Partilhar via

Azure Container Registry mitigação da exfiltração de dados com pontos finais de dados dedicados

  • Artigo

Azure Container Registry introduz pontos finais de dados dedicados. A funcionalidade permite regras de firewall de cliente de âmbito apertado para registos específicos, minimizando as preocupações de exfiltração de dados.

A funcionalidade Pontos finais de dados dedicados está disponível no escalão de serviço Premium . Para obter informações sobre preços, veja container-registry-pricing (Preços do registo de contentores).

A solicitação de conteúdos de um registo envolve dois pontos finais:

Ponto final do registo, muitas vezes referido como o URL de início de sessão, utilizado para autenticação e deteção de conteúdo. Um comando como docker Pulls contoso.azurecr.io/hello-world faz um pedido REST, que autentica e negoceia as camadas, que representam o artefacto pedido. Os pontos finais de dados servem blobs que representam camadas de conteúdo.

Diagrama para ilustrar pontos finais.

Contas de armazenamento geridas do registo

Azure Container Registry é um serviço multi-inquilino. O serviço de registo gere as contas de armazenamento de pontos finais de dados. As vantagens das contas de armazenamento geridas incluem o balanceamento de carga, a divisão de conteúdos contenciosos, várias cópias para uma entrega de conteúdo simultânea mais elevada e o suporte de várias regiões com georreplicação.

O suporte de rede virtual Azure Private Link permite os pontos finais privados para o serviço de registo gerido a partir das Redes Virtuais do Azure. Neste caso, tanto o registo como os pontos finais de dados estão acessíveis a partir da rede virtual, através de IPs privados.

Assim que o serviço de registo gerido e as contas de armazenamento estiverem ambos protegidos para acesso a partir da rede virtual, os pontos finais públicos são removidos.

Diagrama para ilustrar o suporte de rede virtual.

Infelizmente, a ligação de rede virtual nem sempre é uma opção.

Importante

Azure Private Link é a forma mais segura de controlar o acesso à rede entre os clientes e o registo, uma vez que o tráfego de rede está limitado ao Rede Virtual do Azure, através de IPs privados. Quando Private Link não é uma opção, os pontos finais de dados dedicados podem fornecer conhecimentos seguros sobre que recursos estão acessíveis a partir de cada cliente.

Regras de firewall de cliente e riscos de exfiltração de dados

As regras de firewall do cliente limitam o acesso a recursos específicos. As regras de firewall aplicam-se ao ligar a um registo a partir de anfitriões no local, dispositivos IoT, agentes de compilação personalizados. As regras também se aplicam quando o suporte Private Link não é uma opção.

Diagrama para ilustrar as regras de firewall do cliente.

À medida que os clientes bloquearam as configurações da firewall do cliente, perceberam que têm de criar uma regra com um caráter universal para todas as contas de armazenamento, o que levanta preocupações quanto à exfiltração de dados. Um mau ator poderia implementar código que fosse capaz de escrever na conta de armazenamento.

Diagrama para ilustrar os riscos de exfiltração de dados do cliente.

Assim, para resolver as preocupações de exfiltração de dados, Azure Container Registry está a disponibilizar pontos finais de dados dedicados.

Pontos finais de dados dedicados

Pontos finais de dados dedicados, ajudam a obter camadas do serviço Azure Container Registry, com nomes de domínio completamente qualificados que representam o domínio do registo.

Como qualquer registo pode tornar-se georreplicado, é utilizado um padrão regional: [registry].[region].data.azurecr.io.

Para o exemplo da Contoso, são adicionados vários pontos finais de dados regionais que suportam a região local com uma réplica próxima.

Com pontos finais de dados dedicados, o mau ator está impedido de escrever noutras contas de armazenamento.

Diagrama para ilustrar o exemplo contoso com pontos finais de dados dedicados.

Ativar pontos finais de dados dedicados

Nota

Mudar para pontos finais de dados dedicados afetará os clientes que configuraram o acesso da firewall aos pontos finais existentes *.blob.core.windows.net , causando falhas de solicitação. Para garantir que os clientes têm acesso consistente, adicione os novos pontos finais de dados às regras de firewall do cliente. Depois de concluído, os registos existentes podem ativar pontos finais de dados dedicados através do az cli.

Para utilizar os passos da CLI do Azure neste artigo, é necessária a versão 2.4.0 ou posterior da CLI do Azure. Se precisar de instalar ou atualizar, consulte Instalar a CLI do Azure ou executar no Azure Cloud Shell.

  • Execute o comando az acr update para ativar o ponto final de dados dedicado.
az acr update --name contoso --data-endpoint-enabled
  • Execute o comando az acr show para ver os pontos finais de dados, incluindo pontos finais regionais para registos georreplicados.
az acr show-endpoints --name contoso

Resultado do exemplo:

{
  "loginServer": "contoso.azurecr.io",
  "dataEndpoints": [
    {
      "region": "eastus",
      "endpoint": "contoso.eastus.data.azurecr.io",
    },
    {
     "region": "westus",
      "endpoint": "contoso.westus.data.azurecr.io",
    }
  ]
}

Passos seguintes