Azure Container Apps dağıtımınızın güvenliğini sağlama

Azure Container Apps, kurumsal düzeyde güvenlik özellikleri sağlarken karmaşık altyapıyı yönetmeden kapsayıcılı uygulamaları çalıştırma özellikleri sağlar. Bu hizmeti dağıtırken verileri, yapılandırmaları ve altyapıyı korumak için en iyi güvenlik yöntemlerini izleyin.

Bu makaledeki güvenlik önerileri Sıfır Güven ilkelerini uygular: "Açıkça doğrula", "En az ayrıcalık erişimi kullan" ve "İhlal varsay". Kapsamlı Sıfır Güven kılavuzu için bkz. Sıfır Güven Kılavuzu Merkezi.

Bu makalede, Azure Container Apps dağıtımınızın korunmasına yardımcı olacak güvenlik önerileri sağlanır.

Ağ güvenliği

Ağ güvenlik denetimleri, kapsayıcı uygulama uç noktalarına yetkisiz erişimi engeller ve uygulamalarınızla dış hizmetleriniz arasında güvenli iletişim sınırları oluşturur.

  • Sanal ağda kapsayıcı uygulamaları dağıtma: Ağ trafiğini denetlemek ve arka uç kaynaklarına güvenli erişim sağlamak için kapsayıcı uygulama ortamınızı Azure Sanal Ağları ile tümleştirin. Sanal ağ tümleştirmesi, uygulamalarınızın özel ağlardaki kaynaklara erişmesini sağlarken İnternet tabanlı saldırılara karşı koruma sağlar. Bkz. Sanal ağ yapılandırması.

  • Gelen erişim için özel uç noktaları etkinleştirme: İstemci trafiğini sanal ağınız üzerinden yönlendirmek için Azure Özel Bağlantı'yı kullanarak genel İnternet'e maruz kalma durumunu ortadan kaldırın. Özel uç noktalar sanal ağınızdan özel bir IP adresi sağlayarak kapsayıcı uygulamanızı ağ çevrenize etkili bir şekilde getirir. Bkz . Azure Container Apps ortamıyla özel uç nokta kullanma.

  • Tam yalıtım için iç ortamları yapılandırma: Sanal ağınızdaki istemcilere gelen tüm erişimi kısıtlamak için iç Container Apps ortamlarını dağıtın. İç ortamlar genel İnternet'ten tam yalıtım sağlar ve kapsayıcı uygulamaları ile diğer ağ kaynakları arasında güvenli iletişim sağlar. Bkz. Azure Container Apps ortamında ağ oluşturma.

  • Genel ağ erişimini devre dışı bırakma: Özel uç noktaları kullanırken genel ağ erişimini devre dışı bırakmak için Container Apps ortamlarını yapılandırın ve tüm bağlantıların denetlenen sanal ağ ortamınız üzerinden gerçekleşmesini sağlayın. Bu yapılandırma yetkisiz dış erişim girişimlerini engeller. Bkz. Azure Container Apps ortamlarındaki sanal ağlar için özel uç noktalar ve DNS.

  • Giden trafik denetimi için Azure Güvenlik Duvarı'nı uygulama: İletişimin yalnızca onaylanan hedeflerle gerçekleştiğinden emin olmak için kapsayıcı uygulamalarınızdan gelen tüm giden trafiği denetlemek ve izlemek için Kullanıcı tanımlı yollar (UDR) ile Azure Güvenlik Duvarı'nı kullanın. Bkz . Kullanıcı Tanımlı Yolları (UDR) Etkinleştirme.

  • Ağ Güvenlik Gruplarını kısıtlayıcı kurallarla yapılandırma: Gerekli iletişim desenleri için belirli izin verme kurallarıyla varsayılan olarak reddet ilkeleri uygulayarak Container Apps alt ağlarınıza gelen ve bu alt ağlardan gelen trafik akışını denetlemek için Ağ Güvenlik Grupları uygulayın. Bkz . NSG ile mevcut bir sanal ağın güvenliğini sağlama.

  • Uygulama düzeyinde kısıtlamaları yapılandırma: Kapsayıcı uygulamalarının güvenli bir şekilde kullanıma sürülmesi için istemci sertifikası kimlik doğrulaması ve IP kısıtlamaları gibi uygun güvenlik denetimleriyle giriş ayarlarını yapılandırın. İnternet'ten erişilmemesi gereken uygulamalar için iç girişi kullanın. Bkz. Ingress genel bakış.

Kimlik ve erişim yönetimi

Kimlik ve erişim yönetimi denetimleri yalnızca yetkili kullanıcıların ve uygulamaların uygun izinlere ve kimlik doğrulama mekanizmalarına sahip Container Apps kaynaklarına erişebilmesini sağlar.

