Proteggere Gemelli digitali di Azure
Questo articolo illustra le procedure consigliate per la sicurezza di Gemelli digitali di Azure. Vengono trattati ruoli e autorizzazioni, identità gestita, accesso alla rete privata con collegamento privato di Azure, tag del servizio, crittografia dei dati inattivi e condivisione di risorse tra le origini (CORS).
Per la sicurezza, Gemelli digitali di Azure consente un controllo di accesso preciso su dati, risorse e azioni specifici nella distribuzione. Questa operazione viene eseguita tramite una strategia granulare di gestione dei ruoli e delle autorizzazioni denominata Controllo degli accessi in base al ruolo di Azure.
Gemelli digitali di Azure supporta anche la crittografia dei dati inattivi.
Ruoli e autorizzazioni con controllo degli accessi in base al ruolo di Azure
Il controllo degli accessi in base al ruolo di Azure viene fornito a Gemelli digitali di Azure tramite l'integrazione con Microsoft Entra ID.
È possibile usare il controllo degli accessi in base al ruolo di Azure per concedere autorizzazioni a un'entità di sicurezza, che può essere un utente, un gruppo o un'entità servizio dell'applicazione. L'entità di sicurezza viene autenticata da Microsoft Entra ID e riceve un token OAuth 2.0 in cambio. Questo token può essere usato per autorizzare una richiesta di accesso a un'istanza di Gemelli digitali di Azure.
Autenticazione e autorizzazione
Con Microsoft Entra ID, l'accesso è un processo in due passaggi. Quando un'entità di sicurezza (un utente, un gruppo o un'applicazione) tenta di accedere a Gemelli digitali di Azure, la richiesta deve essere autenticata e autorizzata.
- Viene prima di tutto autenticata l'identità dell'entità di sicurezza e viene restituito un token OAuth 2.0.
- Il token viene quindi passato come parte di una richiesta al servizio Gemelli digitali di Azure per autorizzare l'accesso alla risorsa specificata.
Il passaggio di autenticazione richiede che qualsiasi richiesta dell'applicazione contenga un token di accesso OAuth 2.0 in fase di esecuzione. Se un'applicazione è in esecuzione all'interno di un'entità di Azure, ad esempio un'app Funzioni di Azure, può usare un'identità gestita per accedere alle risorse. Altre informazioni sulle identità gestite sono disponibili nella sezione successiva.
Il passaggio di autorizzazione richiede l'assegnazione di un ruolo di Azure all'entità di sicurezza. I ruoli assegnati a un'entità di sicurezza determinano le autorizzazioni che l'entità avrà. Gemelli digitali di Azure offre ruoli di Azure che includono set di autorizzazioni per le risorse di Gemelli digitali di Azure. Questi ruoli sono descritti più avanti in questo articolo.
Per altre informazioni sui ruoli e sulle assegnazioni di ruolo supportate in Azure, vedere Informazioni sui diversi ruoli nella documentazione di Controllo degli accessi in base al ruolo di Azure.
Autenticazione con identità gestite
Le identità gestite per le risorse di Azure sono una funzionalità tra Azure che consente di creare un'identità sicura associata alla distribuzione in cui viene eseguito il codice dell'applicazione. È quindi possibile associare tale identità ai ruoli di controllo di accesso, per concedere autorizzazioni personalizzate per l'accesso a risorse di Azure specifiche necessarie per l'applicazione.
Con le identità gestite, la piattaforma Azure gestisce questa identità di runtime. Non è necessario archiviare e proteggere le chiavi di accesso nel codice o nella configurazione dell'applicazione, per l'identità stessa o per le risorse a cui è necessario accedere. Un'app client di Gemelli digitali di Azure in esecuzione in un'applicazione del servizio app Azure non deve gestire regole e chiavi di firma di accesso condiviso o altri token di accesso. L'app client richiede solo l'indirizzo endpoint dello spazio dei nomi gemelli digitali di Azure. Quando l'app si connette, Gemelli digitali di Azure associa il contesto dell'entità gestita al client. Una volta associata a un'identità gestita, il client di Gemelli digitali di Azure può eseguire tutte le operazioni autorizzate. L'autorizzazione verrà quindi concessa associando un'entità gestita a un ruolo di Azure di Gemelli digitali di Azure (descritto di seguito).
Autorizzazione: ruoli di Azure per Gemelli digitali di Azure
Azure offre due ruoli predefiniti di Azure per autorizzare l'accesso alle API del piano dati di Gemelli digitali di Azure. È possibile fare riferimento ai ruoli in base al nome o all'ID:
| Ruolo predefinito | Descrizione | ID |
|---|---|---|
| Proprietario dei dati di Gemelli digitali di Azure | Offre l'accesso completo alle risorse di Gemelli digitali di Azure | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Ruolo con autorizzazioni di lettura per i dati di Gemelli digitali di Azure | Consente l'accesso in sola lettura alle risorse di Gemelli digitali di Azure | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
È possibile assegnare ruoli in due modi:
- Tramite il riquadro controllo di accesso (IAM) per Gemelli digitali di Azure nel portale di Azure (vedere Assegnare ruoli di Azure usando il portale di Azure)
- Tramite i comandi dell'interfaccia della riga di comando per aggiungere o rimuovere un ruolo
Per informazioni dettagliate sull'assegnazione dei ruoli a un'istanza di Gemelli digitali di Azure, vedere Configurare un'istanza e l'autenticazione. Per altre informazioni sulla definizione dei ruoli predefiniti, vedere Informazioni sulle definizioni dei ruoli nella documentazione di Controllo degli accessi in base al ruolo di Azure.
È anche possibile creare ruoli di Azure personalizzati per l'istanza. In questo modo è possibile concedere l'autorizzazione per azioni specifiche nelle singole aree dati, tra cui gemelli, comandi, relazioni, route di eventi, processi, modelli e query. Per altre informazioni sui ruoli personalizzati in Azure, vedere Ruoli personalizzati di Azure.
Automazione dei ruoli
Quando si fa riferimento ai ruoli in scenari automatizzati, è consigliabile farvi riferimento in base ai relativi ID anziché ai relativi nomi. I nomi possono cambiare tra le versioni, ma gli ID non verranno modificati, rendendoli un riferimento più stabile nell'automazione.
Suggerimento
Se si assegnano ruoli con un cmdlet, ad esempio New-AzRoleAssignment (riferimento), è possibile usare il -RoleDefinitionId parametro anziché -RoleDefinitionName passare un ID anziché un nome per il ruolo.
Ambiti di autorizzazione
Prima di assegnare un ruolo Controllo degli accessi in base al ruolo a un'entità di sicurezza, determinare l'ambito di accesso che dovrà avere. Le procedure consigliate determinano che è consigliabile concedere solo l'ambito più ristretto possibile.
L'elenco seguente descrive i livelli in cui è possibile definire l'ambito dell'accesso alle risorse di Gemelli digitali di Azure.
- Modelli: le azioni per questa risorsa determinano il controllo sui modelli caricati in Gemelli digitali di Azure.
- Query Digital Twins Graph: le azioni per questa risorsa determinano la possibilità di eseguire operazioni di query su gemelli digitali all'interno del grafico di Gemelli digitali di Azure.
- Gemelli digitali: le azioni per questa risorsa forniscono il controllo sulle operazioni CRUD sui gemelli digitali nel grafico dei gemelli gemelli.
- Relazione di Gemelli digitali: le azioni per questa risorsa definiscono il controllo sulle operazioni CRUD sulle relazioni tra gemelli digitali nel grafico dei gemelli gemelli.
- Route evento: le azioni per questa risorsa determinano le autorizzazioni per instradare gli eventi da Gemelli digitali di Azure a un servizio endpoint, ad esempio Hub eventi, Griglia di eventi o bus di servizio.
Risolvere i problemi di autorizzazione
Se un utente tenta di eseguire un'azione non consentita dal ruolo, potrebbe ricevere un errore dalla richiesta di servizio che legge 403 (Forbidden). Per altre informazioni e procedure di risoluzione dei problemi, vedere Risolvere i problemi relativi alla richiesta di servizio Gemelli digitali di Azure non riuscita: Errore 403 (Accesso negato).
Identità gestita per l'accesso ad altre risorse
La configurazione di un'identità gestita di Microsoft Entra IDper un'istanza di Gemelli digitali di Azure può consentire all'istanza di accedere facilmente ad altre risorse protette di Microsoft Entra, ad esempio Azure Key Vault. L'identità viene gestita dalla piattaforma Azure e non richiede il provisioning o la rotazione di segreti. Per altre informazioni sulle identità gestite in Microsoft Entra ID, vedere Identità gestite per le risorse di Azure.
Gemelli digitali di Azure supporta entrambi i tipi di identità gestite, assegnate dal sistema e assegnate dall'utente.
