Gestione delle identità e degli accessi per l'acceleratore di zona di destinazione di Azure Spring Apps

Questo articolo descrive le considerazioni di progettazione e le raccomandazioni per autenticare gli utenti in Azure Spring Apps e concedere agli utenti il livello di accesso necessario alle risorse del carico di lavoro.

Il team centralizzato della piattaforma e i team delle applicazioni devono avere una buona conoscenza di:

• Quali team richiedono l'accesso al carico di lavoro dell'app Azure Spring distribuito nella zona di destinazione dell'applicazione.
• Ruoli e responsabilità degli utenti e degli utenti che devono accedere.
• Livello minimo di privilegio necessario per svolgere tali responsabilità.

Per informazioni sulla progettazione della piattaforma, vedere Area di progettazione della gestione delle identità e degli accessi di Azure.

In qualità di proprietario del carico di lavoro, seguire queste procedure consigliate per assicurarsi che le risorse dell'applicazione non violano i limiti di sicurezza o governance dell'organizzazione. L'obiettivo è garantire che l'app Azure Spring distribuita e le risorse correlate del carico di lavoro siano sicure e accessibili solo dagli utenti autorizzati. Quando si seguono queste procedure, si proteggono i dati sensibili e si impedisce l'uso improprio dell'app e delle relative risorse.

Considerazioni relative alla progettazione

• Accesso dall'applicazione ad altri servizi. L'applicazione deve autenticarsi quando si connette ai servizi back-end che fanno parte del carico di lavoro. Questa autenticazione protegge i servizi dall'accesso non autorizzato. Prendere in considerazione l'uso delle funzionalità di Microsoft Entra ID per evitare il sovraccarico di archiviazione e gestione delle credenziali.

• Accesso all'applicazione. Gli utenti potrebbero inviare richieste all'applicazione tramite Internet pubblico. Oppure le richieste possono provenire da reti private o locali. In entrambi i casi, l'accesso deve essere autenticato in base ai certificati client o tramite Microsoft Entra ID.

  Prendere in considerazione le opzioni tecnologiche per il meccanismo di individuazione dei servizi che richiama le chiamate tra le app. Le opzioni variano in base al livello Di Azure Spring Apps.

  • Basic/Standard: individuazione del servizio Kubernetes o Registro di sistema del servizio Spring Cloud gestito (con Eureka)
  • Enterprise: Registro dei servizi Tanzu

• Accesso dell'operatore alle risorse. I membri del team con responsabilità diverse possono accedere al carico di lavoro. Ad esempio, potrebbe essere necessario concedere l'accesso a:

  • Membri del team della piattaforma che necessitano dell'accesso operativo.
  • Membri del team dell'applicazione che sviluppano applicazioni.
  • Tecnici DevOps che compilano e rilasciano pipeline per distribuire il carico di lavoro e configurare usando l'infrastruttura come codice (IaC).
  • Tecnici dell'affidabilità del sito per la risoluzione dei problemi.

  In base allo scopo dell'accesso, decidere il livello di controllo che si vuole fornire all'utente. Iniziare con il principio dei privilegi minimi. Le assegnazioni di ruolo controllo degli accessi in base al ruolo possono garantire che gli utenti dispongano del set corretto di privilegi per le proprie responsabilità e mantengano i limiti. Prima di creare ruoli personalizzati, prendere in considerazione i ruoli predefiniti del controllo degli accessi in base al ruolo.

• Accesso ai dati di configurazione. In base alla scelta del livello per Azure Spring Apps (Basic/Standard o Enterprise), è necessario decidere le opzioni del server di configurazione.

  Per Basic, prendere in considerazione il supporto per il server e il lato client. Per archiviare i file del server di configurazione, scegliere una configurazione esterna in un sistema distribuito, ad esempio Azure DevOps, GitHub, GitLab o Bitbucket.

  È possibile usare repository pubblici o privati e scegliere il meccanismo di autenticazione. Azure Spring Apps supporta l'autenticazione basata su token o password di base e SSH.

  Per Le aziende è consigliabile usare il servizio di configurazione delle applicazioni per VMware Tanzu, che consente la gestione delle risorse ConfigMap native di Kubernetes popolate da proprietà definite in uno o più repository Git.

Suggerimenti per la progettazione

Identità gestite

Usare le identità gestite per l'applicazione in modo che venga autenticata tramite Microsoft Entra ID. Non tutti i servizi supportano questa funzionalità di Microsoft Entra ID. Per altre informazioni, vedere Servizi di Azure che supportano l'autenticazione di Microsoft Entra.

Decidere quale tipo di identità gestita è appropriato per il caso d'uso. Prendere in considerazione i compromessi con facilità di gestione. Ad esempio, se l'applicazione deve accedere a più risorse, sono consigliate le identità gestite assegnate dall'utente. Tuttavia, se si vogliono autorizzazioni associate al ciclo di vita dell'applicazione, le identità gestite dal sistema potrebbero essere più adatte.

Per altre informazioni, vedere Scegliere identità gestite assegnate dal sistema o dall'utente.

Usare i ruoli predefiniti controllo degli accessi in base al ruolo di Azure per semplificare la gestione delle autorizzazioni necessarie per un'identità gestita.

• Usare la propria identità gestita per Azure Spring Apps.
• Usare le identità gestite assegnate dal sistema e assegnate dall'utente separatamente. Per altre informazioni, vedere Procedure consigliate per l'uso delle identità gestite.
• Usare Privileged Identity Management in Microsoft Entra ID.

Proteggere le comunicazioni Internet

• Usare i certificati rilasciati da un'autorità di certificazione, certificati di convalida estesi o certificati con caratteri jolly.
• Usare il certificato autofirmato solo per gli ambienti di preproduzione.
• Caricare in modo sicuro i certificati da Azure Key Vault.

Controllo degli accessi in base al ruolo

• Prendere in considerazione la creazione di ruoli personalizzati. Seguire il principio dei privilegi minimi quando i ruoli predefiniti richiedono modifiche alle autorizzazioni esistenti.
• Scegliere l'archiviazione con sicurezza avanzata per chiavi, segreti, certificati e configurazione dell'applicazione.
• Per la distribuzione automatizzata, configurare un'entità servizio con le autorizzazioni minime necessarie per la distribuzione dalla pipeline CI/CD.
• Abilitare la registrazione diagnostica per la console dell'applicazione, i log di sistema, i log di ingresso, i log di compilazione e i log eventi del contenitore. È possibile usare questi log dettagliati per diagnosticare i problemi relativi all'app e monitorare le richieste di accesso. Quando si abilitano questi log, un log attività di Monitoraggio di Azure offre informazioni dettagliate sugli eventi a livello di sottoscrizione.

Passaggi successivi

Topologia di rete e connettività