Azure Container Apps'te güvenliğe genel bakış

Azure Container Apps, güvenli kapsayıcılı uygulamalar oluşturmanıza yardımcı olan çeşitli yerleşik güvenlik özellikleri sağlar. Bu kılavuzda, yönetilen kimlikler, gizli dizi yönetimi ve belirteç deposu gibi temel güvenlik ilkeleri keşfedilirken, güvenli ve ölçeklenebilir uygulamalar tasarlamanıza yardımcı olacak en iyi yöntemler sağlanır.

Yönetilen kimlikler

Yönetilen kimlikler , Microsoft Entra Id'de otomatik olarak yönetilen bir kimlik sağlayarak kodunuzda veya yapılandırmanızda kimlik bilgilerini depolama gereksinimini ortadan kaldırır. Kapsayıcı uygulamaları Azure Key Vault, Azure Depolama veya Azure SQL Veritabanı gibi Microsoft Entra kimlik doğrulamasını destekleyen tüm hizmetlerde kimlik doğrulaması yapmak için bu kimlikleri kullanabilir.

Yönetilen kimlik türleri

Azure Container Apps iki tür yönetilen kimliği destekler:

• Sistem tarafından atanan kimlik: Kapsayıcı uygulamanızın yaşam döngüsüyle otomatik olarak oluşturulur ve yönetilir. Uygulamanız silindiğinde kimlik silinir.

• Kullanıcı tarafından atanan kimlik: Bağımsız olarak oluşturulur ve kaynaklar arasında kimlik paylaşımına olanak sağlayan birden çok kapsayıcı uygulamasına atanabilir.

Yönetilen kimliklerin güvenlik avantajları

• Uygulama kodunuzda kimlik bilgilerini yönetme ve döndürme gereksinimini ortadan kaldırır
• Yapılandırma dosyalarında kimlik bilgilerinin açığa çıkarma riskini azaltır
• Azure RBAC aracılığıyla ayrıntılı erişim denetimi sağlar
• Yalnızca gerekli izinleri vererek en az ayrıcalık ilkesini destekler

Her kimlik türü ne zaman kullanılır?

• Aşağıdaki iş yükleri için sistem tarafından atanan kimlikleri kullanın:

  • Tek bir kaynağın içinde yer alan
  • Bağımsız kimlikler gerekiyor

• Aşağıdaki iş yükleri için kullanıcı tarafından atanan kimlikleri kullanın:

  • Tek bir kimliği paylaşan birden çok kaynağa erişim sağlama
  • Kaynakların güvenliğini sağlamak için ön kimlik doğrulaması gerekiyor

Görüntü çekme işlemleri için yönetilen kimlik

Yaygın bir güvenlik düzeni, Azure Container Registry'deki özel depolardan görüntü çekmek için yönetilen kimlikleri kullanmaktır. Bu yaklaşım:

• Kayıt defteri için yönetici kimlik bilgilerini kullanmaktan kaçınıyor
• ACRPull rolü aracılığıyla ayrıntılı erişim denetimi sağlar
• Hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimlikleri destekler
• Erişimi belirli kapsayıcılara sınırlamak için denetlenebilir

Uygulamanız için bir yönetilen kimlik ayarlamak hakkında daha fazla bilgi için Yönetilen kimlikler ve Yönetilen kimlikli Azure Container Registry'den görüntü çekme belgelerine bakın.

Gizli bilgi yönetimi

Azure Container Apps, bağlantı dizeleri, API anahtarları ve sertifikalar gibi hassas yapılandırma değerlerini güvenli bir şekilde depolamak ve bu değerlere erişmek için yerleşik mekanizmalar sağlar.

