Procedure consigliate per la protezione delle applicazioni Web e per dispositivi mobili in PaaS mediante Servizio app di Azure
In questo articolo viene illustrato un insieme di procedure consigliate di Servizio App di Azure per la protezione delle applicazioni Web PaaS e delle applicazioni per dispositivi mobili. Le procedure consigliate si basano sull'esperienza di tecnici e clienti con Azure.
Servizio app di Azure è una soluzione PaaS (piattaforma distribuita come servizio) che consente di creare applicazioni Web e per dispositivi mobili per qualsiasi piattaforma o dispositivo e di connettersi ai dati ovunque, nel cloud o in locale. Il servizio app include le funzionalità Web e per dispositivi mobili prima fornite separatamente come Siti Web di Azure e Servizi mobili di Azure. Include anche nuove funzionalità per l'automazione dei processi aziendali e l'hosting di API cloud. Il servizio app è un singolo servizio integrato che offre un set completo di funzionalità per scenari Web, per dispositivi mobili e di integrazione.
Eseguire l'autenticazione tramite Microsoft Entra ID
Il servizio app fornisce un servizio OAuth 2.0 per il provider di identità. OAuth 2.0 è incentrato sulla semplicità di sviluppo client fornendo i flussi di autorizzazione specifici per le applicazioni Web, applicazioni desktop e telefoni cellulari. Microsoft Entra ID usa OAuth 2.0 per consentire di autorizzare l'accesso alle applicazioni per dispositivi mobili e Web. Per altre informazioni, vedere Autenticazione e autorizzazione nel servizio app di Azure.
Limitare l'accesso in base al ruolo
La limitazione degli accessi è fondamentale per le organizzazioni che intendono applicare criteri di sicurezza per l'accesso ai dati. È possibile usare il controllo degli accessi in base al ruolo di Azure per assegnare autorizzazioni a utenti, gruppi e applicazioni in un determinato ambito, ad esempio la necessità di conoscere e privilegi minimi principi di sicurezza. Per altre informazioni sulla concessione dell'accesso degli utenti alle applicazioni, vedere Informazioni sul controllo degli accessi in base al ruolo di Azure.
Proteggere le chiavi.
Non importa quanto è valida la sicurezza impostata se si perdono le chiavi di sottoscrizione. Azure Key Vault aiuta a salvaguardare le chiavi di crittografia e i segreti usati dalle applicazioni e dai servizi cloud. Con Key Vault è possibile crittografare chiavi e segreti (ad esempio, chiavi di autenticazione, chiavi dell'account di archiviazione, chiavi di crittografia dati, file PFX e password) usando chiavi protette da moduli di protezione hardware (HSM). Per una maggiore sicurezza, è possibile importare o generare le chiavi in moduli di protezione hardware. È anche possibile utilizzare Azure Key Vault per gestire i certificati TLS con il rinnovo automatico. Per altre informazioni, vedere Che cos'è Azure Key Vault?
Limitare gli indirizzi IP di origine in ingresso
Ambiente del servizio app ha una funzionalità di integrazione di rete virtuale che consente di limitare gli indirizzi IP di origine in ingresso tramite gruppi di sicurezza di rete (NSG). Se non si ha familiarità con le reti virtuali di Azure (VNET), si tratta di una funzionalità che consente di posizionare molte delle risorse di Azure in una rete instradabile non Internet di cui si controlla l'accesso. Per altre informazioni, vedere Integrare un'app in una rete virtuale di Azure.
Per servizio app in Windows, è anche possibile limitare dinamicamente gli indirizzi IP configurando web.config. Per altre informazioni, vedere Sicurezza IP dinamica.
Passaggi successivi
Questo articolo descrive una serie di procedure consigliate per la protezione delle applicazioni Web PaaS e delle applicazioni per dispositivi mobili mediante il servizio app. Per ulteriori informazioni sulla protezione delle distribuzioni PaaS, vedere: