Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Os Aplicativos de Contêiner do Azure fornecem vários recursos de segurança internos que ajudam você a criar aplicativos seguros em contêineres. Este guia explora os principais princípios de segurança, incluindo identidades gerenciadas, gerenciamento de segredos e repositório de tokens, ao mesmo tempo em que fornece práticas recomendadas para ajudá-lo a criar aplicativos seguros e escalonáveis.
Identidades gerenciadas
As identidades gerenciadas eliminam a necessidade de armazenar credenciais em seu código ou configuração fornecendo uma identidade gerenciada automaticamente na ID do Microsoft Entra. Os aplicativos de contêiner podem usar essas identidades para autenticar em qualquer serviço que dê suporte à autenticação do Microsoft Entra, como o Azure Key Vault, o Armazenamento do Azure ou o Banco de Dados SQL do Azure.
Tipos de identidades gerenciadas
Os Aplicativos de Contêiner do Azure dão suporte a dois tipos de identidades gerenciadas:
Identidade atribuída pelo sistema: criada e gerenciada automaticamente com o ciclo de vida do aplicativo de contêiner. A identidade é excluída quando seu aplicativo é excluído.
Identidade atribuída pelo usuário: criada de forma independente e pode ser atribuída a vários aplicativos de contêiner, permitindo o compartilhamento de identidade entre recursos.
Benefícios de segurança de identidades gerenciadas
- Elimina a necessidade de gerenciar e alternar credenciais no código da aplicação
- Reduz o risco de exposição de credenciais em arquivos de configuração
- Fornece controle de acesso refinado por meio do RBAC do Azure
- Dá suporte ao princípio do privilégio mínimo concedendo apenas as permissões necessárias
Quando usar cada tipo de identidade
Use identidades atribuídas pelo sistema para cargas de trabalho que:
- Estão contidos em um único recurso
- Precisa de identidades independentes
Use identidades atribuídas pelo usuário para cargas de trabalho que:
- Executar em vários recursos que compartilham uma única identidade
- Precisa de pré-autorização para proteger recursos
Identidade gerenciada para pulls de imagem
Um padrão de segurança comum é usar identidades gerenciadas para efetuar pull de imagens de repositórios privados no Registro de Contêiner do Azure. Essa abordagem:
- Evita o uso de credenciais administrativas para o registro
- Fornece controle de acesso refinado por meio da função ACRPull
- Dá suporte a identidades atribuídas pelo sistema e atribuídas pelo usuário
- Pode ser controlado para limitar o acesso a contêineres específicos
Para mais informações, consulte Identidades gerenciadas e a extração de imagem do Registro de Contêiner do Azure com identidade gerenciada para mais detalhes sobre como configurar uma identidade gerenciada para seu aplicativo.
Gerenciamento de segredos
Os Aplicativos de Contêiner do Azure fornecem mecanismos internos para armazenar e acessar com segurança valores de configuração confidenciais, como cadeias de conexão, chaves de API e certificados.
Principais recursos de segurança para segredos
- Isolamento de segredo: os segredos têm como escopo um nível de aplicativo e são isolados de revisões específicas.
- Referências a variáveis de ambiente: expõem segredos aos contêineres como variáveis de ambiente.
- Montagens de volume: montar segredos como arquivos nos contêineres.
- Integração do Key Vault: referenciar segredos armazenados no Azure Key Vault.
Práticas recomendadas de segurança para segredos
- Evite armazenar segredos diretamente em Aplicativos de Contêiner para ambientes de produção.
- Use a integração do Azure Key Vault para o gerenciamento centralizado de segredos.
- Implemente privilégios mínimos ao conceder acesso a segredos.
- Use referências secretas em variáveis de ambiente em vez de valores de codificação rígida.
- Use montagens de volume para acessar segredos como arquivos quando for apropriado.
- Implementar práticas de rotação de segredo adequadas.
Para obter mais informações, consulte Importar certificados do Azure Key Vault para obter mais detalhes sobre como configurar o gerenciamento de segredos para seu aplicativo.
Repositório de tokens para autenticação segura
O recurso de repositório de tokens fornece uma maneira segura de gerenciar tokens de autenticação independentemente do código do aplicativo.
Como funciona o repositório de tokens
- Os tokens são armazenados no Armazenamento de Blobs do Azure, separados do código do aplicativo
- Somente o usuário associado pode acessar tokens armazenados em cache.
- Os Aplicativos de Contêiner manipulam a atualização de token automaticamente.
- Esse recurso reduz a superfície de ataque eliminando o código de gerenciamento de token personalizado.
Para obter mais informações, consulte Habilitar um repositório de tokens de autenticação para obter mais detalhes sobre como configurar um repositório de tokens para seu aplicativo.
Segurança de rede
Implementar medidas de segurança de rede adequadas ajuda a proteger suas cargas de trabalho contra acesso não autorizado e possíveis ameaças. Ele também permite a comunicação segura entre seus aplicativos e outros serviços.
Para obter mais informações sobre segurança de rede nos Aplicativos de Contêiner do Azure, consulte os seguintes artigos:
- Configurar o Gateway de Aplicativo WAF
- Habilitar UDR (Rotas Definidas pelo Usuário)
- Roteamento baseado em regra
Computação confidencial (versão prévia)
Os Aplicativos de Contêiner do Azure incluem um perfil de carga de trabalho de computação confidencial (versão prévia pública) que executa cargas de trabalho em contêineres dentro de TEEs (Ambientes de Execução Confiáveis) baseados em hardware. A computação confidencial complementa a criptografia do Azure em repouso e em trânsito, protegendo os dados em uso criptografando a memória e atestando o ambiente antes que o código seja executado. Essa funcionalidade ajuda a reduzir o risco de acesso não autorizado a cargas de trabalho confidenciais, incluindo o acesso de operadores de nuvem.
Use o perfil de carga de trabalho de computação confidencial quando seus aplicativos processam dados regulamentados ou altamente confidenciais e exigem garantias baseadas em atestado. A versão prévia está disponível no Norte dos Emirados Árabes Unidos. Para obter uma visão geral dos recursos da plataforma, consulte a computação confidencial do Azure.