuvem contra ameaças em evolução.
  • Azure Monitor. Você pode usar o Monitor para coletar, analisar e agir em dados de telemetria de seus ambientes do Azure e locais. O Monitor ajuda a maximizar o desempenho e a disponibilidade de seus aplicativos e a identificar problemas proativamente.
    • Log Analytics. Você pode usar o Log Analytics para editar e executar consultas de log com dados nos logs do Azure Monitor.
    • Application Insights. O Application Insights é uma extensão do Azure Monitor. Ele fornece monitoramento de desempenho de aplicativos.
  • Microsoft Sentinel. O Microsoft Sentinel é uma plataforma de gerenciamento de eventos e informações de segurança nativa da nuvem que usa IA integrada para ajudá-lo a analisar grandes volumes de dados.
  • Azure Bastion. O Azure Bastion é um serviço totalmente gerenciado que fornece acesso RDP e SSH a VMs sem qualquer exposição por meio de endereços IP públicos. Você pode provisionar o serviço diretamente em sua rede virtual local ou emparelhada para obter suporte para todas as VMs nessa rede.
  • DNS Privado do Azure. Você pode usar o DNS privado para gerenciar e resolver nomes de domínio em uma rede virtual sem adicionar uma solução DNS personalizada.

Detalhes do cenário

Você pode usar essa solução para integrar AKS e Gerenciamento de API via mTLS em uma arquitetura que fornece criptografia de ponta a ponta.

Potenciais casos de utilização

  • Integração do AKS com API Management e Application Gateway, via mTLS.
  • MTLS de ponta a ponta entre o Gerenciamento de API e o AKS.
  • Implantações de alta segurança para organizações que precisam de TLS de ponta a ponta. Por exemplo, as organizações do setor financeiro podem beneficiar desta solução.

Você pode usar essa abordagem para gerenciar os seguintes cenários:

  • Implante o Gerenciamento de API no modo interno e exponha APIs usando o Application Gateway.
  • Configure mTLS e criptografia de ponta a ponta para alta segurança e tráfego por HTTPS.
  • Conecte-se aos serviços PaaS do Azure usando um ponto de extremidade privado de segurança aprimorada.
  • Implemente a segurança do Defender for Containers.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

Outros contribuidores:

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos