Modello di sicurezza per il Servizio cache gestita di Azure

  • Articolo

Importante

Microsoft consiglia tutti i nuovi sviluppi che usano Cache Redis di Azure. Per la documentazione e le indicazioni correnti sulla scelta di un'offerta di Cache di Azure, vedere Quale offerta di Cache di Azure è adatta per l'utente?

Servizio cache gestita consente di controllare l'accesso alla cache richiedendo alle applicazioni client di eseguire l'autenticazione nella cache usando le chiavi di accesso. Servizio cache gestita offre anche la possibilità di proteggere la comunicazione del canale tra l'applicazione client e la cache. Questo argomento fornisce informazioni generali sul controllo dell'accesso tramite chiavi e sulla protezione della comunicazione con la cache.

Contenuto della sezione

  • Controllo dell'accesso tramite chiavi

    • Procedura: Eseguire un aggiornamento in sequenza

  • Protezione delle comunicazioni tra i client della cache e la cache

Controllo dell'accesso tramite chiavi

Per garantire che solo le applicazioni client desiderate siano in grado di accedere alla cache, tutti i client devono usare una chiave di accesso.

Quando si crea una cache usando il portale di gestione, è preconfigurato con due chiavi di accesso: una chiave di accesso primaria e una chiave di accesso secondaria. Per recuperarle, fare clic su Gestisci chiavi nella scheda Avvio rapido o nel dashboard relativo al servizio Cache.

Manage Access Keys for Windows Azure Cache Service

Tali chiavi di accesso vengono usate per configurare l'applicazione client.

Nota

In genere, viene usata la chiave di accesso primaria, mentre quella secondaria viene usata per eseguire un aggiornamento in sequenza quando la chiave primaria viene rigenerata. Questa procedura è descritta nella sezione seguente, Procedura: Eseguire un aggiornamento in sequenza.

Per specificare la chiave di accesso per la cache nell'applicazione client, aprire il file web.config o app.config relativo all'applicazione, quindi trovare l'elemento securityProperties nella sezione dataCacheClients.

<!--<securityProperties mode="Message" sslEnabled="false">
  <messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>-->

Rimuovere i commenti dal frammento di codice e sostituire [Authentication Key] con la chiave di accesso primaria. Se la chiave di autenticazione non è configurata in modo corretto, i client non sono in grado di connettersi alla cache.

Nota

Le sezioni securityProperties e dataCacheClients vengono aggiunte dal pacchetto NuGet di Cache usato per configurare i client della cache. Per altre informazioni, vedere Configurare un client cache usando il pacchetto Caching NuGet.

Viene fornita inoltre anche una chiave di accesso secondaria in modo che sia possibile aggiornare le chiavi tramite un aggiornamento in sequenza per evitare che le applicazioni rimangano inattive a causa delle modifiche delle chiavi.

Procedura: Eseguire un aggiornamento in sequenza

Negli scenari in cui è necessario rigenerare la chiave di accesso primaria, ad esempio per rispettare la conformità con i criteri aziendali, oppure nel caso in cui la chiave di accesso sia stata compromessa, seguire questa procedura.

  1. Aggiornare la configurazione delle applicazioni client della cache per usare la chiave di accesso secondaria.

  2. Nella finestra di dialogo Gestisci chiavi di accesso del portale di gestione fare clic su Rigenera per la chiave di accesso primaria.

  3. Aggiornare le configurazioni delle applicazioni client della cache per usare la chiave di accesso primaria rigenerata.

    Rigenerare la chiave di accesso secondaria.

Protezione delle comunicazioni tra i client della cache e la cache

Servizio cache gestita offre la possibilità di proteggere la comunicazione tra l'applicazione client e la cache. A tale scopo, impostare sslEnabled = true nell'elemento securityProperties della sezione dataCacheClients del file web.config o app.config dell'applicazione per garantire che tutte le comunicazioni tra il client e la cache vengano eseguite tramite protocollo TLS.

<securityProperties mode="Message" sslEnabled="true">
  <messageSecurity authorizationInfo="[Authentication Key]" />
</securityProperties>

Per impostazione predefinita, è impostato su false e, se l'attributo non è specificato, sslEnabled il sslEnabled valore usato è false.

La comunicazione tra client e cache ospitate nella stessa area di Azure è già sicura. Se la cache è ospitata nella stessa area di Azure dell'applicazione client, è consigliabile impostare su sslEnabledfalse. Poiché si verifica un sovraccarico quando si usa SSL, l'impostazione sslEnabled su true quando i client cache e cache si trovano nella stessa area non riducono inutilmente le prestazioni della cache.

Se non è possibile avere sia la cache che il client della cache nella stessa area di Azure, l'applicazione potrebbe ricevere il vantaggio della comunicazione crittografata impostando sslEnabledsu true. Tenere presente che per ottenere le prestazioni migliori (non solo in relazione all'impostazione di sslEnabled), è opportuno inserire la cache nella stessa area dell'applicazione client.

Vedere anche

Riferimento

Configurare un client della cache mediante il pacchetto NuGet di Caching

Risorse aggiuntive

Funzionalità del Servizio cache gestito di Azure