Registro Azure Container attenua l'esfiltrazione dei dati con endpoint dati dedicati

Articolo
10/02/2024

Registro Azure Container introduce endpoint di dati dedicati. La funzione consente di assegnare regole firewall client a registri specifici, riducendo al minimo i problemi di esfiltrazione dei dati.

La funzionalità endpoint dati dedicati è disponibile nel livello di servizio Premium. Per informazioni sui costi, vedere container-registry-pricing..

Il pull del contenuto da un registro prevede due endpoint:

Endpoint del registro di sistema, spesso definito URL di accesso, usato per l'autenticazione e l'individuazione del contenuto. Un comando come i pull docker contoso.azurecr.io/hello-world effettua una richiesta REST, che autentica e negozia i livelli, che rappresentano l'artefatto richiesto. Endpoint dati gestiscono i BLOB che rappresentano i livelli di contenuto.

Diagramma che illustra gli endpoint.

Account di archiviazione gestiti con registro di sistema

Registro Azure Container è un servizio multi tenant. Il servizio del registro di sistema gestisce gli account di archiviazione dell'endpoint dati. I vantaggi degli account di archiviazione gestiti includono il bilanciamento del carico, la suddivisione di contenuto conteso, copie differenti per la distribuzione di contenuti simultanei più elevati e il supporto in più aree con replica geografica.

Supporto rete virtuale e supporto collegamento privato di Azure

Il supporto rete virtuale collegamento privato di Azure abilita gli endpoint privati per il servizio registro di sistema gestito dalle reti virtuali di Azure. In questo caso, sia il registro di sistema sia gli endpoint privati sono accessibili dall'interno della rete virtuale, mediante IP privati.

Dopo che il servizio del registro di sistema gestito e gli account di archiviazione risultano entrambi protetti per l'accesso dall'interno della rete virtuale, gli endpoint pubblici vengono rimossi.

Diagramma che illustra il supporto della rete virtuale.

Sfortunatamente, la connessione di rete virtuale non è sempre un'opzione.

Importante

Collegamento privato di Azure è il modo più sicuro per controllare l'accesso di rete tra i client e il registro di sistema, perché il traffico di rete è limitato alla rete virtuale di Azure usando IP privati. Quando il collegamento privato non è un'opzione, gli endpoint dati dedicati possono fornire informazioni sicure sulle risorse accessibili da ciascun client.

Rischi di esfiltrazione dei dati e regole del firewall client

Le regole del firewall client limitano l'accesso a risorse specifiche. Le regole del firewall si applicano durante la connessione a un registro da host locali, dispositivi IoT, agenti di compilazione personalizzati. Le regole si applicano anche quando il supporto collegamento privato non è un'opzione.

Diagramma che illustra le regole del firewall client.

Quando i clienti hanno bloccato le configurazioni dei loro firewall client, si sono resi conto di dover creare una regola con un carattere jolly per tutti gli account di archiviazione, sollevando problemi di esfiltrazione dei dati. Un attore malevolo potrebbe distribuire codice in grado di scrivere nel loro account di archiviazione.

Diagramma che illustra i rischi di esfiltrazione dei dati client.

Perciò, per affrontare le problematiche legate all'esfiltrazione di dati, Registro Azure Container sta rendendo disponibili endpoint di dati dedicati.

Endpoint dati dedicati

Endpoint di dati dedicati, che aiutano a recuperare i livelli dal servizio Registro Azure Container, con nomi di dominio completamente qualificati che rappresentano il dominio del registro.

Poiché qualsiasi registro può diventare con replica geografica, viene usato un modello a livello di area: [registry].[region].data.azurecr.io.

Per l'esempio Contoso, vengono aggiunti più endpoint dati a livello di area che supportano l'area locale con una replica vicina.

Con gli endpoint dati dedicati, l'attore malevolo non è in grado di scrivere in altri account di archiviazione.

Diagramma che illustra l'esempio Contoso con endpoint dati dedicati.

Abilitare endpoint dati dedicati

Nota

Il passaggio a endpoint dati dedicati avrà un impatto sui client che hanno configurato l'accesso via firewall agli endpoint *.blob.core.windows.net esistenti, causando errori di pull. Per far sì che i client dispongano di un accesso coerente, aggiungere i nuovi endpoint dei dati alle regole del firewall del client. Al termine, i registri esistenti potranno abilitare endpoint dati dedicati tramite il az cli.

Per usare i passaggi dell'interfaccia della riga di comando di Azure in questo articolo, è necessaria la versione 2.4.0 o successiva dell'interfaccia della riga di comando di Azure. Se è necessario eseguire un'installazione o un aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure o eseguire in Azure Cloud Shell.

Eseguire il comando az acr update per abilitare l'endpoint dati dedicato.

az acr update --name contoso --data-endpoint-enabled

Eseguire il comando az acr show per visualizzare gli endpoint dati, inclusi gli endpoint internazionali per i registri con replica geografica.

az acr show-endpoints --name contoso

Output di esempio:

{
  "loginServer": "contoso.azurecr.io",
  "dataEndpoints": [
    {
      "region": "eastus",
      "endpoint": "contoso.eastus.data.azurecr.io",
    },
    {
     "region": "westus",
      "endpoint": "contoso.westus.data.azurecr.io",
    }
  ]
}

Passaggi successivi

Effettuare la configurazione per accedere a un registro contenitori di Azure partendo dalle regole di un firewall.
Connettersi a un registro contenitori di Azure usando il collegamento privato di Azure.

Condividi tramite