Sırlar için kilit güvenlik özellikleri

• Gizli dizi yalıtımı: Gizli dizilerin kapsamı bir uygulama düzeyine göre belirlenir ve belirli düzeltmelerden yalıtılır.
• Ortam değişkeni başvuruları: Gizli dizileri ortam değişkenleri olarak kapsayıcılara sunma.
• Birim bağlamaları: Gizli dizileri kapsayıcıların içinde dosya olarak bağlayın.
• Key Vault entegrasyonu: Azure Key Vault'ta depolanan gizli anahtarlara başvurma.

Sırlar için en iyi güvenlik uygulamaları

• Üretim ortamları için gizli bilgileri doğrudan Container Apps'te depolamaktan kaçının.
• Merkezi gizli öğe yönetimi için Azure Key Vault entegrasyonunu kullanın.
• Gizli bilgilere erişim izni verirken en az ayrıcalık ilkesini uygulayın.
• Sabit kodlama değerleri yerine ortam değişkenlerinde gizli referansları kullanın.
• Uygun olduğunda gizli bilgilere dosya formatında erişmek için birim bağlamalarını kullanın.
• Uygun şifre yenileme uygulamalarını hayata geçirin.

Daha fazla bilgi için, uygulamanız için gizli bilgiler yönetimini ayarlama hakkında bkz. Azure Key Vault'tan sertifikaları içeri aktarma.

Güvenli kimlik doğrulaması için jeton deposu

Belirteç deposu özelliği, uygulama kodunuzdan bağımsız olarak kimlik doğrulama belirteçlerini yönetmek için güvenli bir yol sağlar.

Belirteç deposu nasıl çalışır?

• Belirteçler, uygulama kodunuzdan ayrı olarak Azure Blob Depolama'da depolanır
• Yalnızca ilişkili kullanıcı önbelleğe alınmış belirteçlere erişebilir.
• Container Apps, belirteç yenilemeyi otomatik olarak gerçekleştirir.
• Bu özellik, özel belirteç yönetim kodunu ortadan kaldırarak saldırı yüzeyini azaltır.

Daha fazla bilgi için uygulamanızda bir belirteç deposunun nasıl kurulacağını öğrenmek üzere, Kimlik doğrulama belirteci deposunu etkinleştirme kısmına bakın.

Ağ güvenliği

Uygun ağ güvenlik önlemlerinin uygulanması, iş yüklerinizin yetkisiz erişime ve olası tehditlere karşı korunmasına yardımcı olur. Ayrıca, uygulamalarınız ve diğer hizmetler arasında güvenli iletişim sağlar.

Azure Container Apps'te ağ güvenliği hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

• WAF Application Gateway'i yapılandırma
• Kullanıcı Tanımlı Yolları (UDR) Etkinleştirme
• Kural tabanlı yönlendirme
  • Kural tabanlı yönlendirmeyi kullanma
  • Özel etki alanı yapılandırma
  • NSG ile özel bir sanal ağın güvenliğini sağlama
  • Özel uç nokta kullanma
  • mTLS kullanma
  • Azure Front Door ile tümleştirme

Gizli hesaplama (Önizleme)

Azure Container Apps, donanım tabanlı Güvenilen Yürütme Ortamları (TEE) içinde kapsayıcılı iş yükleri çalıştıran gizli bir işlem iş yükü profili (genel önizleme) içerir. Gizli bilgi işlem, bellek şifrelenerek kullanımdaki verileri koruyarak ve kod yürütülmeden önce ortamı kanıtlayarak bekleyen ve aktarılan Azure şifrelemesini tamamlar. Bu özellik, bulut operatörlerinin erişimi de dahil olmak üzere hassas iş yüklerine yetkisiz erişim riskini azaltmaya yardımcı olur.

Uygulamalarınız düzenlenmiş veya son derece hassas verileri işlerken ve kanıtlama tabanlı güvenceler gerektirdiğinde gizli işlem iş yükü profilini kullanın. Önizleme, BAE Kuzeyi'nde kullanılabilir. Platform özelliklerine genel bakış için bkz. Azure gizli bilgi işlem.