Azure Container Registry atenuando a exfiltração de dados com pontos de extremidade de dados dedicados

Artigo
09/28/2024

O Registro de Contêiner do Azure apresenta pontos de extremidade de dados dedicados. O recurso permite regras de firewall de cliente com escopo restrito para registros específicos, minimizando as preocupações com a exfiltração de dados.

O recurso de pontos de extremidade de dados dedicados está disponível na camada de serviço Premium . Para obter informações sobre preços, consulte container-registry-pricing.

Extrair conteúdo de um registro envolve dois pontos de extremidade:

Ponto de extremidade do Registro, muitas vezes chamado de URL de login, usado para autenticação e descoberta de conteúdo. Um comando como docker pulls contoso.azurecr.io/hello-world faz uma solicitação REST, que autentica e negocia as camadas, que representam o artefato solicitado. Os pontos de extremidade de dados servem blobs que representam camadas de conteúdo.

Diagrama para ilustrar os pontos finais.

Contas de armazenamento gerenciado pelo Registro

O Registro de Contêiner do Azure é um serviço multilocatário. O serviço de registro gerencia as contas de armazenamento de ponto de extremidade de dados. Os benefícios das contas de armazenamento gerenciado incluem balanceamento de carga, divisão de conteúdo contencioso, várias cópias para maior entrega de conteúdo simultâneo e suporte a várias regiões com replicação geográfica.

Suporte de rede virtual do Azure Private Link

O suporte de rede virtual do Azure Private Link habilita os pontos de extremidade privados para o serviço de registro gerenciado das Redes Virtuais do Azure. Nesse caso, o registro e os pontos de extremidade de dados são acessíveis de dentro da rede virtual, usando IPs privados.

Depois que o serviço de registro gerenciado e as contas de armazenamento estiverem protegidos para acesso de dentro da rede virtual, os pontos de extremidade públicos serão removidos.

Diagrama para ilustrar o suporte de rede virtual.

Infelizmente, a conexão de rede virtual nem sempre é uma opção.

Importante

O Azure Private Link é a maneira mais segura de controlar o acesso à rede entre clientes e o Registro, pois o tráfego de rede é limitado à Rede Virtual do Azure, usando IPs privados. Quando o Private Link não é uma opção, os pontos de extremidade de dados dedicados podem fornecer conhecimento seguro sobre quais recursos são acessíveis a partir de cada cliente.

Regras de firewall do cliente e riscos de exfiltração de dados

As regras de firewall do cliente limitam o acesso a recursos específicos. As regras de firewall se aplicam ao se conectar a um registro de hosts locais, dispositivos IoT, agentes de compilação personalizados. As regras também se aplicam quando o suporte ao Private Link não é uma opção.

Diagrama para ilustrar as regras de firewall do cliente.

À medida que os clientes bloqueavam suas configurações de firewall do cliente, eles perceberam que deveriam criar uma regra com um curinga para todas as contas de armazenamento, levantando preocupações com a exfiltração de dados. Um agente mal-intencionado pode implantar um código que seria capaz de gravar em sua conta de armazenamento.

Diagrama para ilustrar os riscos de exfiltração de dados do cliente.

Portanto, para resolver as preocupações com a exfiltração de dados, o Registro de Contêiner do Azure está disponibilizando pontos de extremidade de dados dedicados.

Pontos finais de dados dedicados

Pontos de extremidade de dados dedicados ajudam a recuperar camadas do serviço Registro de Contêiner do Azure, com nomes de domínio totalmente qualificados representando o domínio do Registro.

Como qualquer registro pode se tornar replicado geograficamente, um padrão regional é usado: [registry].[region].data.azurecr.io.

Para o exemplo da Contoso, vários pontos de extremidade de dados regionais são adicionados dando suporte à região local com uma réplica próxima.

Com pontos de extremidade de dados dedicados, o agente mal-intencionado é impedido de gravar em outras contas de armazenamento.

Diagrama para ilustrar o exemplo contoso com pontos de extremidade de dados dedicados.

Habilitando pontos de extremidade de dados dedicados

Nota

A mudança para pontos de extremidade de dados dedicados afetará os clientes que configuraram o acesso de firewall aos pontos de extremidade existentes *.blob.core.windows.net , causando falhas de receção. Para garantir que os clientes tenham acesso consistente, adicione os novos pontos de extremidade de dados às regras de firewall do cliente. Uma vez concluídos, os registos existentes podem ativar pontos de extremidade de dados dedicados através do az cli.

Para usar as etapas da CLI do Azure neste artigo, a CLI do Azure versão 2.4.0 ou posterior é necessária. Se você precisar instalar ou atualizar, consulte Instalar a CLI do Azure ou executar no Azure Cloud Shell.

Execute o comando az acr update para habilitar o ponto de extremidade de dados dedicado.

az acr update --name contoso --data-endpoint-enabled

Execute o comando az acr show para exibir os pontos de extremidade de dados, incluindo pontos de extremidade regionais para registros replicados geograficamente.

az acr show-endpoints --name contoso

Saída de exemplo:

{
  "loginServer": "contoso.azurecr.io",
  "dataEndpoints": [
    {
      "region": "eastus",
      "endpoint": "contoso.eastus.data.azurecr.io",
    },
    {
     "region": "westus",
      "endpoint": "contoso.westus.data.azurecr.io",
    }
  ]
}

Próximos passos

Configure para acessar um registro de contêiner do Azure por trás de uma regra de firewall.
Conectar o Registro de Contêiner do Azure usando o Azure Private Link

Partilhar via