Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Container Apps, güvenli kapsayıcılı uygulamalar oluşturmanıza yardımcı olan çeşitli yerleşik güvenlik özellikleri sağlar. Bu kılavuzda, yönetilen kimlikler, gizli dizi yönetimi ve belirteç deposu gibi temel güvenlik ilkeleri keşfedilirken, güvenli ve ölçeklenebilir uygulamalar tasarlamanıza yardımcı olacak en iyi yöntemler sağlanır.
Yönetilen kimlikler
Yönetilen kimlikler , Microsoft Entra Id'de otomatik olarak yönetilen bir kimlik sağlayarak kodunuzda veya yapılandırmanızda kimlik bilgilerini depolama gereksinimini ortadan kaldırır. Kapsayıcı uygulamaları Azure Key Vault, Azure Depolama veya Azure SQL Veritabanı gibi Microsoft Entra kimlik doğrulamasını destekleyen tüm hizmetlerde kimlik doğrulaması yapmak için bu kimlikleri kullanabilir.
Yönetilen kimlik türleri
Azure Container Apps iki tür yönetilen kimliği destekler:
Sistem tarafından atanan kimlik: Kapsayıcı uygulamanızın yaşam döngüsüyle otomatik olarak oluşturulur ve yönetilir. Uygulamanız silindiğinde kimlik silinir.
Kullanıcı tarafından atanan kimlik: Bağımsız olarak oluşturulur ve kaynaklar arasında kimlik paylaşımına olanak sağlayan birden çok kapsayıcı uygulamasına atanabilir.
Azure Container Apps'teki yönetilen kimliklerin güvenlik avantajları
- Uygulama kodunuzda kimlik bilgilerini yönetme ve döndürme gereksinimini ortadan kaldırır
- Yapılandırma dosyalarında kimlik bilgilerinin açığa çıkarma riskini azaltır
- Azure RBAC aracılığıyla ayrıntılı erişim denetimi sağlar
- Yalnızca gerekli izinleri vererek en az ayrıcalık ilkesini destekler
Sistem tarafından atanan ve kullanıcı tarafından atanan kimlikler arasında seçim yapma
Aşağıdaki iş yükleri için sistem tarafından atanan kimlikleri kullanın:
- Tek bir kaynağın içinde yer alan
- Bağımsız kimlikler gerekiyor
Aşağıdaki iş yükleri için kullanıcı tarafından atanan kimlikleri kullanın:
- Tek bir kimliği paylaşan birden çok kaynağa erişim sağlama
- Kaynakların güvenliğini sağlamak için ön kimlik doğrulaması gerekiyor
Görüntü çekme işlemleri için yönetilen kimlik
Yaygın bir güvenlik düzeni, Azure Container Registry'deki özel depolardan görüntü çekmek için yönetilen kimlikleri kullanmaktır. Bu yaklaşım:
- Kayıt defteri için yönetici kimlik bilgilerini kullanmaktan kaçınıyor
- ACRPull rolü aracılığıyla ayrıntılı erişim denetimi sağlar
- Hem sistem tarafından atanan hem de kullanıcı tarafından atanan kimlikleri destekler
- Erişimi belirli kapsayıcılara sınırlamak için denetlenebilir
Uygulamanız için bir yönetilen kimlik ayarlamak hakkında daha fazla bilgi için Yönetilen kimlikler ve Yönetilen kimlikli Azure Container Registry'den görüntü çekme belgelerine bakın.
Gizli bilgi yönetimi
Azure Container Apps, bağlantı dizeleri, API anahtarları ve sertifikalar gibi hassas yapılandırma değerlerini güvenli bir şekilde depolamak ve bu değerlere erişmek için yerleşik mekanizmalar sağlar.
Gizli bilgi yönetiminin temel özellikleri
- Gizli bilgi yalıtımı: Gizli bilgileri uygulama düzeyiyle sınırlandırın ve bunları belirli revizyonlardan yalıtın.
- Ortam değişkeni başvuruları: Gizli dizileri ortam değişkenleri olarak kapsayıcılara sunma.
- Birim bağlamaları: Gizli dizileri kapsayıcıların içinde dosya olarak bağlayın.
