Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os Aplicativos de Contêiner do Azure fornecem recursos para executar aplicativos em contêineres sem gerenciar a infraestrutura complexa, fornecendo recursos de segurança de nível empresarial. Ao implantar esse serviço, siga as práticas recomendadas de segurança para proteger dados, configurações e infraestrutura.
As recomendações de segurança neste artigo implementam princípios de Confiança Zero: "Verificar explicitamente", "Usar acesso de privilégio mínimo" e "Assumir violação". Para obter diretrizes abrangentes sobre Confiança Zero, consulte o Centro de Diretrizes de Confiança Zero.
Este artigo fornece recomendações de segurança para ajudar a proteger sua implantação dos Aplicativos de Contêiner do Azure.
Segurança de rede
Os controles de segurança de rede impedem o acesso não autorizado aos pontos de extremidade do aplicativo de contêiner e estabelecem limites de comunicação seguros entre seus aplicativos e serviços externos.
Implantar aplicativos de contêiner em uma rede virtual: para controlar o tráfego de rede e proteger o acesso aos recursos de back-end, integre seu ambiente de aplicativo de contêiner às Redes Virtuais do Azure. A integração de rede virtual permite que seus aplicativos acessem recursos em redes privadas enquanto protegem contra ataques baseados na Internet. Consulte a configuração de rede virtual.
Habilitar endpoints privados para acesso de entrada: Elimine a exposição à internet pública usando o Link Privado do Azure para rotear o tráfego do cliente através da sua rede virtual. Os endpoints privados fornecem um endereço IP privado da sua rede virtual, trazendo efetivamente seu aplicativo de contêiner para o perímetro da sua rede. Consulte Utilize um ponto de extremidade privado com um ambiente de Aplicativos de Contêiner do Azure.
Configure ambientes internos para isolamento completo: implante ambientes internos de Aplicativos de Contêiner para restringir todo o acesso de entrada aos clientes em sua rede virtual. Os ambientes internos fornecem isolamento total da Internet pública e permitem a comunicação segura entre aplicativos de contêiner e outros recursos de rede. Consulte Redes no ambiente de Aplicativos de Contêiner do Azure.
Desabilitar o acesso à rede pública: configure ambientes de Aplicativos de Contêiner para desabilitar o acesso à rede pública ao usar pontos de extremidade privados, garantindo que toda a conectividade ocorra por meio de seu ambiente de rede virtual controlado. Essa configuração impede tentativas de acesso externo não autorizadas. Consulte Pontos de extremidade privados e DNS para redes virtuais em ambientes de Aplicativos de Contêiner do Azure.
Implementar o Firewall do Azure para controle de tráfego de saída: use o Firewall do Azure com UDR (rotas definidas pelo usuário) para controlar e monitorar todo o tráfego de saída de seus aplicativos de contêiner para garantir que a comunicação ocorra apenas com destinos aprovados. Consulte Habilitar UDR (Rotas Definidas pelo Usuário).
Configurar grupos de segurança de rede com regras restritivas: Aplique Grupos de Segurança de Rede para controlar o fluxo de tráfego de e para suas sub-redes de Aplicativos de Contêiner, implementando políticas de negação por padrão com regras de permissão específicas para os padrões de comunicação necessários. Consulte Como proteger uma VNet existente com um NSG.
Configurar restrições no nível do aplicativo: defina as configurações de entrada com controles de segurança apropriados, incluindo autenticação de certificado do cliente e restrições de IP para exposição segura de aplicativos de contêiner. Use a entrada interna para aplicativos que não devem ser acessíveis pela Internet. Confira a visão geral do Ingress.
Gerenciamento de identidade e acesso
Os controles de gerenciamento de identidade e acesso garantem que somente usuários e aplicativos autorizados possam acessar recursos de Aplicativos de Contêiner com permissões e mecanismos de autenticação apropriados.
Habilitar autenticação e autorização: Configure a autenticação integrada usando o Microsoft Entra ID e outros provedores de identidade para proteger pontos de extremidade de aplicativos de contêiner além dos controles de acesso básicos. Essa configuração fornece gerenciamento de identidade centralizado e dá suporte a regras de autorização personalizadas. Consulte Autenticação e autorização nos Aplicativos de Contêiner do Azure.
Use identidades gerenciadas para conexões de serviço: configure identidades gerenciadas atribuídas pelo sistema ou atribuídas pelo usuário para autenticar em outros serviços do Azure sem armazenar credenciais em código ou configuração. As identidades gerenciadas eliminam a sobrecarga de gerenciamento de credenciais e fornecem rotação automática de segredo. Consulte Usar identidades gerenciadas nos Aplicativos de Contêiner do Azure.
Implementar o RBAC (controle de acesso baseado em função): use o RBAC do Azure para fornecer permissões refinadas para operações de gerenciamento de Aplicativos de Contêiner. Atribua aos usuários as funções mínimas necessárias, como Colaborador, Proprietário ou Leitor, com base em suas responsabilidades. Consulte a linha de base de segurança do Azure para Aplicativos de Contêiner do Azure.
