Editar

Compartilhar via


Configuração e segurança centralizadas de aplicativos

Microsoft Entra ID
Configuração de Aplicativo do Azure
Cofre de Chave do Azure

Ideias de soluções

Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe aos requisitos específicos de sua carga de trabalho.

Este artigo descreve uma solução para criar um aplicativo robusto e escalonável em um ambiente distribuído. A solução usa a Configuração de Aplicativos do Azure e o Azure Key Vault para gerenciar e armazenar definições de configuração de aplicativos, sinalizadores de recursos e configurações de acesso seguro em um só lugar.

Arquitetura

Os diagramas a seguir mostram como a Configuração de Aplicativos e o Key Vault podem trabalhar juntos para gerenciar e proteger aplicativos em ambientes de desenvolvimento e do Azure.

Ambiente de desenvolvimento

No ambiente de desenvolvimento, o aplicativo usa uma identidade via Visual Studio ou versão 2.0 da CLI do Azure para entrar e enviar uma solicitação de autenticação para o Microsoft Entra ID.

Diagrama de arquitetura que mostra como um aplicativo entra e se autentica em um ambiente de desenvolvimento.

Baixe um Arquivo Visio dessa arquitetura.

Ambiente de preparo ou produção do Azure

Os ambientes de preparo e produção do Azure usam uma identidade gerenciada para entrada e autenticação.

Diagrama de arquitetura que mostra como um aplicativo entra e se autentica em um ambiente de preparo ou produção.

Baixe um Arquivo Visio dessa arquitetura.

Fluxo de dados

  1. O aplicativo envia uma solicitação de autenticação durante a depuração no Visual Studio ou autentica por meio do MSI no Azure.
  2. Após a autenticação bem-sucedida, o Microsoft Entra ID retorna um token de acesso.
  3. O SDK de Configuração de Aplicativos envia uma solicitação com o token de acesso para ler o valor secretURI da Configuração de Aplicativos e do Key Vault para o cofre de chaves do aplicativo.
  4. Após a autorização bem-sucedida, a Configuração de Aplicativos envia o valor de configuração.
  5. Utilizando a identidade de entrada, o aplicativo envia uma solicitação ao Key Vault para recuperar o segredo do aplicativo para o secretURI que a Configuração de Aplicativos enviou.
  6. Após a autorização bem-sucedida, o Key Vault retorna o valor secreto.

Componentes

  • O Microsoft Entra ID é uma plataforma universal para gerenciar e proteger identidades.
  • A Configuração de Aplicativos fornece uma maneira de armazenar configurações para todos os seus aplicativos do Azure em um local universal e hospedado.
  • As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra.
  • O Key Vault protege chaves criptográficas e outros segredos usados por aplicativos e serviços de nuvem.

Detalhes do cenário

Os aplicativos baseados em nuvem geralmente são executados em várias máquinas virtuais ou em contêineres em várias regiões e usam diversos serviços externos. A criação de um aplicativo robusto e escalonável em um ambiente distribuído apresenta um desafio significativo.

Usando a Configuração de Aplicativos, você pode gerenciar e armazenar todas as definições de configuração do seu aplicativo, sinalizadores de recursos e configurações de acesso seguro em um só lugar. A Configuração de Aplicativos funciona perfeitamente com o Key Vault, que armazena senhas, chaves e segredos para acesso seguro.

Possíveis casos de uso

Qualquer aplicativo pode usar a Configuração de Aplicativos, mas os seguintes tipos de aplicativos se beneficiam mais dele:

  • Microsserviços em execução no AKS (Serviço de Kubernetes do Azure) ou outros aplicativos conteinerizados que são implantados em uma ou mais regiões.
  • Os aplicativos sem servidor, que incluem o Azure Functions ou outros aplicativos de computação sem estado controlado por evento.
  • Os aplicativos que usam um pipeline de CD (implantação contínua).

Considerações

Estas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

  • É melhor usar um cofre de chaves diferente para cada aplicativo em cada ambiente: desenvolvimento, pré-produção do Azure e produção do Azure. O uso de cofres diferentes ajuda a evitar o compartilhamento de segredos entre ambientes e reduz as ameaças em caso de violação.

  • Para usar esses cenários, a identidade de entrada deve ter a função Leitor de Dados de Configuração de Aplicativos no recurso Configuração de Aplicativos e ter políticas de acesso explícitas para recuperar os segredos no Key Vault.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Autor principal:

Próximas etapas

Saiba mais sobre as tecnologias dos componentes: