どのような環境の保護においても、複数の防衛線が必要となります。Azure Container Registry では最近、Azure Private Link、カスタマー マネージド キー、専用のデータエンドポイント、および Azure Policy の定義などの機能の一般提供が開始されました。これらの機能は、コンテナーのエンドツーエンドのワークフローの一環として、Azure Container Registry を保護するためのツールを提供します。

カスタマー マネージド キー

既定では、イメージやその他の成果物を Azure Container Registry に格納すると、保存時に内容は Microsoft マネージド キーを使用して自動的に暗号化されます。

Microsoft マネージド キーを選択することは、マイクロソフトがキーのライフサイクルの管理を監視することを意味します。多くの組織には、より厳格なコンプライアンスのニーズがあるため、キーのライフサイクルとアクセス ポリシーの所有権と管理を必要とします。そのような場合、お客様はカスタマー マネージド キーを選択できます。このキーはお客様の Azure Key Vault についてインスタンス内に作成および維持されています。キーは Key Vault に格納されるため、お客様は Key Vault に組み込みの診断および監査ログ機能を使用してこれらのキーに対するアクセスを詳しく監視できます。カスタマー マネージド キーは、お客様によって提供されるキーを使用して、追加の暗号化層を提供することで、既定の暗号化機能を補完します。カスタマー マネージド キーを有効化したレジストリを作成する方法の詳細については、こちらをご覧ください。

プライベート リンク

Container Registry には、以前はファイアウォール規則を使用してアクセスを制限する機能がありました。Private Link の導入により、レジストリ エンドポイントにプライベート IP アドレスが割り当てられ、お客様の仮想ネットワークとサービス間のトラフィックが Microsoft バックボーン ネットワークを経由してルーティングされるようになります。

Private Link のサポートは、お客様からのご要望が最も多かった機能の 1 つで、お客様は厳しく制御されるネットワーク イングレスとエグレスのメリットを享受しつつ、レジストリの Azure による管理を実現できるようになります。

Private Link は、広範囲の Azure リソースにまたがって、さらに多くの近日提供予定の機能と共に利用でき、さまざまなコンテナー ワークロードにプライベート仮想ネットワークのセキュリティを追加します。Azure Container Registry 用に Azure Private Link を構成する方法についてのドキュメントを参照してください。

専用のデータ エンドポイント

Private Link では、ネットワーク トラフィックが Azure Virtual Network に制限されるため、これはクライアントとレジストリ間のネットワーク アクセスを制御する最も安全な方法です。Private Link を使用できない時は、専用データ エンドポイントによって、データ流出の懸念を最小限に抑えることができます。専用データ エンドポイントを有効にすると、すべてのストレージ アカウントについて、ワイルドカードを使用したルール (*.blob.core.windows.net) ではなく、完全修飾ドメイン名 ([registry].[region].data.azurecr.io) によってファイアウォール規則を構成できるようになります。

Azure Portal または Microsoft Azure CLI を使用して専用データ エンドポイントを有効にできます。データ エンドポイントは、<registry-name>.<region>.data.azurecr.io. というリージョン パターンに従います。geo レプリケートされるレジストリでは、データ エンドポイントを有効にすると、すべてのレプリカ リージョンでエンドポイントが許可されます。詳細については、専用データ エンドポイントを有効にする方法についてのドキュメントを確認してください。

Azure の組み込みのポリシー

セキュリティ機能を実装することで、ワークフローを保護することができます。Azure リソースがセキュリティのベスト プラクティスに従っていることを確認するために、Azure Container Registry に追加された組み込みの Azure Policy の定義を活用して、セキュリティ ルールを適用できます。以下に、お客様のコンテナー レジストリに対して有効にできる組み込みのポリシーのいくつかを示します。

• コンテナー レジストリは、カスタマー マネージド キーを使用して暗号化する必要がある。カスタマー マネージド キーを使用して暗号化が有効になっていないコンテナー レジストリを監査します。
• コンテナー レジストリでは無制限のネットワーク アクセスを許可しない。ネットワーク (IP または VNET) ルールが構成されておらず、既定ですべてのネットワーク アクセスを許可するコンテナー レジストリを監査します。少なくとも 1 つの IP ルールやファイアウォール ルールまたは構成済みの仮想ネットワークを含むコンテナー レジストリは、準拠していると見なされます。
• コンテナー レジストリではプライベート リンクを使用する必要がある。1 つ以上の承認されたプライベート エンドポイント接続がないコンテナー レジストリを監査します。仮想ネットワーク内のクライアントは、プライベート リンク経由でのプライベート エンドポイント接続があるリソースに安全にアクセスできます。

Azure Policy を使用して、レジストリが組織のコンプライアンス ニーズを引き続き確実に満たすことを可能にできます。

追加のリンク

• Azure Container Registry の詳細については、こちらをご覧ください。
• UserVoice (英語): 既存のリクエストに投票するか、新しいリクエストを作成してください。
• Issues (英語): 既存のバグまたは問題を表示するか、新規のログを作成してください。
• Azure Container Registry のドキュメント: Azure Container Registry のチュートリアルとドキュメント。