Общие сведения о безопасности для Контейнеры приложений Azure

Приложения контейнеров Azure предоставляют несколько встроенных функций безопасности, которые помогают создавать безопасные контейнерные приложения. В этом руководстве рассматриваются основные принципы безопасности, включая управляемые удостоверения, управление секретами и хранилище маркеров, а также рекомендации по разработке безопасных и масштабируемых приложений.

Управляемые идентичности

Управляемые удостоверения устраняют необходимость хранения учетных данных в коде или конфигурации, предоставляя автоматически управляемую удостоверение в Microsoft Entra ID. Приложения-контейнеры могут использовать эти удостоверения для проверки подлинности в любой службе, которая поддерживает проверку подлинности Microsoft Entra, например Azure Key Vault, хранилище Azure или Базу данных SQL Azure.

Типы управляемых удостоверений

Контейнеры приложений Azure поддерживают два типа managed identities:

• Назначаемое системой удостоверение: создается и управляется автоматически в соответствии с жизненным циклом приложения контейнера. Идентификатор удаляется при удалении вашего приложения.

• Назначаемое пользователем удостоверение: создано независимо и может быть назначено нескольким приложениям-контейнерам, что позволяет совместно использовать удостоверения между ресурсами.

Преимущества безопасности управляемых удостоверений в Контейнеры приложений Azure

• Устраняет необходимость управления учетными данными и смены учетных данных в коде приложения
• Снижает риск разглашения учетных данных в файлах конфигурации
• Обеспечивает детальное управление доступом с помощью Azure RBAC
• Поддерживает принцип минимальной привилегии путем предоставления только необходимых разрешений

Выберите между идентификаторами, назначаемыми системой, и идентификаторами, назначаемыми пользователем.

• Используйте самостоятельно назначенные системой идентификаторы для рабочих нагрузок, которые:

  • Содержатся в одном ресурсе
  • Требуются независимые идентичности

• Используйте назначенные пользователем удостоверения для рабочих нагрузок, которые:

  • Работа с несколькими ресурсами, которые используют одну идентичность.
  • Требуется предварительная авторизация для защиты ресурсов

Управляемое удостоверение для извлечения изображений

Распространенный шаблон безопасности использует управляемые удостоверения для извлечения образов из частных репозиториев в Реестре контейнеров Azure. Такой подход:

• Избегайте использования учетных данных администратора для реестра
• Обеспечивает детализированное управление доступом посредством роли ACRPull
• Поддерживает личности, назначаемые системой и пользователем
• Можно контролировать, чтобы ограничить доступ к определенным контейнерам

Дополнительные сведения можно найти в статьях «Управляемые удостоверения» и «Извлечение образа из реестра контейнеров Azure с управляемым удостоверением», чтобы узнать, как настроить управляемое удостоверение для вашего приложения.

Управление секретами

Приложения контейнеров Azure предоставляют встроенные механизмы для безопасного хранения и доступа к конфиденциальным значениям конфигурации, таким как строки подключения, ключи API и сертификаты.

Функции управления ключевыми секретами

• Изоляция секретов: ограничьте область действия секретов уровнем приложения и изолируйте их от конкретных ревизий.
• Ссылки на переменные среды: предоставление секретов контейнерам в качестве переменных среды.
• Монтирование томов: монтирование секретов в виде файлов в контейнерах.
• Интеграция Key Vault: справочные секреты, хранящиеся в Azure Key Vault.

Рекомендации по управлению секретами

• Избегайте хранения секретов непосредственно в приложениях-контейнерах для рабочих сред.
• Используйте интеграцию Azure Key Vault для централизованного управления секретами.
• Реализуйте минимальные привилегии при предоставлении доступа к секретам.
• Используйте секретные ссылки в переменных среды вместо жесткого кодирования значений.
• При необходимости используйте подключения томов для доступа к секретам в виде файлов.
• Реализуйте правильные методики смены секретов.

Дополнительные сведения см. в статье Import certificates from Azure Key Vault, чтобы узнать, как настроить управление секретами для приложения.

Хранилище токенов для безопасной аутентификации

Функция хранилища маркеров обеспечивает безопасный способ управления маркерами проверки подлинности независимо от кода приложения.

Как работает хранилище маркеров проверки подлинности

• Система сохраняет маркеры в Хранилище BLOB-объектов Azure, сохраняя их отдельно от кода приложения.
• Доступ к кэшируемым маркерам может получить только связанный пользователь.
• Приложения контейнеров автоматически обрабатывают обновление токена.
• Эта функция сокращает область атаки, устраняя пользовательский код управления маркерами.

Дополнительные сведения см. в разделе "Включение хранилища маркеров проверки подлинности " для получения дополнительных сведений о настройке хранилища маркеров для приложения.

Сетевая безопасность

Реализация надлежащих мер безопасности сети помогает защитить рабочие нагрузки от несанкционированного доступа и потенциальных угроз. Кроме того, он обеспечивает безопасный обмен данными между приложениями и другими службами.

Дополнительные сведения о безопасности сети в приложениях контейнеров Azure см. в следующих статьях:

• Настройка шлюза приложений WAF
• Включение определяемых пользователем маршрутов (UDR)
• Маршрутизация на основе правил
  • Использование маршрутизации на основе правил
  • Настройка личного домена
  • Защита пользовательской виртуальной сети через сетевую группу безопасности
  • Использование частной конечной точки
  • Использование mTLS
  • Интеграция с Azure Front Door

Конфиденциальные вычисления (предварительная версия)

Контейнеры приложений Azure включает в себя профиль конфиденциальной вычислительной рабочей нагрузки, который выполняет контейнерные рабочие нагрузки в аппаратных доверенных средах выполнения (TEEs). Конфиденциальные вычисления дополняют шифрование данных в Azure при хранении и передаче, защищая используемые данные с помощью шифрования памяти и аттестации среды перед выполнением кода. Эта возможность помогает снизить риск несанкционированного доступа к конфиденциальным рабочим нагрузкам, включая доступ к облачным операторам.

Используйте профиль конфиденциальной вычислительной рабочей нагрузки, когда приложения обрабатывают регулируемые или высокочувствительные данные и требуют проверки на основе аттестации. Общие сведения о поддерживаемых регионах и возможностях платформы см. в разделе Конфиденциальные вычисления Azure.

Сведения о конфигурации см. в разделе Confidential compute in Контейнеры приложений Azure.

Microsoft Defender для облака: состояние безопасности бессерверных контейнеров (предварительная версия)

Microsoft Defender для облака включает возможности CSPM для управления состоянием безопасности бессерверных контейнеров в Контейнеры приложений Azure. Эти возможности обеспечивают инвентаризацию, оценку состояния безопасности и анализ путей атаки для рабочих нагрузок Контейнеры приложений Azure, чтобы группы безопасности могли выявлять риски и определять их приоритет в среде контейнерных приложений. Инструкции по подключению и сведения о функциях см. в разделе "Бессерверная защита".