Panoramica della sicurezza in App Azure Container

App Contenitore di Azure offre diverse funzionalità di sicurezza predefinite che consentono di creare applicazioni in contenitori sicure. Questa guida illustra i principi di sicurezza chiave, tra cui identità gestite, gestione dei segreti e archivio token, fornendo al tempo stesso procedure consigliate per la progettazione di applicazioni sicure e scalabili.

Identità gestite

Le identità gestite eliminano la necessità di archiviare le credenziali nel codice o nella configurazione fornendo un'identità gestita automaticamente in Microsoft Entra ID. Le applicazioni di container possono usare queste identità per autenticarsi a qualsiasi servizio che supporti l'autenticazione di Microsoft Entra, come Azure Key Vault, Azure Storage o Azure SQL Database.

Tipi di identità gestite

App Azure Container supporta due tipi di identità gestite:

• Identità assegnata dal sistema: creata e gestita automaticamente con il ciclo di vita dell'app contenitore. L'identità viene eliminata quando l'app viene eliminata.

• Identità assegnata dall'utente: creata in modo indipendente e può essere assegnata a più app contenitore, consentendo la condivisione delle identità tra le risorse.

Vantaggi della sicurezza delle identità gestite

• Elimina la necessità di gestire e ruotare le credenziali nel codice dell'applicazione
• Riduce il rischio di esposizione delle credenziali nei file di configurazione
• Fornisce un controllo di accesso granulare tramite RBAC di Azure
• Supporta il principio dei privilegi minimi concedendo solo le autorizzazioni necessarie

Quando usare ogni tipo di identità

• Usare le identità assegnate dal sistema per i carichi di lavoro che:

  • Sono contenuti all'interno di una singola risorsa
  • Sono necessarie identità indipendenti

• Usare le identità assegnate dall'utente per i carichi di lavoro che:

  • Eseguire su più risorse che condividono una singola identità
  • È necessaria la preautenticazione per proteggere le risorse

Identità gestita per l'acquisizione delle immagini

Un modello di sicurezza comune usa le identità gestite per eseguire il pull delle immagini dai repository privati in Registro Azure Container. Questo approccio:

• Evitare di utilizzare credenziali amministrative per il Registro di sistema
• Fornisce un controllo di accesso con granularità fine tramite il ruolo ACRPull
• Supporta identità assegnate dal sistema e assegnate dall'utente
• Può essere controllato per limitare l'accesso a contenitori specifici

Per altre informazioni, vedere Identità gestite e Pull di immagini da Registro Azure Container con identità gestita per altre informazioni su come configurare un'identità gestita per l'applicazione.

Gestione dei segreti

App Azure Container offre meccanismi predefiniti per archiviare e accedere in modo sicuro ai valori di configurazione sensibili, ad esempio stringhe di connessione, chiavi API e certificati.

Funzionalità di sicurezza chiave per i segreti

• Isolamento dei segreti: i segreti hanno come ambito un livello di applicazione e sono isolati da revisioni specifiche.
• Riferimenti alle variabili di ambiente: esponi segreti ai contenitori come variabili di ambiente.
• Montaggio di volumi: montare i segreti come file all'interno dei contenitori.
• Integrazione di Key Vault: segreti di riferimento archiviati in Azure Key Vault.

Migliori pratiche di sicurezza per dati riservati

• Evitare di archiviare i segreti direttamente in App contenitore per gli ambienti di produzione.
• Usare l'integrazione di Azure Key Vault per la gestione centralizzata dei segreti.
• Implementare privilegi minimi quando si concede l'accesso ai segreti.
• Usare riferimenti segreti nelle variabili di ambiente anziché valori hardcoded.
• Utilizzare i montaggi di volumi per accedere ai segreti come file quando appropriato.
• Implementare procedure di rotazione dei segreti appropriate.

Per altre informazioni, vedere Importare i certificati da Azure Key Vault per altre informazioni su come configurare la gestione dei segreti per l'applicazione.

Archivio token per l'autenticazione sicura

La funzionalità di archiviazione dei token offre un modo sicuro per gestire i token di autenticazione indipendentemente dal codice dell'applicazione.

Come funziona l'archivio dei token

• I token vengono archiviati in Archiviazione BLOB di Azure, separati dal codice dell'applicazione
• Solo l'utente associato può accedere ai token memorizzati nella cache.
• Container Apps gestisce automaticamente l'aggiornamento dei token.
• Questa funzionalità riduce la superficie di attacco eliminando il codice di gestione dei token personalizzato.

Per altre informazioni, vedere Abilitare un archivio token di autenticazione per altre informazioni su come configurare un archivio token per l'applicazione.

Sicurezza della rete

L'implementazione di misure di sicurezza di rete appropriate consente di proteggere i carichi di lavoro da accessi non autorizzati e potenziali minacce. Consente anche la comunicazione sicura tra le app e altri servizi.

Per altre informazioni sulla sicurezza di rete in App Azure Container, vedere gli articoli seguenti:

• Configurare il gateway di applicazione WAF
• Abilitare route definite dall'utente
• Routing basato su regole
  • Usare il routing basato su regole
  • Configurare un dominio personalizzato
  • Protezione di una rete virtuale personalizzata con un gruppo di sicurezza di rete
  • Usare un endpoint privato
  • Utilizzare mTLS
  • Integrazione con Frontdoor di Azure

Confidential compute (anteprima)

Azure Container Apps include un profilo di calcolo confidenziale (anteprima pubblica) che esegue carichi di lavoro containerizzati all'interno di ambienti di esecuzione attendibili (TEE) basati su hardware. Il confidential computing integra la crittografia a riposo e in transito di Azure proteggendo i dati in uso attraverso la crittografia della memoria e attestando l'ambiente prima dell'esecuzione del codice. Questa funzionalità consente di ridurre il rischio di accesso non autorizzato ai carichi di lavoro sensibili, incluso l'accesso da parte degli operatori cloud.

Usare il profilo del carico di lavoro di calcolo riservato quando le applicazioni elaborano dati regolamentati o altamente sensibili e richiedono garanzie basate sull'attestazione. L'anteprima è disponibile negli Emirati Arabi Uniti settentrionali. Per una panoramica delle funzionalità della piattaforma, vedere Confidential Computing di Azure.