Visão geral da segurança nos Aplicativos de Contêiner do Azure

As Aplicações de Contentor do Azure fornecem várias funcionalidades de segurança incorporadas que o ajudam a criar aplicações em contentores seguras. Este guia explora os principais princípios de segurança, incluindo identidades gerenciadas, gerenciamento de segredos e armazenamento de tokens, ao mesmo tempo em que fornece práticas recomendadas para ajudá-lo a projetar aplicativos seguros e escaláveis.

Identidades gerenciadas

As identidades gerenciadas eliminam a necessidade de armazenar credenciais em seu código ou configuração, fornecendo uma identidade gerenciada automaticamente no ID do Microsoft Entra. Os aplicativos de contêiner podem usar essas identidades para autenticar em qualquer serviço que ofereça suporte à autenticação do Microsoft Entra, como o Cofre da Chave do Azure, o Armazenamento do Azure ou o Banco de Dados SQL do Azure.

Tipos de identidades geridas

Os Aplicativos de Contêiner do Azure dão suporte a dois tipos de identidades gerenciadas:

• Identidade atribuída ao sistema: criada e gerenciada automaticamente com o ciclo de vida do seu aplicativo de contêiner. A identidade é excluída quando seu aplicativo é excluído.

• Identidade atribuída pelo usuário: criada independentemente e pode ser atribuída a vários aplicativos de contêiner, permitindo o compartilhamento de identidade entre recursos.

Benefícios de segurança de identidades gerenciadas

• Elimina a necessidade de gerir e rodar credenciais no código da aplicação
• Reduz o risco de exposição de credenciais em arquivos de configuração
• Fornece controle de acesso refinado por meio do RBAC do Azure
• Suporta o princípio do menor privilégio concedendo apenas as permissões necessárias

Quando usar cada tipo de identidade

• Use identidades atribuídas pelo sistema para cargas de trabalho que:

  • Estão contidos em um único recurso
  • Precisa de identidades independentes

• Use identidades atribuídas pelo usuário para cargas de trabalho que:

  • Executar em vários recursos que compartilham a mesma identidade
  • Precisa de pré-autorização para proteger recursos

Identidade gerenciada para extrações de imagem

Um padrão de segurança comum é usar identidades gerenciadas para extrair imagens de repositórios privados no Registro de Contêiner do Azure. Esta abordagem:

• Evita o uso de credenciais administrativas para o registro
• Fornece controle de acesso refinado por meio da função ACRPull
• Suporta identidades atribuídas pelo sistema e pelo usuário
• Pode ser controlado para limitar o acesso a contentores específicos

Para mais informações, consulte Identidades Geridas e Extração de Imagens do Azure Container Registry com Identidade Gerida para mais detalhes sobre como configurar uma identidade gerida para a sua aplicação.

Gestão de segredos

Os Aplicativos de Contêiner do Azure fornecem mecanismos internos para armazenar e acessar com segurança valores de configuração confidenciais, como cadeias de conexão, chaves de API e certificados.

Principais elementos de segurança para segredos

• Isolamento de segredos: Os segredos são definidos ao nível da aplicação e isolados de revisões específicas.
• Referências de variáveis de ambiente: Fornecer informações confidenciais aos contentores como variáveis de ambiente.
• Montagens de volume: Montar segredos como ficheiros dentro de contentores.
• Integração com o Key Vault: Segredos de referência armazenados no Azure Key Vault.

Práticas recomendadas de segurança para segredos

• Evite armazenar segredos diretamente em Aplicações de Container para ambientes de produção.
• Use a integração Azure Key Vault para gestão centralizada de segredos.
• Implemente o privilégio mínimo ao conceder acesso a segredos.
• Use referências secretas nas variáveis do ambiente em vez de codificar valores fixamente.
• Use montagens de volume para aceder a segredos como ficheiros quando apropriado.
• Implementar práticas adequadas de rotação secreta.

Para obter mais informações, consulte Importar certificados do Cofre de Chaves do Azure para obter mais detalhes sobre como configurar o gerenciamento de segredos para seu aplicativo.

Armazenamento de tokens para autenticação segura

O recurso de armazenamento de tokens fornece uma maneira segura de gerenciar tokens de autenticação independentemente do código do aplicativo.

Como funciona a loja de tokens

• Os tokens são armazenados no Armazenamento de Blobs do Azure, separados do código do aplicativo
• Só o utilizador associado pode aceder aos tokens em cache.
• O Container Apps gere automaticamente a atualização dos tokens.
• Esta funcionalidade reduz a superfície de ataque ao eliminar o código personalizado de gestão de tokens.

Para obter mais informações, consulte Habilitar um armazenamento de token de autenticação para obter mais detalhes sobre como configurar um armazenamento de token para seu aplicativo.

Segurança de rede

Implementar medidas adequadas de segurança de rede ajuda a proteger as suas cargas de trabalho contra acessos não autorizados e potenciais ameaças. Também permite uma comunicação segura entre as suas aplicações e outros serviços.

Para obter mais informações sobre segurança de rede em Aplicativos de Contêiner do Azure, consulte os seguintes artigos:

• Configurar o gateway de aplicativo WAF
• Habilitar rotas definidas pelo usuário (UDR)
• Roteamento baseado em regras
  • Usar roteamento baseado em regras
  • Configurar um domínio personalizado
  • Protegendo uma VNET personalizada com um NSG
  • Usar um ponto de extremidade privado
  • Usar mTLS
  • Integração com o Azure Front Door

Computação confidencial (Prévia)

O Azure Container Apps inclui um perfil confidencial de carga de trabalho computacional (pré-visualização pública) que executa cargas de trabalho containerizadas dentro de Ambientes de Execução Confiáveis (TEEs) baseados em hardware. A computação confidencial complementa a encriptação da Azure em repouso e em trânsito, protegendo os dados em uso através da encriptação da memória e de atestar o ambiente antes da execução do código. Esta capacidade ajuda a reduzir o risco de acesso não autorizado a cargas de trabalho sensíveis, incluindo o acesso de operadores de cloud.

Use o perfil confidencial de carga de trabalho computacional quando as suas aplicações processam dados regulados ou altamente sensíveis e exigem garantias baseadas em atestado. A pré-visualização está disponível nos Emirados Árabes Unidos Norte. Para uma visão geral das capacidades da plataforma, consulte Azure Confidential Computing.