Visão geral de segurança para Aplicativos de Contêiner do Azure

Os Aplicativos de Contêiner do Azure fornecem vários recursos de segurança internos que ajudam você a criar aplicativos seguros em contêineres. Este guia explora os principais princípios de segurança, incluindo identidades gerenciadas, gerenciamento de segredos e repositório de tokens, ao mesmo tempo em que fornece práticas recomendadas para ajudá-lo a criar aplicativos seguros e escalonáveis.

Identidades gerenciadas

As identidades gerenciadas eliminam a necessidade de armazenar credenciais em seu código ou configuração fornecendo uma identidade gerenciada automaticamente na ID do Microsoft Entra. Os aplicativos de contêiner podem usar essas identidades para autenticar em qualquer serviço que dê suporte à autenticação do Microsoft Entra, como o Azure Key Vault, o Armazenamento do Azure ou o Banco de Dados SQL do Azure.

Tipos de identidade gerenciada

Os Aplicativos de Contêiner do Azure dão suporte a dois tipos de identidades gerenciadas:

• Identidade atribuída pelo sistema: criada e gerenciada automaticamente com o ciclo de vida do aplicativo de contêiner. A identidade é excluída quando seu aplicativo é excluído.

• Identidade atribuída pelo usuário: criada de forma independente e pode ser atribuída a vários aplicativos de contêiner, permitindo o compartilhamento de identidade entre recursos.

Benefícios de segurança de identidades gerenciadas no Aplicativos de Contêiner do Azure

• Elimina a necessidade de gerenciar e alternar credenciais no código da aplicação
• Reduz o risco de exposição de credenciais em arquivos de configuração
• Fornece controle de acesso refinado por meio do RBAC do Azure
• Dá suporte ao princípio do privilégio mínimo concedendo apenas as permissões necessárias

Escolher entre identidades atribuídas pelo sistema e atribuídas pelo usuário

• Use identidades atribuídas pelo sistema para cargas de trabalho que:

  • Estão contidos em um único recurso
  • Precisa de identidades independentes

• Use identidades atribuídas pelo usuário para cargas de trabalho que:

  • Executar em vários recursos que compartilham uma única identidade
  • Precisa de pré-autorização para proteger recursos

Identidade gerenciada para pulls de imagem

Um padrão de segurança comum é usar identidades gerenciadas para efetuar pull de imagens de repositórios privados no Registro de Contêiner do Azure. Essa abordagem:

• Evita o uso de credenciais administrativas para o registro
• Fornece controle de acesso refinado por meio da função ACRPull
• Dá suporte a identidades atribuídas pelo sistema e atribuídas pelo usuário
• Pode ser controlado para limitar o acesso a contêineres específicos

Para mais informações, consulte Identidades gerenciadas e a extração de imagem do Registro de Contêiner do Azure com identidade gerenciada para mais detalhes sobre como configurar uma identidade gerenciada para seu aplicativo.

Gerenciamento de segredos

Os Aplicativos de Contêiner do Azure fornecem mecanismos internos para armazenar e acessar com segurança valores de configuração confidenciais, como cadeias de conexão, chaves de API e certificados.

Principais recursos de gerenciamento de segredos

• Isolamento de segredos: Defina os segredos no nível da aplicação e isole-os de revisões específicas.
• Referências a variáveis de ambiente: expõem segredos aos contêineres como variáveis de ambiente.
• Montagens de volume: montar segredos como arquivos nos contêineres.
• Integração do Key Vault: referenciar segredos armazenados no Azure Key Vault.

Práticas recomendadas para gerenciamento de segredos

• Evite armazenar segredos diretamente em Aplicativos de Contêiner para ambientes de produção.
• Use a integração do Azure Key Vault para o gerenciamento centralizado de segredos.
• Implemente privilégios mínimos ao conceder acesso a segredos.
• Use referências secretas em variáveis de ambiente em vez de valores de codificação rígida.
• Use montagens de volume para acessar segredos como arquivos quando for apropriado.
• Implementar práticas de rotação de segredo adequadas.

Para obter mais informações, consulte Importar certificados do Azure Key Vault para saber como configurar o gerenciamento de segredos para seu aplicativo.

Repositório de tokens para segurança de autenticação

O recurso de repositório de tokens fornece uma maneira segura de gerenciar tokens de autenticação independentemente do código do aplicativo.

Como funciona o repositório de tokens de autenticação

• O sistema armazena tokens em Armazenamento de Blobs do Azure, mantendo-os separados do código do aplicativo.
• Somente o usuário associado pode acessar tokens armazenados em cache.
• Os Aplicativos de Contêiner manipulam a atualização de token automaticamente.
• Esse recurso reduz a superfície de ataque eliminando o código de gerenciamento de token personalizado.

Para obter mais informações, consulte Habilitar um repositório de tokens de autenticação para obter mais detalhes sobre como configurar um repositório de tokens para seu aplicativo.

Segurança de rede

Implementar medidas de segurança de rede adequadas ajuda a proteger suas cargas de trabalho contra acesso não autorizado e possíveis ameaças. Ele também permite a comunicação segura entre seus aplicativos e outros serviços.

Para obter mais informações sobre segurança de rede nos Aplicativos de Contêiner do Azure, consulte os seguintes artigos:

• Configurar o Gateway de Aplicativo WAF
• Habilitar UDR (Rotas Definidas pelo Usuário)
• Roteamento baseado em regra
  • Usar roteamento baseado em regra
  • Configurar um domínio personalizado
  • Protegendo uma VNET personalizada com um NSG
  • Usar um ponto de extremidade privado
  • Usar mTLS
  • Integrar com o Azure Front Door

Computação confidencial (versão prévia)

Aplicativos de Contêiner do Azure inclui um perfil de carga de trabalho de computação confidencial que executa cargas de trabalho em contêineres dentro de TEEs (Ambientes de Execução Confiáveis) baseados em hardware. A computação confidencial complementa a criptografia do Azure em repouso e em trânsito, protegendo os dados em uso por meio da criptografia de memória e da atestação do ambiente antes da execução do código. Essa funcionalidade ajuda a reduzir o risco de acesso não autorizado a cargas de trabalho confidenciais, incluindo o acesso de operadores de nuvem.

Use o perfil de carga de trabalho de computação confidencial quando seus aplicativos processam dados regulamentados ou altamente confidenciais e exigem garantias baseadas em atestado. Para obter uma visão geral das regiões com suporte e dos recursos de plataforma, consulte Azure computação confidencial.

Para obter detalhes de configuração, consulte Confidential compute in Aplicativos de Contêiner do Azure.

Microsoft Defender para Nuvem Postura de segurança para contêineres sem servidor (versão prévia)

Microsoft Defender para Nuvem inclui recursos de postura de contêineres sem servidor no CSPM para Aplicativos de Contêiner do Azure. Esses recursos fornecem inventário, avaliações de postura e análise de caminho de ataque para cargas de trabalho Aplicativos de Contêiner do Azure para que as equipes de segurança possam identificar e priorizar riscos em seu ambiente de aplicativos de contêiner. Para obter diretrizes de integração e detalhes do recurso, consulte a proteção sem servidor.