- Key Vault entegrasyonu: Azure Key Vault'ta depolanan gizli anahtarlara başvurma.
Gizli bilgi yönetimi için en iyi uygulamalar
- Üretim ortamları için gizli bilgileri doğrudan Container Apps'te depolamaktan kaçının.
- Merkezi gizli öğe yönetimi için Azure Key Vault entegrasyonunu kullanın.
- Gizli bilgilere erişim izni verirken en az ayrıcalık ilkesini uygulayın.
- Sabit kodlama değerleri yerine ortam değişkenlerinde gizli referansları kullanın.
- Uygun olduğunda gizli bilgilere dosya formatında erişmek için birim bağlamalarını kullanın.
- Uygun şifre yenileme uygulamalarını hayata geçirin.
Daha fazla bilgi için, uygulamanız için gizli dizi yönetimini nasıl ayarlayacağınızı öğrenmek üzere Azure Key Vault’tan sertifikaları içeri aktarma konusuna bakın.
Kimlik doğrulama güvenliği için belirteç deposu
Belirteç deposu özelliği, uygulama kodunuzdan bağımsız olarak kimlik doğrulama belirteçlerini yönetmek için güvenli bir yol sağlar.
Kimlik doğrulama belirteci deposu nasıl çalışır?
- Sistem belirteçleri Azure Blob Depolama depolayarak uygulama kodunuzdan ayrı tutar.
- Yalnızca ilişkili kullanıcı önbelleğe alınmış belirteçlere erişebilir.
- Container Apps, belirteç yenilemeyi otomatik olarak gerçekleştirir.
- Bu özellik, özel belirteç yönetim kodunu ortadan kaldırarak saldırı yüzeyini azaltır.
Daha fazla bilgi için uygulamanızda bir belirteç deposunun nasıl kurulacağını öğrenmek üzere, Kimlik doğrulama belirteci deposunu etkinleştirme kısmına bakın.
Ağ güvenliği
Uygun ağ güvenlik önlemlerinin uygulanması, iş yüklerinizin yetkisiz erişime ve olası tehditlere karşı korunmasına yardımcı olur. Ayrıca, uygulamalarınız ve diğer hizmetler arasında güvenli iletişim sağlar.
Azure Container Apps'te ağ güvenliği hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- WAF Application Gateway'i yapılandırma
- Kullanıcı Tanımlı Yolları (UDR) Etkinleştirme
- Kural tabanlı yönlendirme
Gizli hesaplama
Azure Container Apps, donanım tabanlı Güvenilen Yürütme Ortamları (TEE) içinde kapsayıcılı iş yüklerini çalıştıran gizli bir işlem iş yükü profili içerir. Gizli hesaplama, kod yürütülmeden önce bellek şifrelemesi ve ortam doğrulaması aracılığıyla kullanım sırasındaki verileri koruyarak Azure’un bekleyen ve aktarım sırasındaki şifrelemesini tamamlar. Bu özellik, bulut operatörlerinin erişimi de dahil olmak üzere hassas iş yüklerine yetkisiz erişim riskini azaltmaya yardımcı olur.
Uygulamalarınız düzenlenmiş veya son derece hassas verileri işlerken ve kanıtlama tabanlı güvenceler gerektirdiğinde gizli işlem iş yükü profilini kullanın. Desteklenen bölgelere ve platform özelliklerine genel bakış için bkz. Azure gizli bilgi işlem.
Yapılandırma ayrıntıları için bkz. Azure Container Apps'te gizli bilgi işlem.
Microsoft Defender for Cloud Sunucusuz Kapsayıcılar Duruşu (önizleme)
Microsoft Defender for Cloud, Azure Container Apps için CSPM'da sunucusuz kapsayıcı duruşu özelliklerini içerir. Bu özellikler Azure Container Apps iş yükleri için envanter, duruş değerlendirmeleri ve saldırı yolu analizi sağlayarak güvenlik ekiplerinin kapsayıcı uygulamaları ortamındaki riskleri belirleyip önceliklerini belirlemesini sağlar. Ekleme yönergeleri ve özellik ayrıntıları için bkz. Sunucusuz koruma.