Configurar a autenticação da ID do Microsoft Entra: use a ID do Microsoft Entra para o gerenciamento centralizado de identidades e habilite políticas de acesso condicional para controlar o acesso com base nas condições de usuário, local e dispositivo. Essa configuração fornece recursos de autenticação de nível empresarial com suporte à autenticação multifator. Consulte Habilitar autenticação e autorização em Aplicativos de Contêiner do Azure com o Azure Active Directory.
Habilitar o repositório de tokens para autenticação segura: use o recurso de repositório de tokens interno para gerenciar tokens de autenticação com segurança, independentemente do código do aplicativo. O repositório de tokens fornece atualização automática de token e reduz a superfície de ataque eliminando o código de gerenciamento de token personalizado. Consulte Habilitar um repositório de tokens de autenticação.
Proteção de dados
Os mecanismos de proteção de dados protegem informações confidenciais processadas por aplicativos de contêiner por meio de criptografia, armazenamento seguro e tratamento adequado de segredos e dados de configuração.
Impor HTTPS para toda a comunicação: configure o proxy Envoy para redirecionar todo o tráfego HTTP para HTTPS para garantir que toda a transmissão de dados use criptografia TLS. Defina
allowInsecure: falsena configuração de entrada para impedir conexões não criptografadas. Consulte Configurar o ingresso HTTPS ou TCP em Aplicativos de Contêiner do Azure.Use o Azure Key Vault para gerenciamento de segredos: armazene cadeias de conexão, chaves de API e outros segredos no Azure Key Vault em vez de configurações de aplicativo. Use referências do Key Vault para recuperar segredos em runtime, mantendo o gerenciamento centralizado de segredos com funcionalidades avançadas de segurança e auditoria. Consulte Importar certificados do Azure Key Vault.
Habilitar mTLS (segurança de camada de transporte mútua): use mTLS para autenticar e criptografar o tráfego entre serviços, fornecendo autenticação bidirecional que verifica identidades de cliente e servidor. Esse recurso aprimora a segurança para a comunicação serviço a serviço em seu ambiente de aplicativo de contêiner. Consulte Use a Segurança da Camada de Transporte Mútua (mTLS).
Implementar uma gestão adequada de segredos: Utilize a gestão integrada de segredos de Aplicativos de Contêiner com isolamento e controles de acesso adequados. Evite armazenar segredos diretamente em imagens de contêiner ou variáveis de ambiente; em vez disso, use referências secretas e integração do Key Vault para ambientes de produção. Confira a visão geral de segurança nos Aplicativos de Contêiner do Azure.
Armazenamento seguro de imagens de contêiner: armazene imagens de contêiner no Registro de Contêiner do Azure com a autenticação habilitada e configure a replicação geográfica para recuperação de desastre. Use registros privados em vez de repositórios públicos para cargas de trabalho de produção para manter o controle sobre o acesso à imagem. Consulte as práticas recomendadas de arquitetura para aplicativos de contêiner do Azure.
Registro e monitoramento
O registro em log e o monitoramento abrangentes fornecem visibilidade das operações, eventos de segurança e métricas de desempenho dos Aplicativos de Contêiner para habilitar a detecção de ameaças e a supervisão operacional.
Habilitar a integração da Análise de Logs do Azure Monitor: Configure a integração da Análise de Logs com o espaço de trabalho para coletar e analisar logs do sistema e de aplicativos de todos os aplicativos de contêiner no seu ambiente. Essa configuração fornece gerenciamento de log centralizado e dá suporte à auditoria de conformidade e monitoramento de segurança. Para obter mais informações, consulte Monitorar logs nos Aplicativos de Contêiner do Azure com o Log Analytics.
Definir configurações de diagnóstico: habilite as configurações de diagnóstico para transmitir logs e métricas de aplicativos de contêiner para logs do Azure Monitor, contas de armazenamento ou Hubs de Eventos para análise centralizada e retenção de longo prazo. Essa configuração dá suporte a investigações de segurança e requisitos de conformidade. Para obter mais informações, consulte Observabilidade nos Aplicativos de Contêiner do Azure.
Configurar alertas do Azure Monitor: configurar alertas para atividades suspeitas, incluindo autenticações com falha, padrões de tráfego incomuns, altas taxas de erro e anomalias de consumo de recursos. Use grupos de ações para habilitar a resposta automatizada a possíveis incidentes de segurança. Para saber mais, confira Alertas do Azure Monitor.
Habilitar a transmissão de logs para monitoramento em tempo real: use recursos de transmissão de logs para visualizar logs quase em tempo real do sistema e do console de contêineres para resolução imediata de problemas e detecção imediata de eventos de segurança. Essa funcionalidade fornece recursos de resposta rápida durante incidentes de segurança. Para obter mais informações, confira Streaming de log.
Implementar a integração do Application Insights: configure a integração do Application Insights para capturar telemetria detalhada, métricas de desempenho e rastreamentos personalizados de seus aplicativos de contêiner. Essa integração fornece uma observabilidade abrangente para análise de segurança e otimização de desempenho. Para obter mais informações, consulte a visão geral do Azure Functions nos Aplicativos de Contêiner do Azure.
