Editar

Partilhar via


Configuração e segurança centralizadas de aplicações

Microsoft Entra ID
Azure App Configuration
Azure Key Vault

Ideias de soluções

Este artigo descreve uma ideia de solução. Seu arquiteto de nuvem pode usar essa orientação para ajudar a visualizar os principais componentes para uma implementação típica dessa arquitetura. Use este artigo como ponto de partida para projetar uma solução bem arquitetada que se alinhe com os requisitos específicos da sua carga de trabalho.

Este artigo descreve uma solução para criar um aplicativo robusto e escalável em um ambiente distribuído. A solução usa a Configuração de Aplicativo do Azure e o Cofre da Chave do Azure para gerenciar e armazenar definições de configuração de aplicativos, sinalizadores de recursos e configurações de acesso seguro em um só lugar.

Arquitetura

Os diagramas a seguir mostram como a Configuração do Aplicativo e o Cofre da Chave podem trabalhar juntos para gerenciar e proteger aplicativos em ambientes de desenvolvimento e do Azure .

Ambiente de desenvolvimento

No ambiente de desenvolvimento, o aplicativo usa uma identidade via Visual Studio ou versão 2.0 da CLI do Azure para entrar e enviar uma solicitação de autenticação para o Microsoft Entra ID.

Diagrama de arquitetura que mostra como um aplicativo entra e se autentica em um ambiente de desenvolvimento.

Baixe um arquivo Visio desta arquitetura.

Ambiente de preparação ou produção do Azure

Os ambientes de preparação e produção do Azure usam uma identidade gerenciada para entrada e autenticação.

Diagrama de arquitetura que mostra como um aplicativo entra e se autentica em um ambiente de preparação ou produção.

Baixe um arquivo Visio desta arquitetura.

Fluxo de dados

  1. O aplicativo envia uma solicitação de autenticação durante a depuração no Visual Studio ou autentica por meio do MSI no Azure.
  2. Após a autenticação bem-sucedida, o Microsoft Entra ID retorna um token de acesso.
  3. O SDK de Configuração do Aplicativo envia uma solicitação com o token de acesso para ler o valor secretURI do Cofre da Chave de Configuração do Aplicativo do aplicativo para o cofre de chaves do aplicativo.
  4. Após a autorização bem-sucedida, a Configuração do Aplicativo envia o valor de configuração.
  5. Utilizando a identidade de login, o aplicativo envia uma solicitação ao Cofre da Chave para recuperar o segredo do aplicativo para o secretURI que a Configuração do Aplicativo enviou.
  6. Após a autorização bem-sucedida, o Cofre da Chave retorna o valor secreto.

Componentes

  • O Microsoft Entra ID é uma plataforma universal para gerenciar e proteger identidades.
  • A Configuração de Aplicativo fornece uma maneira de armazenar configurações para todos os seus aplicativos do Azure em um local universal hospedado.
  • As identidades gerenciadas fornecem uma identidade para os aplicativos usarem ao se conectarem a recursos que oferecem suporte à autenticação do Microsoft Entra.
  • O Cofre de Chaves protege chaves criptográficas e outros segredos que são usados por aplicativos e serviços na nuvem.

Detalhes do cenário

Os aplicativos baseados em nuvem geralmente são executados em várias máquinas virtuais ou contêineres em várias regiões e usam vários serviços externos. Criar um aplicativo robusto e escalável em um ambiente distribuído apresenta um desafio significativo.

Usando a Configuração do aplicativo, você pode gerenciar e armazenar todas as definições de configuração do seu aplicativo, sinalizadores de recursos e configurações de acesso seguro em um só lugar. A Configuração do Aplicativo funciona perfeitamente com o Cofre de Chaves, que armazena senhas, chaves e segredos para acesso seguro.

Potenciais casos de utilização

Qualquer aplicativo pode usar a Configuração do Aplicativo, mas os seguintes tipos de aplicativos são os que mais se beneficiam dela:

  • Microsserviços em execução no Serviço Kubernetes do Azure (AKS) ou em outros aplicativos em contêineres implantados em uma ou mais regiões.
  • Aplicativos sem servidor, que incluem o Azure Functions ou outros aplicativos de computação sem estado controlados por eventos.
  • Aplicativos que usam um pipeline de implantação contínua (CD).

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

  • É melhor usar um cofre de chaves diferente para cada aplicativo em cada ambiente: desenvolvimento, pré-produção do Azure e produção do Azure. O uso de cofres diferentes ajuda a evitar o compartilhamento de segredos entre ambientes e reduz as ameaças em caso de violação.

  • Para usar esses cenários, a identidade de entrada deve ter a função Leitor de Dados de Configuração do Aplicativo no recurso Configuração do Aplicativo e ter políticas de acesso explícitas para recuperar os segredos no Cofre da Chave.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Autor principal:

  • Sowmyan Soman - Brasil | Arquiteto Principal de Soluções na Nuvem

Próximos passos

Saiba mais sobre as tecnologias de componentes: