Azure Container Registry: Mitigación de la filtración de datos con puntos de conexión de datos dedicados

Publicado el 30 abril, 2020

Program Manager, Azure Container Registry

Azure Container Registry anuncia puntos de conexión de datos dedicados, mediante la habilitación de reglas de firewall de cliente de ámbito estricto para registros específicos, lo que minimiza los problemas de la filtración de datos.

La extracción de contenido de un registro implica dos puntos de conexión:

  • Punto de conexión de registro, al que suele hacerse referencia como dirección URL de inicio de sesión, utilizado para autenticación y detección de contenido.
    Un comando como docker pull contoso.azurecr.io/hello-world realiza una solicitud REST que autentica y negocia las capas que representan el artefacto solicitado.
  • Puntos de conexión de datos, que sirven blobs que representan capas de contenido.

Registro con dos puntos de conexión

Cuentas de almacenamiento administrado de registro

Azure Container Registry es un servicio multiinquilino, donde el servicio de registro administra las cuentas de almacenamiento de puntos de conexión de datos. E almacenamiento administrado presenta muchas ventajas, como el equilibrio de carga, la división de contenido polémico, las copias múltiples para una mayor entrega de contenido simultáneo y la compatibilidad con varias regiones con replicación geográfica.

Compatibilidad con la red virtual de Azure Private Link

Azure Container Registry anunció recientemente la compatibilidad con Private Link, lo que permite que los puntos de conexión privados de Azure Virtual Networks se coloquen en el servicio de registro administrado. En este caso, se puede acceder tanto a los puntos de conexión de registro como de datos desde dentro de la red virtual mediante direcciones IP privadas.

El punto de conexión público se puede quitar, protegiendo el registro administrado y a las cuentas de almacenamiento para acceder desde dentro de la red virtual.
ACR con Private Link 

Lamentablemente, la conectividad de la red virtual no siempre es una opción.

Reglas de firewall de cliente y riesgos de la filtración de datos

Cuando se conecta a un registro desde hosts locales, dispositivos IoT o agentes de compilación personalizados, o cuando Private Link no puede ser una opción, se pueden aplicar reglas de firewall de cliente, lo que limita el acceso a recursos específicos.

Reglas de firewall de cliente, riesgos de la filtración de datos 
Cuando los clientes bloqueaban las configuraciones de firewall de clientes, se daban cuenta de que debían crear una regla con un carácter comodín para todas las cuentas de almacenamiento, lo que generaba preocupación por la filtración de datos. Un mal inapropiado podría implementar código que fuera capaz de escribir en su cuenta de almacenamiento.

Para mitigar las preocupaciones relacionadas con la filtración de datos, Azure Container Registry está haciendo que los puntos de conexión de datos dedicados estén disponibles.

Reglas de firewall de cliente, explotación de la filtración de datos

Puntos de conexión de datos dedicados

Cuando los puntos finales de datos dedicados están habilitados, las capas se recuperan del servicio Azure Container Registry, con nombres de dominio completos que representan el dominio de registro. Como cualquier registro se puede replicar geográficamente, se usa un patrón regional:

[registro].[región].data.azurecr.io.

Para el ejemplo de Contoso, se agregan varios puntos de conexión finales de datos regionales que admiten la región local con una réplica cercana.

Con puntos de conexión de datos dedicados, se impide al actor inapropiado escribir en otras cuentas de almacenamiento.

Puntos de conexión de datos dedicados, riesgo de filtración de datos mitigado

Habilitación de puntos de conexión de datos dedicados

Nota: El cambio a puntos de conexión de datos dedicados afectará a los clientes que hayan configurado el acceso de firewall a los puntos de conexión *.blob.core.windows.net existentes, causando errores de extracción. Para garantizar que los clientes tengan acceso constante, agregue los nuevos puntos de conexión de datos a las reglas de firewall de cliente. Una vez completados, los registros existentes pueden habilitar puntos de conexión de datos dedicados a través de az cli.

Con az cli, versión 2.4.0 o superior, ejecute el comando az acr update:

az acr update --name contoso --data-endpoint-enabled

Para ver los puntos de conexión de datos, incluidos los puntos de conexión finales regionales para registros replicados geográficamente, use la CLI az acr show-endpoints:

az acr show-endpoints --name contoso

Salidas:

{
  "loginServer": "contoso.azurecr.io",
  "dataEndpoints": [
    {
      "region": "eastus",
      "endpoint": "contoso.eastus.data.azurecr.io",
    },
    {
      "region": "westus",
      "endpoint": "contoso.westus.data.azurecr.io",
    }
  ]
}

Seguridad con Azure Private Link

Azure Private Link es la forma más segura de controlar el acceso a la red entre los clientes y el registro, ya que el tráfico de red se limita a Azure Virtual Network mediante el uso de direcciones IP privadas. Cuando Private Link no es una opción, los puntos de conexión de datos dedicados pueden proporcionar un conocimiento seguro sobre qué recursos son accesibles desde cada cliente.

Información de precios

Los puntos de conexión de datos dedicados son una característica de los registros prémium.

Para más información sobre los puntos de conexión de datos dedicados, vea la información sobre precios aquí.