Condividi tramite

Considerazioni sulla gestione delle identità e degli accessi per l'acceleratore di zona di destinazione servizio app

  • Articolo

Questo articolo fornisce considerazioni sulla progettazione e consigli per la gestione delle identità e degli accessi che è possibile applicare quando si usa l'acceleratore di zona di destinazione del servizio app Azure. L'autenticazione e la configurazione delle app sono alcune delle considerazioni illustrate in questo articolo.

Altre informazioni sull'area di progettazione della gestione delle identità e degli accessi.

Considerazioni relative alla progettazione

Quando si usa l'acceleratore di zona di destinazione per distribuire una soluzione servizio app, esistono alcune considerazioni chiave per la gestione delle identità delle chiavi e degli accessi:

  • Determinare il livello di sicurezza e isolamento necessario per l'app e i relativi dati. L'accesso pubblico consente a chiunque abbia l'URL dell'app di accedere all'app, mentre l'accesso privato limita l'accesso solo a utenti e reti autorizzati.
  • Determinare il tipo di autenticazione e autorizzazione necessari per la soluzione di servizio app: utenti aziendali anonimi, interni, account di social networking, altri provider di identità o una combinazione di questi tipi.
  • Determinare se usare identità gestite assegnate dal sistema o assegnate dall'utente quando la soluzione servizio app si connette a risorse back-end protette da Microsoft Entra ID.
  • Prendere in considerazione la creazione di ruoli personalizzati, seguendo il principio dei privilegi minimi quando i ruoli predefiniti richiedono modifiche alle autorizzazioni esistenti.
  • Scegliere l'archiviazione con sicurezza avanzata per chiavi, segreti, certificati e configurazione dell'applicazione.
    • Usare la configurazione dell'app per condividere valori di configurazione comuni che non sono password, segreti o chiavi tra applicazioni, microservizi e applicazioni serverless.
    • Usare Azure Key Vault. Offre un'archiviazione avanzata della sicurezza di password, stringa di connessione, chiavi, segreti e certificati. È possibile usare Key Vault per archiviare i segreti e quindi accedervi dall'applicazione servizio app tramite servizio app'identità gestita. In questo modo, è possibile proteggere i segreti fornendo comunque l'accesso da esse dall'applicazione in base alle esigenze.

Suggerimenti per la progettazione

È consigliabile incorporare le procedure consigliate seguenti nelle distribuzioni di servizio app:

  • Se la soluzione servizio app richiede l'autenticazione:
    • Se l'accesso all'intera soluzione servizio app deve essere limitato agli utenti autenticati, disabilitare l'accesso anonimo.
    • Usare le funzionalità di autenticazione e autorizzazione predefinite di servizio app invece di scrivere codice di autenticazione e autorizzazione personalizzato.
    • Usare registrazioni di applicazioni separate per slot o ambienti separati.
    • Se la soluzione servizio app è destinata solo agli utenti interni, usare l'autenticazione del certificato client per una maggiore sicurezza.
    • Se la soluzione servizio app è destinata agli utenti esterni, usare Azure AD B2C per eseguire l'autenticazione agli account di social networking e agli account Microsoft Entra.
  • Usare i ruoli predefiniti di Azure quando possibile. Questi ruoli sono progettati per fornire un set di autorizzazioni comunemente necessarie per scenari specifici, ad esempio il ruolo Lettore per gli utenti che necessitano di accesso in sola lettura e il ruolo Collaboratore per gli utenti che devono essere in grado di creare e gestire le risorse.
    • Se i ruoli predefiniti non soddisfano le proprie esigenze, è possibile creare ruoli personalizzati combinando le autorizzazioni di uno o più ruoli predefiniti. In questo modo, è possibile concedere l'esatto set di autorizzazioni necessarie agli utenti pur seguendo il principio dei privilegi minimi.
    • Monitorare regolarmente le risorse servizio app per assicurarsi che vengano usate in base ai criteri di sicurezza. In questo modo è possibile identificare eventuali accessi o modifiche non autorizzati e intraprendere azioni appropriate.
  • Usare il principio dei privilegi minimi quando si assegnano autorizzazioni a utenti, gruppi e servizi. Questo principio indica che è necessario concedere solo le autorizzazioni minime necessarie per eseguire l'attività specifica e non più. Seguendo queste indicazioni è possibile ridurre il rischio di modifiche accidentali o dannose alle risorse.
  • Usare le identità gestite assegnate dal sistema per accedere, con sicurezza avanzata, risorse back-end protette da Microsoft Entra ID. In questo modo è possibile controllare le risorse a cui la soluzione servizio app ha accesso e quali autorizzazioni ha per tali risorse.
  • Per la distribuzione automatizzata, configurare un'entità servizio con le autorizzazioni minime necessarie per la distribuzione dalla pipeline CI/CD.
  • Abilitare i log di accesso di AppServiceHTTPLogs per la registrazione diagnostica per servizio app. È possibile usare questi log dettagliati per diagnosticare i problemi relativi all'app e monitorare le richieste di accesso. L'abilitazione di questi log fornisce anche un log attività di Monitoraggio di Azure che fornisce informazioni dettagliate sugli eventi a livello di sottoscrizione.
  • Seguire le raccomandazioni descritte nelle sezioni Gestione delle identità e Accesso con privilegi della baseline di sicurezza di Azure per servizio app.

L'obiettivo della gestione delle identità e degli accessi per l'acceleratore di zona di destinazione è garantire che l'app distribuita e le relative risorse associate siano sicure e accessibili solo dagli utenti autorizzati. In questo modo è possibile proteggere i dati sensibili e prevenire l'uso improprio dell'app e delle relative risorse.