Conformidade e governança
Os controles de conformidade e governança garantem que as implantações de Aplicativos de Contêiner atendam aos requisitos regulatórios e às políticas organizacionais por meio de recursos adequados de gerenciamento de configuração e auditoria.
Aplicar definições do Azure Policy: use definições internas do Azure Policy para auditar e impor configurações de segurança, como implantação de rede virtual, requisitos de autenticação e imposição de HTTPS. As políticas ajudam a manter uma postura de segurança consistente entre ambientes. Para obter mais informações, consulte as definições internas do Azure Policy para Aplicativos de Contêiner do Azure.
Implementar marcação de recurso: aplique marcas de recurso consistentes aos recursos de Aplicativos de Contêiner para gerenciamento de custos, monitoramento de segurança, acompanhamento de conformidade e governança. Use marcas para identificar classificação de dados, informações de proprietário e requisitos regulatórios. Para obter mais informações, consulte a linha de base de segurança do Azure para Aplicativos de Contêiner do Azure.
Configurar políticas de acesso condicional: use as políticas de acesso condicional do Microsoft Entra para controlar o acesso aos Aplicativos de Contêiner com base na identidade do usuário, local, conformidade do dispositivo e avaliação de risco ao usar recursos de autenticação. Para obter mais informações, consulte a linha de base de segurança do Azure para Aplicativos de Contêiner do Azure.
Manter trilhas de auditoria e documentação de conformidade: verifique se o log abrangente captura todas as ações administrativas do aplicativo de contêiner, alterações de configuração e tentativas de acesso para investigações de conformidade regulatória e segurança usando configurações de diagnóstico e logs de atividades. Para obter mais informações, consulte a linha de base de segurança do Azure para Aplicativos de Contêiner do Azure.
Backup e recuperação
As estratégias de backup e recuperação protegem as configurações do aplicativo de contêiner e garantem a continuidade dos negócios por meio do planejamento adequado de recuperação de desastres e estratégias de implantação de várias regiões.
Habilite a redundância de zona para alta disponibilidade: configure a redundância de zona em ambientes de Aplicativos de Contêiner para distribuir automaticamente réplicas em várias zonas de disponibilidade em uma região. Essa configuração protege contra falhas no nível da zona e melhora o tempo de atividade do aplicativo. Consulte Confiabilidade nos Aplicativos de Contêiner do Azure.
Implementar implantações em várias regiões: Implante aplicativos de contêiner em várias regiões do Azure usando o Azure Front Door ou o Gerenciador de Tráfego do Azure para obter recursos de failover automático durante interrupções regionais. Essa estratégia garante a disponibilidade contínua do aplicativo para cargas de trabalho críticas. Consulte a recuperação de desastres entre regiões e a continuidade dos negócios.
Use a infraestrutura como código para automação de implantação: implemente processos de implantação automatizados usando modelos do Azure Resource Manager, Bicep ou outra infraestrutura como ferramentas de código para garantir que você possa reimplantar rapidamente as configurações do aplicativo de contêiner após incidentes ou em regiões alternativas. Consulte Gerenciamento e operações para os Aplicativos de Contêiner do Azure – Acelerador de Zona de Destino.
Configurar o registro de contêiner com redundância geográfica: use o Registro de Contêiner do Azure com replicação geográfica habilitada para garantir que as imagens de contêiner estejam disponíveis em várias regiões para cenários de recuperação de desastre. Essa configuração protege contra interrupções do Registro e dá suporte a implantações de várias regiões. Consulte Gerenciamento e operações para os Aplicativos de Contêiner do Azure – Acelerador de Zona de Destino.
Testar procedimentos de recuperação de desastre: teste regularmente procedimentos de backup e recuperação, incluindo implantação de aplicativos, restauração de configuração e processos de failover para validar a eficácia e identificar lacunas no planejamento de recuperação de desastres. Documente os resultados do teste e os procedimentos de atualização com base nas lições aprendidas. Consulte Teste de backup e recuperação de desastres.
Segurança específica do serviço
Os Aplicativos de Contêiner fornecem recursos de segurança exclusivos projetados especificamente para cargas de trabalho em contêineres, arquiteturas de microsserviços e aplicativos nativos de nuvem.
Configurar limites de segurança no nível do ambiente: use ambientes de Aplicativos de Contêiner para criar limites de segurança entre diferentes aplicativos e cargas de trabalho. Separar ambientes de produção e não produção para evitar acesso não autorizado e descompasso de configuração. Confira a visão geral do ambiente.
Implementar o dimensionamento adequado e os limites de recursos: configure as regras de dimensionamento e os limites de recursos apropriados para evitar ataques de esgotamento de recursos e garantir uma alocação justa de recursos entre aplicativos. Monitore eventos de dimensionamento para padrões incomuns que podem indicar problemas de segurança. Consulte Definir regras de dimensionamento nos Aplicativos de Contêiner do Azure.