È possibile usare uno di questi tipi di identità gestita per eseguire l'autenticazione a un endpoint personalizzato. Gemelli digitali di Azure supporta l'autenticazione basata sull'identità agli endpoint per Hub eventi e bus di servizio destinazioni e a un endpoint contenitore Archiviazione di Azure per gli eventi non recapitabili. Gli endpoint di Griglia di eventi non sono attualmente supportati per le identità gestite.
Per istruzioni su come abilitare un'identità gestita per un endpoint di Gemelli digitali di Azure che può essere usato per instradare gli eventi, vedere Opzioni endpoint: autenticazione basata su identità.
Uso del servizio Microsoft attendibile per il routing di eventi a Hub eventi e agli endpoint di bus di servizio
Gemelli digitali di Azure può connettersi a Hub eventi e bus di servizio endpoint per l'invio di dati degli eventi, usando gli endpoint pubblici di tali risorse. Tuttavia, se tali risorse sono associate a una rete virtuale, la connettività alle risorse viene bloccata per impostazione predefinita. Di conseguenza, questa configurazione impedisce a Gemelli digitali di Azure di inviare i dati degli eventi alle risorse.
Per risolvere questo problema, abilitare la connettività dall'istanza di Gemelli digitali di Azure alle risorse di Hub eventi o bus di servizio tramite l'opzione del servizio Microsoft attendibile (vedere Trusted servizi Microsoft for Event Hubs and Trusted servizi Microsoft for bus di servizio).
Per abilitare la connessione al servizio Microsoft attendibile, è necessario completare i passaggi seguenti.
- L'istanza di Gemelli digitali di Azure deve usare un'identità gestita assegnata dal sistema. Ciò consente ad altri servizi di trovare l'istanza come servizio Microsoft attendibile. Per istruzioni su come configurare un'identità gestita dal sistema nell'istanza, vedere Abilitare l'identità gestita per l'istanza.
- Dopo il provisioning di un'identità gestita assegnata dal sistema, concedere l'autorizzazione per l'identità gestita dell'istanza per accedere all'hub eventi o all'endpoint bus di servizio (questa funzionalità non è supportata in Griglia di eventi). Per istruzioni sull'assegnazione dei ruoli appropriati, vedere Assegnare i ruoli di Azure all'identità.
- Per Hub eventi e bus di servizio endpoint con configurazioni del firewall, assicurarsi di abilitare l'impostazione Consenti servizi Microsoft attendibile di ignorare questa impostazione del firewall.
Accesso alla rete privata con collegamento privato di Azure
collegamento privato di Azure è un servizio che consente di accedere alle risorse di Azure (ad esempio Hub eventi di Azure, Archiviazione di Azure e Azure Cosmos DB) e ai servizi clienti e partner ospitati in Azure tramite un endpoint privato in Azure Rete virtuale (rete virtuale).
Analogamente, è possibile usare gli endpoint di accesso privato per l'istanza di Gemelli digitali di Azure per consentire ai client che si trovano nella rete virtuale di avere accesso sicuro all'API REST all'istanza tramite collegamento privato. La configurazione di un endpoint di accesso privato per l'istanza di Gemelli digitali di Azure consente di proteggere l'istanza di Gemelli digitali di Azure ed eliminare l'esposizione pubblica. Consente inoltre di evitare l'esfiltrazione dei dati dalla rete virtuale di Azure Rete virtuale.
L'endpoint di accesso privato usa un indirizzo IP dallo spazio indirizzi della rete virtuale di Azure. Il traffico di rete tra un client nella rete privata e l'istanza di Gemelli digitali di Azure attraversa la rete virtuale e un collegamento privato nella rete backbone Microsoft, eliminando l'esposizione alla rete Internet pubblica. Ecco una rappresentazione visiva di questo sistema:
La configurazione di un endpoint di accesso privato per l'istanza di Gemelli digitali di Azure consente di proteggere l'istanza di Gemelli digitali di Azure ed eliminare l'esposizione pubblica, nonché evitare l'esfiltrazione di dati dalla rete virtuale.
Per istruzioni su come configurare collegamento privato per Gemelli digitali di Azure, vedere Abilitare l'accesso privato con collegamento privato.
Nota
L'accesso alla rete privata con collegamento privato di Azure si applica all'accesso a Gemelli digitali di Azure tramite le API rest. Questa funzionalità non si applica agli scenari in uscita usando la funzionalità di routing degli eventi di Gemelli digitali di Azure.
Considerazioni relative alla progettazione
Quando si lavora con collegamento privato per Gemelli digitali di Azure, ecco alcuni fattori da considerare:
- Prezzi: per informazioni dettagliate sui prezzi, vedere collegamento privato di Azure prezzi.
