Visão geral de segurança para Azure Container Apps

As Aplicações de Contentor do Azure fornecem várias funcionalidades de segurança incorporadas que o ajudam a criar aplicações em contentores seguras. Este guia explora os principais princípios de segurança, incluindo identidades gerenciadas, gerenciamento de segredos e armazenamento de tokens, ao mesmo tempo em que fornece práticas recomendadas para ajudá-lo a projetar aplicativos seguros e escaláveis.

Identidades gerenciadas

As identidades gerenciadas eliminam a necessidade de armazenar credenciais em seu código ou configuração, fornecendo uma identidade gerenciada automaticamente no ID do Microsoft Entra. Os aplicativos de contêiner podem usar essas identidades para autenticar em qualquer serviço que ofereça suporte à autenticação do Microsoft Entra, como o Cofre da Chave do Azure, o Armazenamento do Azure ou o Banco de Dados SQL do Azure.

Tipos de identidade gerenciados

Os Aplicativos de Contêiner do Azure dão suporte a dois tipos de identidades gerenciadas:

• Identidade atribuída ao sistema: criada e gerenciada automaticamente com o ciclo de vida do seu aplicativo de contêiner. A identidade é excluída quando seu aplicativo é excluído.

• Identidade atribuída pelo usuário: criada independentemente e pode ser atribuída a vários aplicativos de contêiner, permitindo o compartilhamento de identidade entre recursos.

Benefícios de segurança das identidades geridas no Azure Container Apps

• Elimina a necessidade de gerir e rodar credenciais no código da aplicação
• Reduz o risco de exposição de credenciais em arquivos de configuração
• Fornece controle de acesso refinado por meio do RBAC do Azure
• Suporta o princípio do menor privilégio concedendo apenas as permissões necessárias

Escolha entre identidades atribuídas pelo sistema e atribuídas pelo utilizador

• Use identidades atribuídas pelo sistema para cargas de trabalho que:

  • Estão contidos em um único recurso
  • Precisa de identidades independentes

• Use identidades atribuídas pelo usuário para cargas de trabalho que:

  • Executar em vários recursos que compartilham a mesma identidade
  • Precisa de pré-autorização para proteger recursos

Identidade gerenciada para extrações de imagem

Um padrão de segurança comum é usar identidades gerenciadas para extrair imagens de repositórios privados no Registro de Contêiner do Azure. Esta abordagem:

• Evita o uso de credenciais administrativas para o registro
• Fornece controle de acesso refinado por meio da função ACRPull
• Suporta identidades atribuídas pelo sistema e pelo usuário
• Pode ser controlado para limitar o acesso a contentores específicos

Para mais informações, consulte Identidades Geridas e Extração de Imagens do Azure Container Registry com Identidade Gerida para mais detalhes sobre como configurar uma identidade gerida para a sua aplicação.

Gestão de segredos

Os Aplicativos de Contêiner do Azure fornecem mecanismos internos para armazenar e acessar com segurança valores de configuração confidenciais, como cadeias de conexão, chaves de API e certificados.

Funcionalidades de gestão de segredos-chave

• Isolamento de segredos: Defina os segredos ao nível da aplicação e isole-os de revisões específicas.
• Referências de variáveis de ambiente: Fornecer informações confidenciais aos contentores como variáveis de ambiente.
• Montagens de volume: Montar segredos como ficheiros dentro de contentores.
• Integração com o Key Vault: Segredos de referência armazenados no Azure Key Vault.

Boas práticas para a gestão de segredos

• Evite armazenar segredos diretamente em Aplicações de Container para ambientes de produção.
• Use a integração Azure Key Vault para gestão centralizada de segredos.
• Implemente o privilégio mínimo ao conceder acesso a segredos.
• Use referências secretas nas variáveis do ambiente em vez de codificar valores fixamente.
• Use montagens de volume para aceder a segredos como ficheiros quando apropriado.
• Implementar práticas adequadas de rotação secreta.

Para mais informações, consulte Importar certificados de Azure Key Vault para aprender como configurar a gestão de segredos para a sua aplicação.

Armazenamento de tokens para segurança de autenticação

O recurso de armazenamento de tokens fornece uma maneira segura de gerenciar tokens de autenticação independentemente do código do aplicativo.

Como funciona o armazenamento de tokens de autenticação

• O sistema armazena os tokens no Armazenamento de Blobs do Azure, mantendo-os separados do código da sua aplicação.
• Só o utilizador associado pode aceder aos tokens em cache.
• O Container Apps gere automaticamente a atualização dos tokens.
• Esta funcionalidade reduz a superfície de ataque ao eliminar o código personalizado de gestão de tokens.

Para obter mais informações, consulte Habilitar um armazenamento de token de autenticação para obter mais detalhes sobre como configurar um armazenamento de token para seu aplicativo.

Segurança de rede

Implementar medidas adequadas de segurança de rede ajuda a proteger as suas cargas de trabalho contra acessos não autorizados e potenciais ameaças. Também permite uma comunicação segura entre as suas aplicações e outros serviços.

Para obter mais informações sobre segurança de rede em Aplicativos de Contêiner do Azure, consulte os seguintes artigos:

• Configurar o gateway de aplicativo WAF
• Habilitar rotas definidas pelo usuário (UDR)
• Roteamento baseado em regras
  • Usar roteamento baseado em regras
  • Configurar um domínio personalizado
  • Protegendo uma VNET personalizada com um NSG
  • Usar um ponto de extremidade privado
  • Usar mTLS
  • Integração com o Azure Front Door

Cálculo confidencial (pré-visualização)

Azure Container Apps inclui um perfil confidencial de carga de trabalho computacional que executa cargas de trabalho containerizadas dentro de Ambientes de Execução Confiáveis (TEEs) baseados em hardware. A computação confidencial complementa a encriptação Azure em repouso e em trânsito, protegendo os dados em uso através de encriptação de memória e atestação ambiental antes da execução do código. Esta capacidade ajuda a reduzir o risco de acesso não autorizado a cargas de trabalho sensíveis, incluindo o acesso de operadores de cloud.

Use o perfil confidencial de carga de trabalho computacional quando as suas aplicações processam dados regulados ou altamente sensíveis e exigem garantias baseadas em atestado. Para uma visão geral das regiões suportadas e capacidades da plataforma, veja Azure computação confidencial.

Para detalhes de configuração, veja Compute confidencial em Azure Container Apps.

Microsoft Defender para Postura de Segurança de Contentores Sem Servidor na Cloud (pré-visualização)

Microsoft Defender para a Cloud inclui funcionalidades de gestão da postura de contentores sem servidor em CSPM para Azure Container Apps. Estas capacidades fornecem inventário, avaliações de postura e análise do caminho de ataque para cargas de trabalho do Azure Container Apps, permitindo que as equipas de segurança identifiquem e priorizem riscos no seu ambiente de aplicações container. Para orientações de configuração inicial e detalhes sobre as funcionalidades, consulte Proteção sem servidor.