RINGKASAN

Selesai

Tinjauan keamanan Contoso Retail mengidentifikasi tiga kesenjangan keamanan kontainer—registri menggunakan kredensial admin bersama, beban kerja kontainer yang meneruskan rahasia sebagai variabel lingkungan teks biasa, dan lingkungan Container Apps dengan ingress publik yang tidak dibatasi pada setiap layanan. Modul ini menutup setiap celah menggunakan serangkaian kontrol yang sama yang berlaku di ketiga lapisan layanan kontainer Azure.

Apa yang Anda capai

Anda mengamankan Azure Container Registry dengan menonaktifkan akun admin dan menggantinya dengan penetapan peran RBAC yang tercakup pada identitas dan operasi tertentu. Pengembang dan pipeline kini melakukan autentikasi menggunakan identitas Microsoft Entra ID, dan setiap tindakan pada registri dapat dikaitkan dengan pengguna atau beban kerja tertentu. Token peta cakupan memberi alur CI/CD izin minimum yang diperlukan untuk repositori spesifik mereka tanpa memberikan akses ke registri lainnya. Titik akhir privat menghapus akses jaringan publik ke registri, dan kepercayaan konten menetapkan persyaratan bahwa gambar harus ditandatangani secara kriptografis sebelum dapat disimpan.

Untuk Azure Container Instances, Anda menetapkan identitas terkelola ke grup kontainer dan mengganti variabel lingkungan teks biasa dengan referensi rahasia Key Vault yang diambil identitas terkelola saat runtime. Manifes penyebaran tidak lagi berisi nilai sensitif, dan nilai rahasia tidak terlihat dalam metadata portal Azure atau respons API. Container kini berjalan dalam jaringan virtual dengan alamat IP privat, berjalan sebagai pengguna non-root, dan menggunakan sistem file root yang hanya-baca.

Dalam Azure Container Apps, Anda memisahkan layanan berdasarkan tingkat kepercayaan di berbagai lingkungan, menetapkan identitas terkelola untuk pengambilan image dan akses ke Key Vault, serta mengonfigurasi ingress internal agar API backend tidak terekspos ke internet publik. Referensi Key Vault menggantikan rahasia level lingkungan untuk string koneksi dan kredensial. Untuk layanan yang menggunakan Dapr, TLS timbal balik otomatis mengenkripsi semua komunikasi antar-layanan tanpa perlu mengelola sertifikat atau mengubah kode aplikasi.

Pelajari lebih lanjut