- Disponibilità a livello di area: collegamento privato per Gemelli digitali di Azure è disponibile in tutte le aree di Azure in cui è disponibile Gemelli digitali di Azure.
- Azure Digital Twins Explorer: Azure Digital Twins Explorer non può accedere alle istanze di Gemelli digitali di Azure con accesso pubblico disabilitato. È tuttavia possibile usare funzioni di Azure per distribuire privatamente la codebase di Gemelli digitali di Azure nel cloud. Per istruzioni su come eseguire questa operazione, vedere Azure Digital Twins Explorer: Running in the cloud (Azure Digital Twins Explorer: Running in the cloud).
- Numero massimo di endpoint privati per ogni istanza di Gemelli digitali di Azure: 10
- Altri limiti: per altre informazioni sui limiti di collegamento privato, vedere collegamento privato di Azure documentazione: Limitazioni.
Tag di servizio
Un tag di servizio rappresenta un gruppo di prefissi di indirizzi IP da un determinato servizio di Azure. Microsoft gestisce i prefissi di indirizzo inclusi nel tag del servizio e aggiorna automaticamente il tag in base alla modifica degli indirizzi, riducendo la complessità degli aggiornamenti frequenti alle regole di sicurezza di rete. Per altre informazioni sui tag del servizio, vedere Tag di rete virtuale.
È possibile usare i tag del servizio per definire i controlli di accesso alla rete nei gruppi di sicurezza di rete o Firewall di Azure, usando tag di servizio al posto di indirizzi IP specifici quando si creano regole di sicurezza. Specificando il nome del tag del servizio (in questo caso AzureDigitalTwins) nel campo di origine o destinazione appropriato di una regola, è possibile consentire o negare il traffico per il servizio corrispondente.
Di seguito sono riportati i dettagli del tag del servizio AzureDigitalTwins.
| Tag | Scopo | È possibile usarlo in ingresso o in uscita? | Può essere regionale? | È possibile usarlo con Firewall di Azure? |
|---|---|---|---|---|
| AzureDigitalTwins | Gemelli digitali di Azure Nota: questo tag o gli indirizzi IP coperti da questo tag possono essere usati per limitare l'accesso agli endpoint configurati per le route degli eventi. |
In entrata | No | Sì |
Uso dei tag di servizio per l'accesso agli endpoint della route eventi
Ecco i passaggi per accedere agli endpoint di route degli eventi usando i tag di servizio con Gemelli digitali di Azure.
Prima di tutto, scaricare questo riferimento al file JSON che mostra gli intervalli IP e i tag di servizio di Azure: intervalli IP di Azure e tag di servizio.
Cercare gli intervalli IP "AzureDigitalTwins" nel file JSON.
Per informazioni su come impostare i filtri IP per tale risorsa, vedere la documentazione della risorsa esterna connessa all'endpoint, ad esempio Griglia di eventi, Hub eventi, bus di servizio o Archiviazione di Azure per gli eventi non recapitabili.
Impostare i filtri IP per le risorse esterne usando gli intervalli IP del passaggio 2.
Aggiornare periodicamente gli intervalli IP in base alle esigenze. Gli intervalli possono cambiare nel tempo, quindi è consigliabile controllarli regolarmente e aggiornarli quando necessario. La frequenza di questi aggiornamenti può variare, ma è consigliabile controllarli una volta alla settimana.
Crittografia dei dati inattivi
Gemelli digitali di Azure fornisce la crittografia dei dati inattivi e in transito durante la scrittura nei data center e la decrittografa automaticamente durante l'accesso. Questa crittografia viene eseguita usando una chiave di crittografia gestita da Microsoft.
Cross-Origin Resource Sharing (CORS)
Gemelli digitali di Azure attualmente non supporta la condivisione di risorse tra le origini (CORS). Di conseguenza, se si chiama un'API REST da un'app browser, un'interfaccia Gestione API (GESTIONE API) o un connettore di Power Apps, è possibile che venga visualizzato un errore di criteri.
Per risolvere questo errore, è possibile eseguire una delle azioni seguenti:
- Rimuovere l'intestazione
Access-Control-Allow-OriginCORS dal messaggio. Questa intestazione indica se la risposta può essere condivisa. - In alternativa, creare un proxy CORS e richiedere l'API REST di Gemelli digitali di Azure.
Passaggi successivi
Vedere questi concetti in azione in Configurare un'istanza e l'autenticazione.
Vedere come interagire con questi concetti dal codice dell'applicazione client in Scrivere codice di autenticazione dell'app.
Altre informazioni sul controllo degli accessi in base al ruolo di Azure.