Usługa Azure Container Registry ograniczająca eksfiltrację danych za pomocą dedykowanych punktów końcowych danych

Usługa Azure Container Registry wprowadza dedykowane punkty końcowe danych. Ta funkcja umożliwia ściśle ograniczone zakresy reguł zapory klienta do określonych rejestrów, minimalizując obawy dotyczące eksfiltracji danych.

Funkcja dedykowanych punktów końcowych danych jest dostępna w warstwie usługi Premium . Aby uzyskać informacje o cenach, zobacz container-registry-pricing (Cennik rejestru kontenerów).

Ściąganie zawartości z rejestru obejmuje dwa punkty końcowe:

Punkt końcowy rejestru, często określany jako adres URL logowania, używany do uwierzytelniania i odnajdywania zawartości. Polecenie takie jak docker pull contoso.azurecr.io/hello-world wysyła żądanie REST, które uwierzytelnia i uzgadnia warstwy reprezentujące żądany artefakt. Punkty końcowe danych obsługują obiekty blob reprezentujące warstwy zawartości.

Diagram przedstawiający punkty końcowe.

Konta magazynowe zarządzane przez rejestr

Azure Container Registry to usługa wielodzierżawcza. Usługa rejestru zarządza kontami magazynowymi dla punktów końcowych danych. Korzyści wynikające z kont magazynu zarządzanego obejmują równoważenie obciążenia, kontrowersyjne dzielenie zawartości, wiele kopii w celu zapewnienia wyższego współbieżnego dostarczania zawartości oraz obsługę wielu regionów przy użyciu replikacji geograficznej.

Obsługa sieci wirtualnej usługi Azure Private Link

Obsługa sieci wirtualnej usługi Azure Private Link umożliwia prywatne punkty końcowe dla usługi rejestru zarządzanego z sieci wirtualnych platformy Azure. W takim przypadku zarówno rejestr, jak i punkty końcowe danych są dostępne z poziomu sieci wirtualnej przy użyciu prywatnych adresów IP.

Gdy usługa zarządzanego rejestru oraz konta magazynu zostaną zabezpieczone do dostępu z wewnątrz sieci wirtualnej, publiczne punkty końcowe zostaną usunięte.

Diagram przedstawiający obsługę sieci wirtualnej.

Niestety połączenie sieci wirtualnej nie zawsze jest opcją.

Ważne

Usługa Azure Private Link to najbezpieczniejszy sposób kontrolowania dostępu sieciowego między klientami i rejestrem, ponieważ ruch sieciowy jest ograniczony do sieci wirtualnej platformy Azure przy użyciu prywatnych adresów IP. Jeśli usługa Private Link nie jest opcją, dedykowane punkty końcowe danych mogą zapewnić bezpieczną wiedzę na temat zasobów dostępnych dla każdego klienta.

Reguły zapory klienta i zagrożenia eksfiltracji danych

Reguły zapory klienta ograniczają dostęp do określonych zasobów. Reguły zapory mają zastosowanie podczas łączenia się z rejestrem z hostów lokalnych, urządzeń IoT, dedykowanych agentów kompilacji. Reguły mają zastosowanie również wtedy, gdy obsługa usługi Private Link nie jest opcją.

Diagram przedstawiający reguły zapory klienta.

Ponieważ klienci zablokowali konfiguracje zapory sieciowej klientów, zdali sobie sprawę, że muszą utworzyć regułę z symbolem wieloznacznym dla wszystkich kont przechowywania danych, co budzi obawy dotyczące eksfiltracji danych. Złośliwy użytkownik może wdrożyć kod, który mógłby zapisywać na swoim koncie magazynowym.

Diagram przedstawiający zagrożenia eksfiltracji danych klienta.

W związku z tym, aby rozwiązać problemy z eksfiltracją danych, usługa Azure Container Registry udostępnia dedykowane punkty końcowe danych.

Dedykowane punkty końcowe danych

Dedykowane punkty końcowe danych ułatwiają pobieranie warstw z usługi Azure Container Registry, z pełnymi kwalifikowanymi nazwami domen reprezentującymi domenę rejestru.

Ponieważ każdy rejestr może zostać zreplikowany geograficznie, używany jest wzorzec regionalny: [registry].[region].data.azurecr.io.

W przykładzie firmy Contoso dodano wiele regionalnych punktów końcowych danych obsługujących region lokalny z repliką w pobliżu.

W przypadku dedykowanych punktów końcowych danych nieprawidłowy aktor nie może zapisywać danych na innych kontach magazynu.

Diagram przedstawiający przykład firmy contoso z dedykowanymi punktami końcowymi danych.

Włączanie dedykowanych punktów końcowych danych

Uwaga

Przełączenie na dedykowane punkty końcowe danych wpłynie na klientów, którzy skonfigurowali dostęp zapory do istniejących *.blob.core.windows.net punktów końcowych, co może spowodować błędy przesyłu. Aby zapewnić klientom spójny dostęp, dodaj nowe punkty końcowe danych do reguł zapory klienta. Po zakończeniu istniejące rejestry mogą włączyć dedykowane punkty końcowe danych za pomocą polecenia az cli. Podczas ściągania obrazu, jeśli dedykowane punkty końcowe danych są włączone, usługa ACR udostępnia klientowi tymczasowe łącze pobierania za każdym razem, gdy musi pobrać warstwę obrazu. Ten link wskazuje dedykowany punkt końcowy danych i jest ważny przez 20 minut, zapewniając bezpieczny, krótkotrwały adres URL pobierania warstwy. Po upływie 20 minut link wygaśnie, a klient po prostu zażąda nowego, jeśli będzie musiał pobrać inną warstwę podczas ściągania obrazów.

Aby użyć kroków interfejsu wiersza polecenia platformy Azure w tym artykule, wymagany jest interfejs wiersza polecenia platformy Azure w wersji 2.4.0 lub nowszej. Jeśli musisz zainstalować lub uaktualnić, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure lub uruchamianie w usłudze Azure Cloud Shell.

Uruchom polecenie az acr update, aby włączyć dedykowany punkt końcowy danych.

az acr update --name contoso --data-endpoint-enabled

Uruchom polecenie az acr show, aby wyświetlić punkty końcowe danych, w tym regionalne punkty końcowe dla rejestrów replikowanych geograficznie.

az acr show-endpoints --name contoso

Przykładowe dane wyjściowe:

{
  "loginServer": "contoso.azurecr.io",
  "dataEndpoints": [
    {
      "region": "eastus",
      "endpoint": "contoso.eastus.data.azurecr.io",
    },
    {
     "region": "westus",
      "endpoint": "contoso.westus.data.azurecr.io",
    }
  ]
}

Następne kroki

Skonfiguruj dostęp do rejestru kontenerów platformy Azure zza reguł zapory.
Łączenie usługi Azure Container Registry przy użyciu usługi Azure Private Link

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-12-15