Panoramica della sicurezza in App Azure Container

App Contenitore di Azure offre diverse funzionalità di sicurezza predefinite che consentono di creare applicazioni in contenitori sicure. Questa guida illustra i principi di sicurezza chiave, tra cui identità gestite, gestione dei segreti e archivio token, fornendo al tempo stesso procedure consigliate per la progettazione di applicazioni sicure e scalabili.

Identità gestite

Le identità gestite eliminano la necessità di archiviare le credenziali nel codice o nella configurazione fornendo un'identità gestita automaticamente in Microsoft Entra ID. Le applicazioni di container possono usare queste identità per autenticarsi a qualsiasi servizio che supporti l'autenticazione di Microsoft Entra, come Azure Key Vault, Archiviazione di Azure o database SQL di Azure.

Tipi di identità gestita

App Azure Container supporta due tipi di identità gestite:

• Identità assegnata dal sistema: creata e gestita automaticamente con il ciclo di vita dell'app contenitore. L'identità viene eliminata quando l'app viene eliminata.

• Identità assegnata dall'utente: creata in modo indipendente e può essere assegnata a più app contenitore, consentendo la condivisione delle identità tra le risorse.

Vantaggi della sicurezza delle identità gestite in App contenitore di Azure

• Elimina la necessità di gestire e ruotare le credenziali nel codice dell'applicazione
• Riduce il rischio di esposizione delle credenziali nei file di configurazione
• Fornisce un controllo di accesso granulare tramite RBAC di Azure
• Supporta il principio dei privilegi minimi concedendo solo le autorizzazioni necessarie

Scegliere tra identità assegnate dal sistema e assegnate dall'utente

• Usare le identità assegnate dal sistema per i carichi di lavoro che:

  • Sono contenuti all'interno di una singola risorsa
  • Sono necessarie identità indipendenti

• Usare le identità assegnate dall'utente per i carichi di lavoro che:

  • Eseguire su più risorse che condividono una singola identità
  • È necessaria la preautenticazione per proteggere le risorse

Identità gestita per l'acquisizione delle immagini

Un modello di sicurezza comune usa le identità gestite per eseguire il pull delle immagini dai repository privati in Registro Azure Container. Questo approccio:

• Evitare di utilizzare credenziali amministrative per il Registro di sistema
• Fornisce un controllo di accesso con granularità fine tramite il ruolo ACRPull
• Supporta identità assegnate dal sistema e assegnate dall'utente
• Può essere controllato per limitare l'accesso a contenitori specifici

Per altre informazioni, vedere Identità gestite e Pull di immagini da Registro Azure Container con identità gestita per altre informazioni su come configurare un'identità gestita per l'applicazione.

Gestione dei segreti

App Azure Container offre meccanismi predefiniti per archiviare e accedere in modo sicuro ai valori di configurazione sensibili, ad esempio stringhe di connessione, chiavi API e certificati.

Funzionalità di sicurezza chiave per i segreti

• Isolamento dei segreti: definire l'ambito dei segreti a livello di applicazione e isolarli da revisioni specifiche.
• Riferimenti alle variabili di ambiente: esponi segreti ai contenitori come variabili di ambiente.
• Montaggio di volumi: montare i segreti come file all'interno dei contenitori.
• Integrazione di Key Vault: segreti di riferimento archiviati in Azure Key Vault.

Migliori pratiche di sicurezza per dati riservati

• Evitare di archiviare i segreti direttamente in App contenitore per gli ambienti di produzione.
• Usare l'integrazione di Azure Key Vault per la gestione centralizzata dei segreti.
• Implementare privilegi minimi quando si concede l'accesso ai segreti.
• Usare riferimenti segreti nelle variabili di ambiente anziché valori hardcoded.
• Utilizzare i montaggi di volumi per accedere ai segreti come file quando appropriato.
• Implementare procedure di rotazione dei segreti appropriate.

Per altre informazioni, vedere Importare i certificati da Azure Key Vault per informazioni su come configurare la gestione dei segreti per l'applicazione.

Archivio token per l'autenticazione sicura

La funzionalità di archiviazione dei token offre un modo sicuro per gestire i token di autenticazione indipendentemente dal codice dell'applicazione.

Come funziona l'archivio dei token di autenticazione

• Il sistema archivia i token in Archiviazione BLOB di Azure, mantenendoli separati dal codice dell'applicazione.
• Solo l'utente associato può accedere ai token memorizzati nella cache.
• Container Apps gestisce automaticamente l'aggiornamento dei token.
• Questa funzionalità riduce la superficie di attacco eliminando il codice di gestione dei token personalizzato.

Per altre informazioni, vedere Abilitare un archivio token di autenticazione per altre informazioni su come configurare un archivio token per l'applicazione.

Sicurezza della rete

L'implementazione di misure di sicurezza di rete appropriate consente di proteggere i carichi di lavoro da accessi non autorizzati e potenziali minacce. Consente anche la comunicazione sicura tra le app e altri servizi.

Per altre informazioni sulla sicurezza di rete in App Azure Container, vedere gli articoli seguenti:

• Configurare il gateway di applicazione WAF
• Abilitare route definite dall'utente
• Routing basato su regole
  • Usare il routing basato su regole
  • Configurare un dominio personalizzato
  • Protezione di una rete virtuale personalizzata con un gruppo di sicurezza di rete
  • Usare un endpoint privato
  • Utilizzare mTLS
  • Integrazione con Frontdoor di Azure

Calcolo riservato

App contenitore di Azure include un profilo del carico di lavoro di calcolo riservato che esegue carichi di lavoro in contenitori all'interno di ambienti di esecuzione attendibili (TEE) basati su hardware. Il confidential computing integra la crittografia dei dati di Azure a riposo e in transito, proteggendo i dati in uso tramite la crittografia della memoria e l'attestazione dell'ambiente prima dell'esecuzione del codice. Questa funzionalità consente di ridurre il rischio di accesso non autorizzato ai carichi di lavoro sensibili, incluso l'accesso da parte degli operatori cloud.

Usare il profilo del carico di lavoro di calcolo riservato quando le applicazioni elaborano dati regolamentati o altamente sensibili e richiedono garanzie basate sull'attestazione. Per una panoramica delle aree e delle funzionalità della piattaforma supportate, vedere Azure confidential computing.

Per informazioni dettagliate sulla configurazione, vedere Confidential compute in App contenitore di Azure.

Microsoft Defender per il cloud Gestione del livello di sicurezza dei contenitori serverless (Anteprima)

Microsoft Defender per il cloud include funzionalità di comportamento dei contenitori serverless in CSPM per App contenitore di Azure. Queste funzionalità forniscono inventario, valutazioni del comportamento e analisi del percorso di attacco per i carichi di lavoro App contenitore di Azure in modo che i team di sicurezza possano identificare e classificare in ordine di priorità i rischi nell'ambiente delle app contenitore. Per indicazioni sull'onboarding e dettagli sulle funzionalità, consulta Protezione serverless.