  • Kimlik doğrulama ve yetkilendirmeyi etkinleştirme: Kapsayıcı uygulama uç noktalarını temel erişim denetimlerinin ötesinde korumak için Microsoft Entra Id ve diğer kimlik sağlayıcılarını kullanarak yerleşik kimlik doğrulamasını yapılandırın. Bu yapılandırma merkezi kimlik yönetimi sağlar ve özel yetkilendirme kurallarını destekler. Bkz. Azure Container Apps'te kimlik doğrulaması ve yetkilendirme.

  • Hizmet bağlantıları için yönetilen kimlikleri kullanma: Kimlik bilgilerini kodda veya yapılandırmada depolamadan diğer Azure hizmetlerinde kimlik doğrulaması yapmak için sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimlikleri yapılandırın. Yönetilen kimlikler, kimlik bilgisi yönetimi ek yükünü ortadan kaldırır ve otomatik gizli anahtar dönüştürme sağlar. Bkz . Azure Container Apps'te yönetilen kimlikleri kullanma.

  • Rol tabanlı erişim denetimi (RBAC) uygulama: Container Apps yönetim işlemleri için ayrıntılı izinler sağlamak üzere Azure RBAC kullanın. Kullanıcılara sorumluluklarına göre Katkıda Bulunan, Sahip veya Okuyucu gibi gerekli en düşük rolleri atayın. Bkz. Azure Container Apps için Azure güvenlik temeli.

  • Microsoft Entra Id kimlik doğrulamasını yapılandırma: Merkezi kimlik yönetimi için Microsoft Entra Id kullanın ve kullanıcı, konum ve cihaz koşullarına göre erişimi denetlemek için koşullu erişim ilkelerini etkinleştirin. Bu yapılandırma, çok faktörlü kimlik doğrulama desteği ile kurumsal düzeyde kimlik doğrulama özellikleri sağlar. Bkz . Azure Active Directory ile Azure Container Apps'te kimlik doğrulama ve yetkilendirmeyi etkinleştirme.

  • Güvenli kimlik doğrulaması için belirteç deposunu etkinleştirme: Uygulama kodunuzdan bağımsız olarak kimlik doğrulama belirteçlerini güvenli bir şekilde yönetmek için yerleşik belirteç deposu özelliğini kullanın. Belirteç deposu otomatik belirteç yenilemesi sağlar ve özel belirteç yönetim kodunu ortadan kaldırarak saldırı yüzeyini azaltır. Bkz. Kimlik doğrulama belirteci deposunu etkinleştirme.

Veri koruma

Veri koruma mekanizmaları şifreleme, güvenli depolama ve gizli diziler ile yapılandırma verilerinin düzgün işlenmesi yoluyla kapsayıcı uygulamaları tarafından işlenen hassas bilgileri korur.

  • Tüm iletişimler için HTTPS'yi zorunlu kılma: Tüm veri iletimlerinin TLS şifrelemesini kullandığına emin olmak için Tüm HTTP trafiğini HTTPS'ye yeniden yönlendirmek için Envoy proxy'sini yapılandırın. Şifrelenmemiş bağlantıları önlemek için giriş yapılandırmanızda ayarlayın allowInsecure: false . Bkz. Azure Container Apps'te HTTPS veya TCP girişi ayarlama.

  • Gizli dizi yönetimi için Azure Key Vault kullanma: Bağlantı dizelerini, API anahtarlarını ve diğer gizli dizileri uygulama ayarları yerine Azure Key Vault'ta depolayın. Gelişmiş güvenlik ve denetim özellikleriyle merkezi bir şekilde gizli anahtar yönetimini korurken, çalışma zamanında bu gizli anahtarları almak için Key Vault referanslarını kullanın. Bkz. Azure Key Vault'tan sertifikaları içeri aktarma.

  • Karşılıklı Aktarım Katmanı Güvenliği'ni (mTLS) etkinleştirme: Hem istemci hem de sunucu kimliklerini doğrulayan çift yönlü kimlik doğrulaması sağlayarak hizmetler arasındaki trafiğin kimliğini doğrulamak ve şifrelemek için mTLS kullanın. Bu özellik, kapsayıcı uygulaması ortamınızda hizmet-hizmet iletişimi için güvenliği artırır. Bkz. Karşılıklı Aktarım Katmanı Güvenliği (mTLS) kullanma.

  • Uygun gizli dizi yönetimini uygulama: Uygun yalıtım ve erişim denetimleriyle Container Apps yerleşik gizli dizi yönetimini kullanın. Gizli anahtarları doğrudan kapsayıcı görüntülerinde veya ortam değişkenlerinde depolamaktan kaçının; bunun yerine, üretim ortamları için gizli anahtar başvurularını ve Key Vault entegrasyonunu kullanın. Bkz . Azure Container Apps'te güvenliğe genel bakış.

  • Güvenli kapsayıcı görüntüsü depolama: Azure Container Registry'de kapsayıcı görüntülerini kimlik doğrulaması etkin olarak depolayın ve olağanüstü durum kurtarma için coğrafi çoğaltmayı yapılandırın. Görüntü erişimi üzerinde denetimi korumak için üretim iş yükleri için genel depolar yerine özel kayıt defterleri kullanın. Bkz Azure Container Apps için mimari en iyi uygulamalar.

Kayıt ve izleme

Kapsamlı günlük kaydı ve izleme, tehdit algılama ve işletimsel gözetim sağlamak için Container Apps işlemleri, güvenlik olayları ve performans ölçümlerine görünürlük sağlar.

  • Azure İzleyici Log Analytics tümleştirmesini etkinleştirme: Ortamınızdaki tüm kapsayıcı uygulamalarından sistem ve uygulama günlüklerini toplamak ve analiz etmek için Log Analytics çalışma alanı tümleştirmesini yapılandırın. Bu yapılandırma merkezi günlük yönetimi sağlar ve güvenlik izleme ve uyumluluk denetimini destekler. Daha fazla bilgi için bkz. Log Analytics ile Azure Container Apps'te günlükleri izleme.

  • Tanılama ayarlarını yapılandırma: Merkezi analiz ve uzun süreli saklama için kapsayıcı uygulama günlüklerini ve ölçümlerini Azure İzleyici Günlüklerine, depolama hesaplarına veya Event Hubs'a aktarmak için tanılama ayarlarını etkinleştirin. Bu yapılandırma, güvenlik araştırmalarını ve uyumluluk gereksinimlerini destekler. Daha fazla bilgi için bkz. Azure Container Apps'te gözlemlenebilirlik.

  • Azure İzleyici uyarılarını ayarlama: Başarısız kimlik doğrulamaları, olağan dışı trafik desenleri, yüksek hata oranları ve kaynak tüketimi anomalileri gibi şüpheli etkinlikler için uyarıları yapılandırın. Olası güvenlik olaylarına otomatik yanıt vermek için eylem gruplarını kullanın. Daha fazla bilgi için bkz. Azure İzleyici uyarıları.

  • Gerçek zamanlı izleme için günlük akışını etkinleştirme: Anında sorun giderme ve güvenlik olayı algılama için kapsayıcılardan neredeyse gerçek zamanlı sistem ve konsol günlüklerini görüntülemek için günlük akışı özelliklerini kullanın. Bu özellik, güvenlik olayları sırasında hızlı yanıt özellikleri sağlar. Daha fazla bilgi için Günlük akışı bölümüne bakın.

  • Application Insights tümleştirmesini gerçekleştirin: Kapsayıcı uygulamalarınızdan ayrıntılı telemetri, performans ölçümleri ve özel izler yakalamak için Application Insights tümleştirmesini yapılandırın. Bu tümleştirme, güvenlik analizi ve performans iyileştirme için kapsamlı gözlemlenebilirlik sağlar. Daha fazla bilgi için bkz. Azure Container Apps üzerinde Azure İşlevleri'ne genel bakış.

Uyumluluk ve idare

Uyumluluk ve idare denetimleri, Uygun yapılandırma yönetimi ve denetim özellikleri aracılığıyla Container Apps dağıtımlarının mevzuat gereksinimlerini ve kuruluş ilkelerini karşılamasını sağlar.

  • Azure İlkesi tanımlarını uygulama: Sanal ağ dağıtımı, kimlik doğrulama gereksinimleri ve HTTPS zorlaması gibi güvenlik yapılandırmalarını denetlemek ve zorunlu kılmak için yerleşik Azure İlkesi tanımlarını kullanın. İlkeler, ortamlar arasında tutarlı güvenlik duruşu sağlamaya yardımcı olur. Daha fazla bilgi için bkz. Azure Container Apps için Azure İlkesi yerleşik tanımları.

  • Kaynak etiketleme uygulama: Maliyet yönetimi, güvenlik izleme, uyumluluk izleme ve idare için Container Apps kaynaklarına tutarlı kaynak etiketleri uygulayın. Veri sınıflandırmasını, sahip bilgilerini ve mevzuat gereksinimlerini tanımlamak için etiketleri kullanın. Daha fazla bilgi için bkz. Azure Container Apps için Azure güvenlik temeli.

  • Koşullu erişim ilkelerini yapılandırma: Kimlik doğrulama özelliklerini kullanırken kullanıcı kimliğine, konuma, cihaz uyumluluğuna ve risk değerlendirmesine göre Container Apps'e erişimi denetlemek için Microsoft Entra koşullu erişim ilkelerini kullanın. Daha fazla bilgi için bkz. Azure Container Apps için Azure güvenlik temeli.

  • Denetim kayıtlarını ve uyumluluk belgelerini koruma: Kapsamlı günlüğe kaydetmenin tanılama ayarlarını ve etkinlik günlüklerini kullanarak tüm kapsayıcı uygulaması yönetim eylemlerini, yapılandırma değişikliklerini ve mevzuat uyumluluğu ve güvenlik araştırmalarına yönelik erişim girişimlerini yakaladığından emin olun. Daha fazla bilgi için bkz. Azure Container Apps için Azure güvenlik temeli.

Yedekleme ve kurtarma

Yedekleme ve kurtarma stratejileri, kapsayıcı uygulaması yapılandırmalarını korur ve uygun olağanüstü durum kurtarma planlaması ve çok bölgeli dağıtım stratejileri aracılığıyla iş sürekliliğini güvence altına alır.

  • Yüksek kullanılabilirlik için bölge yedekliliğini etkinleştirme: Container Apps ortamlarında bölge yedekliliğini yapılandırarak çoğaltmaları bir bölge içindeki birden çok kullanılabilirlik alanına otomatik olarak dağıtın. Bu yapılandırma, bölge düzeyindeki hatalara karşı koruma sağlar ve uygulama çalışma süresini iyileştirir. Bkz. Azure Container Apps'te güvenilirlik.

  • Çok bölgeli dağıtımları uygulama: Bölgesel kesintiler sırasında otomatik yük devretme özellikleri için Azure Front Door veya Azure Traffic Manager'ı kullanarak birden çok Azure bölgesine Container Apps dağıtın. Bu strateji, kritik iş yükleri için sürekli uygulama kullanılabilirliği sağlar. Bkz. Bölgeler arası olağanüstü durum kurtarma ve iş sürekliliği.

  • Dağıtım otomasyonu için kod olarak altyapıyı kullanma: Azure Resource Manager şablonlarını, Bicep'i veya diğer altyapıyı kod araçları olarak kullanarak otomatik dağıtım işlemlerini uygulayarak kapsayıcı uygulaması yapılandırmalarını olaylardan sonra veya alternatif bölgelerde hızla yeniden dağıtabilmenizi sağlayın. Bkz. Azure Container Apps - Giriş Bölgesi Hızlandırıcısı için yönetim ve işlemler.

  • Coğrafi olarak yedekli kapsayıcı kayıt defterini yapılandırma: Olağanüstü durum kurtarma senaryolarında kapsayıcı görüntülerinin birden çok bölgede kullanılabildiğinden emin olmak için coğrafi çoğaltma etkinken Azure Container Registry'yi kullanın. Bu yapılandırma, kayıt defteri kesintilerine karşı koruma sağlar ve çok bölgeli dağıtımları destekler. Bkz. Azure Container Apps - Giriş Bölgesi Hızlandırıcısı için yönetim ve işlemler.

  • Olağanüstü durum kurtarma yordamlarını test etme: Etkinliği doğrulamak ve olağanüstü durum kurtarma planlamalarındaki boşlukları belirlemek için uygulama dağıtımı, yapılandırma geri yükleme ve yük devretme işlemleri dahil olmak üzere yedekleme ve kurtarma yordamlarını düzenli olarak test edin. Test sonuçlarını belgeleyin ve öğrenilen derslere göre yordamları güncelleştirin. Bkz . Yedeklemeyi ve olağanüstü durum kurtarmayı test etme.

Hizmete özgü güvenlik

Container Apps kapsayıcılı iş yükleri, mikro hizmet mimarileri ve bulutta yerel uygulamalar için özel olarak tasarlanmış benzersiz güvenlik özellikleri sağlar.

  • Ortam düzeyinde güvenlik sınırlarını yapılandırma: Farklı uygulamalar ve iş yükleri arasında güvenlik sınırları oluşturmak için Container Apps ortamlarını kullanın. Yetkisiz erişim ve yapılandırma kaymasını önlemek için üretim ve üretim dışı ortamları ayırın. Bkz . Ortama genel bakış.

  • Uygun ölçeklendirme ve kaynak sınırlarını uygulama: Kaynak tükenmesi saldırılarını önlemek ve uygulamalar arasında adil kaynak ayırma sağlamak için uygun ölçeklendirme kurallarını ve kaynak sınırlarını yapılandırın. Güvenlik sorunlarını gösterebilecek olağan dışı desenler için ölçeklendirme olaylarını izleyin. Bkz. Azure Container Apps'te ölçeklendirme kurallarını ayarlama.

Sonraki Adımlar