cagdastopcu/secure-azure

# 安全的 Azure IaC 仓库 本仓库包含使用 Bicep 构建的、以安全为中心的 Azure 基础设施即代码。 它目前包含**两个主要分支**： - 完整的 **SaaS 平台蓝图** (`secure_azure_saas_iac/`) - 专注的 **Azure Container Apps 学习蓝图** (`secure_azure_container_apps/`) ## 仓库结构 ``` secure_azure_saas_iac/ # Full SaaS platform IaC (multi-module, enterprise baseline) secure_azure_container_apps/ # Focused ACA baseline + test runner .github/ # CI/CD workflows BLUEPRINT.md # Root-level blueprint references AZURE_SAAS_PLATFORM_BLUEPRINT.md ``` ## 分支 1：完整 SaaS 平台 IaC 路径：`secure_azure_saas_iac/` 包含内容： - 平台网络、监控、治理、策略和安全模块 - Container Apps 应用程序戳记和数据戳记模式 - 私有网络模式（包括私有端点和 DNS 集成） - 可选的 API 边缘和出口控制模式 - SQL 弹性控制（PITR + 长期备份保留 + 冗余模式） - SOC 行动手册、DR 行动手册以及深度操作文档 - IaC 验证和安全断言脚本 主要入口点： - `secure_azure_saas_iac/main.bicep` - `secure_azure_saas_iac/README.md` - `secure_azure_saas_iac/docs/DEPLOYMENT.md` - `secure_azure_saas_iac/tests/scripts/validate-iac.ps1` - `secure_azure_saas_iac/tests/scripts/assert-security.ps1` ## 分支 2：安全的 Azure Container Apps 学习蓝图 路径：`secure_azure_container_apps/` 包含内容： - 单文件安全 Container Apps 基线模板： - `main.bicep` - 生成的 ARM JSON： - `main.json` - 端到端测试/部署运行器： - `test-secure-aca.ps1` - 关于架构、参数和用法的深入指南： - `README.md` 此分支的核心功能： - 包含 Log Analytics 诊断的 Container Apps 环境 - 可选的 VNet/内部负载均衡器模式 - 托管身份优先模型 - 可选的加固 ACR + `AcrPull` 角色分配 - 主应用 + 可选的计划后台作业 - 安全默认设置（内部入口，无 insecure HTTP，启用诊断） ## 快速开始 ### A) 部署完整 SaaS 平台分支 ``` az group create --name rg-saas-dev-platform --location westeurope az deployment group create \ --resource-group rg-saas-dev-platform \ --template-file secure_azure_saas_iac/main.bicep \ --parameters location=westeurope environment=dev projectPrefix=saas ``` ### B) 测试/部署 Container Apps 分支 非破坏性测试（构建 + 验证 + What-If）： ``` .\secure_azure_container_apps\test-secure-aca.ps1 ` -ResourceGroupName rg-aca-learn ` -Location westeurope ` -Prefix acalearn ``` 部署并运行安全冒烟测试： ``` .\secure_azure_container_apps\test-secure-aca.ps1 ` -ResourceGroupName rg-aca-learn ` -Location westeurope ` -Prefix acalearn ` -Deploy ``` ## 文档索引 SaaS 平台文档： - `secure_azure_saas_iac/README.md` - `secure_azure_saas_iac/docs/DEPLOYMENT.md` - `secure_azure_saas_iac/docs/SECURITY_AUDIT.md` - `secure_azure_saas_iac/docs/SECURITY_AUDIT_DEEP.md` - `secure_azure_saas_iac/docs/DR_RESTORE_FAILOVER_RUNBOOK.md` - `secure_azure_saas_iac/docs/soc_playbooks/README.md` Container Apps 文档： - `secure_azure_container_apps/README.md` ## 许可证 MIT

标签：ACR, AI合规, ARM模板, Azure, Azure Bicep, Azure Container Apps, Azure Container Registry, CISA项目, DevSecOps, DNS集成, EC2, IaC, Log Analytics, Policy Guardrails, PowerShell脚本, SaaS平台蓝图, SaaS架构, SQL弹性, Web截图, 上游代理, 安全合规, 安全基线, 容器安全, 容灾备份, 托管标识, 教学环境, 私有端点, 私有网络, 策略防护, 网络代理, 蓝图书写, 蓝绿部署, 运维 playbook