Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo articolo viene descritta una raccolta di Azure App Service procedure consigliate per la sicurezza per la protezione delle applicazioni Web e per dispositivi mobili PaaS. Queste procedure consigliate derivano dalla nostra esperienza con Azure e le esperienze dei clienti come te stesso.
Azure App Service è un'offerta PaaS (Platform-as-a-Service) che consente di creare app Web e per dispositivi mobili per qualsiasi piattaforma o dispositivo e connettersi ai dati ovunque, nel cloud o in locale. Il servizio app include le funzionalità Web e per dispositivi mobili fornite in precedenza separatamente come siti Web di Azure e servizi mobili Azure. Include anche nuove funzionalità per l'automazione dei processi aziendali e l'hosting di API cloud. Il servizio app è un singolo servizio integrato che offre un set completo di funzionalità per scenari Web, per dispositivi mobili e di integrazione.
Eseguire l'autenticazione tramite Microsoft Entra ID
Il servizio app fornisce un servizio OAuth 2.0 per il provider di identità. OAuth 2.0 è incentrato sulla semplicità di sviluppo client fornendo i flussi di autorizzazione specifici per le applicazioni Web, applicazioni desktop e telefoni cellulari. Microsoft Entra ID usa OAuth 2.0 per autorizzare l'accesso alle applicazioni per dispositivi mobili e Web. Per altre informazioni, vedere Authentication and authorization in Azure App Service.
Limitare l'accesso in base al ruolo
La limitazione degli accessi è fondamentale per le organizzazioni che intendono applicare criteri di sicurezza per l'accesso ai dati. È possibile utilizzare il controllo degli accessi in base al ruolo di Azure (Azure RBAC) per assegnare autorizzazioni a utenti, gruppi e applicazioni in un determinato ambito, seguendo i principi di sicurezza della necessità di conoscere e del privilegio minimo. Per altre informazioni sulla concessione dell'accesso degli utenti alle applicazioni, vedere Cos'è il controllo degli accessi in base al ruolo di Azure (Azure RBAC).
Proteggere le chiavi.
Non importa quanto è valida la sicurezza impostata se si perdono le chiavi di sottoscrizione. Azure Key Vault consente di proteggere le chiavi crittografiche e i segreti usati da applicazioni e servizi cloud. Con Key Vault è possibile crittografare chiavi e segreti, ad esempio chiavi di autenticazione, chiavi dell'account di archiviazione, chiavi di crittografia dei dati, . File PFX e password usando chiavi protette da moduli di protezione hardware ( HSM). Per una maggiore sicurezza, è possibile importare o generare le chiavi in moduli di protezione hardware. È anche possibile usare Key Vault per gestire i certificati TLS con rinnovo automatico. Per altre informazioni, vedere Che è Azure Key Vault.
Limitare gli indirizzi IP di origine in ingresso
Gli ambienti del servizio app hanno una funzionalità di integrazione della rete virtuale che consente di limitare gli indirizzi IP di origine in ingresso tramite gruppi di sicurezza di rete. Se non si ha familiarità con le reti virtuali di Azure, si tratta di una funzionalità che consente di inserire molte delle risorse Azure in una rete non Internet instradabile a cui si controlla l'accesso. Per altre informazioni, vedi Integrate l'app con un Azure Virtual Network.
Per il servizio app in Windows, è anche possibile limitare dinamicamente gli indirizzi IP configurando il web.config. Per altre informazioni, vedere Dynamic IP Security.
Passaggi successivi
Questo articolo descrive una serie di procedure consigliate per la protezione delle applicazioni Web PaaS e delle applicazioni per dispositivi mobili mediante il servizio app. Per ulteriori informazioni sulla protezione delle distribuzioni PaaS, vedere: