Sommario

Completato

La revisione della sicurezza di Contoso Retail ha identificato tre lacune di sicurezza dei contenitori: un registro che usa credenziali di amministratore condivise, carichi di lavoro dei contenitori che passano segreti come variabili di ambiente di testo normale e un ambiente app contenitore con ingresso pubblico senza restrizioni in ogni servizio. Questo modulo ha chiuso ogni gap usando lo stesso set di controlli che si applicano a tutti e tre i livelli del servizio contenitore Azure.

Ciò che hai fatto

Hai protetto Registro Azure Container disabilitando l'account amministratore e sostituendolo con assegnazioni di ruolo RBAC limitate a identità e operazioni specifiche. Gli sviluppatori e le pipeline ora eseguono l'autenticazione con identità Microsoft Entra ID e ogni azione del Registro di sistema è attribuibile a un utente o a un carico di lavoro specifico. I token di mappatura dell'ambito fornivano alle pipeline CI/CD le autorizzazioni minime necessarie per il rispettivo repository, senza concedere l'accesso al resto del registro. Gli endpoint privati hanno eliminato l'accesso alla rete pubblica al registro e la funzionalità di attendibilità del contenuto ha imposto che le immagini siano firmate crittograficamente prima di poter essere memorizzate.

Per Istanze di Azure Container, sono state assegnate identità gestite ai gruppi di contenitori e sono state sostituite le variabili di ambiente di testo normale con riferimenti Key Vault segreti recuperati dall'identità gestita in fase di esecuzione. Il manifest di distribuzione non contiene più valori sensibili e i valori dei segreti non sono visibili nei metadati del portale di Azure né nelle risposte dell'API. I contenitori vengono ora eseguiti in una rete virtuale con indirizzi IP privati, operano come utenti nonroot e usano file system radice di sola lettura.

In App contenitore di Azure, hai separato i servizi in base al livello di attendibilità nei vari ambienti, assegnato identità gestite per il pull delle immagini e l’accesso a Key Vault e configurato l’ingresso interno per mantenere le API di back-end fuori da Internet pubblico. I riferimenti a Key Vault hanno sostituito i segreti a livello di ambiente per le stringhe di connessione e le credenziali. Per i servizi che utilizzano Dapr, il TLS reciproco automatico crittografa tutte le comunicazioni tra servizi senza richiedere la gestione dei certificati né modifiche al codice dell'applicazione.

Ulteriori informazioni