Azure metodtips för säkerhet för Aspire distributioner

När du distribuerar Aspire program till Azure genom att använda Aspire CLI eller Azure Developer CLI (azd) tillhandahåller plattformen flera säkerhetsfunktioner som standardinställningar. Den här artikeln beskriver standardsäkerhetsstatusen och ger vägledning om ytterligare steg som du kan vidta för att förbättra säkerheten för dina program.

Standardsäkerhetsstatus

När du distribuerar en Aspire applikation till Azure Container Apps med azd, konfigureras flera säkerhetsåtgärder automatiskt:

Säkerhet på containernivå

Säkra basavbildningar: Aspire genererar containeravbildningar med säkra Microsoft-underhållna basavbildningar som uppdateras regelbundet med säkerhetskorrigeringar.

Körning utan root-behörigheter: Containrar körs som standard utan root-användarbehörigheter, vilket minskar attackytan.

Minimal avbildningsyta: De genererade containrarna innehåller endast de nödvändiga körningskomponenterna, enligt principen om minsta behörighet.

Nätverkssäkerhet

Privat nätverk: Azure Container Apps miljöer använder virtuella nätverk med privata IP-adresser för intern kommunikation mellan tjänster.

Säker tjänst-till-tjänst-kommunikation: Kommunikation mellan tjänster använder Azure Container Appsinbyggd tjänstidentifiering med krypterad trafik.

HTTPS-slutpunkter: Offentliga slutpunkter konfigureras automatiskt med HTTPS med hjälp av Azurehanterade certifikat.

Identitets- och åtkomsthantering

Hanterade identiteter: Azure Container Apps konfigureras med systemtilldelade hanterade identiteter som standard, vilket eliminerar behovet av att lagra autentiseringsuppgifter i programkoden.

Azure RBAC-integrering: Resurser distribueras med lämpliga behörigheter för rollbaserad åtkomstkontroll (RBAC).

Hantering av konfiguration och hemligheter

Säker konfiguration: Programkonfigurationen lagras i Azure App Configuration när den är tillgänglig, separat från programkoden.

Miljövariabler: Känsliga konfigurationsvärden matas in som säkra miljövariabler i stället för att bäddas in i containeravbildningar.

Ytterligare säkerhetshärdning

Även om Aspire erbjuder bra säkerhetsstandardinställningar kan du implementera ytterligare åtgärder för förbättrat skydd:

Aktivera Azure Key Vault integration

Lagra känsliga konfigurationsdata och hemligheter i Azure Key Vault:

var builder = DistributedApplication.CreateBuilder(args);

// Add Azure Key Vault resource
var keyVault = builder.AddAzureKeyVault("key-vault");

// Reference Key Vault in your services
builder.AddProject<Projects.ApiService>()
       .WithReference(keyVault);

Mer information finns i AspireAzure Key Vault integrering.

Konfigurera användartilldelade hanterade identiteter

Om du vill ha mer detaljerad kontroll över behörigheter använder du användartilldelade hanterade identiteter:

var builder = DistributedApplication.CreateBuilder(args);

// Create or reference a user-assigned managed identity
var managedIdentity = builder.AddAzureUserAssignedIdentity("app-identity");

// Apply the identity to your container apps
builder.AddProject<Projects.ApiService>()
       .WithReference(managedIdentity);

Detaljerad vägledning finns i Användartilldelad hanterad identitet.

Aktivera omfattande övervakning

Application Insights: Övervaka dina program för säkerhetsavvikelser och prestandaproblem:

var builder = DistributedApplication.CreateBuilder(args);

// Add Application Insights
var appInsights = builder.AddAzureApplicationInsights("monitoring");

builder.AddProject<Projects.ApiService>()
       .WithReference(appInsights);

Mer information finns i Använda Aspire med Application Insights.

Azure Övervaka: Konfigurera aviseringar för misstänkta aktiviteter och resursförbrukningsavvikelser.

Ytterligare säkerhetsresurser

Omfattande vägledning om Azure säkerhet finns i Azure metodtips och mönster för säkerhet.

Nästa steg

• Distribuera ett Aspire projekt till Azure Container Apps
• Anpassa AspireAzure utplaceringar
• Aspire Azure Key Vault integration
• Användartilldelad hanterad identitet