Visão geral da segurança nos Aplicativos de Contêiner do Azure

As Aplicações de Contentor do Azure fornecem várias funcionalidades de segurança incorporadas que o ajudam a criar aplicações em contentores seguras. Este guia explora os principais princípios de segurança, incluindo identidades gerenciadas, gerenciamento de segredos e armazenamento de tokens, ao mesmo tempo em que fornece práticas recomendadas para ajudá-lo a projetar aplicativos seguros e escaláveis.

Identidades gerenciadas

As identidades gerenciadas eliminam a necessidade de armazenar credenciais em seu código ou configuração, fornecendo uma identidade gerenciada automaticamente no ID do Microsoft Entra. Os aplicativos de contêiner podem usar essas identidades para autenticar em qualquer serviço que ofereça suporte à autenticação do Microsoft Entra, como o Cofre da Chave do Azure, o Armazenamento do Azure ou o Banco de Dados SQL do Azure.

Tipos de identidades geridas

Os Aplicativos de Contêiner do Azure dão suporte a dois tipos de identidades gerenciadas:

• Identidade atribuída ao sistema: criada e gerenciada automaticamente com o ciclo de vida do seu aplicativo de contêiner. A identidade é excluída quando seu aplicativo é excluído.

• Identidade atribuída pelo usuário: criada independentemente e pode ser atribuída a vários aplicativos de contêiner, permitindo o compartilhamento de identidade entre recursos.

Benefícios de segurança de identidades gerenciadas

• Elimina a necessidade de gerir e rodar credenciais no código da aplicação
• Reduz o risco de exposição de credenciais em arquivos de configuração
• Fornece controle de acesso refinado por meio do RBAC do Azure
• Suporta o princípio do menor privilégio concedendo apenas as permissões necessárias

Quando usar cada tipo de identidade

• Use identidades atribuídas pelo sistema para cargas de trabalho que:

  • Estão contidos em um único recurso
  • Precisa de identidades independentes

• Use identidades atribuídas pelo usuário para cargas de trabalho que:

  • Executar em vários recursos que compartilham a mesma identidade
  • Precisa de pré-autorização para proteger recursos

Identidade gerenciada para extrações de imagem

Um padrão de segurança comum é usar identidades gerenciadas para extrair imagens de repositórios privados no Registro de Contêiner do Azure. Esta abordagem:

• Evita o uso de credenciais administrativas para o registro
• Fornece controle de acesso refinado por meio da função ACRPull
• Suporta identidades atribuídas pelo sistema e pelo usuário
• Pode ser controlado para limitar o acesso a contentores específicos

Para obter mais informações, consulte Identidades gerenciadas e Extração de imagem do Registro de Contêiner do Azure com identidade gerenciada para obter mais detalhes sobre como configurar identidades gerenciadas para seu aplicativo.

Gestão de segredos

Os Aplicativos de Contêiner do Azure fornecem mecanismos internos para armazenar e acessar com segurança valores de configuração confidenciais, como cadeias de conexão, chaves de API e certificados.

Principais elementos de segurança para segredos

• Isolamento Secreto: Os segredos têm um âmbito ao nível da aplicação, isolados de revisões específicas
• Referências de variáveis de ambiente: Exponha segredos a contêineres como variáveis de ambiente
• Montagens de volume: Monte segredos como arquivos dentro de contêineres
• Integração do Cofre da Chave: segredos de referência armazenados no Cofre da Chave do Azure

Práticas recomendadas de segurança para segredos

• Evite armazenar segredos diretamente em aplicativos de contêiner para ambientes de produção
• Usar a integração do Cofre de Chaves do Azure para gerenciamento centralizado de segredos
• Implementar privilégios mínimos ao conceder acesso a segredos
• Use referências secretas em variáveis de ambiente em vez de valores de codificação rígida
• Use montagem de volume para aceder a segredos como ficheiros quando apropriado
• Implementar práticas adequadas de rotação secreta

Para obter mais informações, consulte Importar certificados do Cofre de Chaves do Azure para obter mais detalhes sobre como configurar o gerenciamento de segredos para seu aplicativo.

Armazenamento de tokens para autenticação segura

O recurso de armazenamento de tokens fornece uma maneira segura de gerenciar tokens de autenticação independentemente do código do aplicativo.

Como funciona a loja de tokens

• Os tokens são armazenados no Armazenamento de Blobs do Azure, separados do código do aplicativo
• Os tokens armazenados em cache só são acessíveis ao usuário associado
• Container Apps lida com a atualização de token automaticamente
• O recurso reduz a superfície de ataque, eliminando o código de gerenciamento de token personalizado

Para obter mais informações, consulte Habilitar um armazenamento de token de autenticação para obter mais detalhes sobre como configurar um armazenamento de token para seu aplicativo.

Segurança de rede

A implementação de medidas de segurança de rede adequadas ajuda a proteger suas cargas de trabalho contra acesso não autorizado e ameaças potenciais, permitindo a comunicação segura entre seus aplicativos e outros serviços.

Para obter mais informações sobre segurança de rede em Aplicativos de Contêiner do Azure, consulte os seguintes artigos:

• Configurar o gateway de aplicativo WAF
• Habilitar rotas definidas pelo usuário (UDR)
• Roteamento baseado em regras
  • Usar roteamento baseado em regras
  • Configurar um domínio personalizado
  • Protegendo uma VNET personalizada com um NSG
  • Usar um ponto de extremidade privado
  • Usar mTLS
  • Integração com o Azure Front Door