Crittografia e gestione delle chiavi in Azure

  • Articolo

La crittografia è un passaggio fondamentale per garantire la privacy, la conformità e la residenza dei dati in Microsoft Azure. È anche uno degli aspetti più importanti della sicurezza per molte aziende. Questa sezione illustra le considerazioni sulla progettazione e le raccomandazioni per la crittografia e la gestione delle chiavi.

Considerazioni relative alla progettazione

  • Impostare i limiti di sottoscrizione e scalabilità per come si applicheranno ad Azure Key Vault.

    Key Vault include limiti delle transazioni per chiavi e segreti. Per limitare le transazioni per ogni insieme di credenziali in un determinato periodo, vedere Limiti di Azure.

    Key Vault funge da limite di sicurezza perché le autorizzazioni di accesso a chiavi, segreti e certificati sono al livello dell'insieme di credenziali. I criteri di accesso di Key Vault concedono autorizzazioni separate per chiavi, segreti o certificati. Non supportano le autorizzazioni granulari a livello di oggetto, ad esempio una chiave, un segreto, un certificato specifico o una gestione delle chiavi.

  • Isolare i segreti specifici dell'applicazione e del carico di lavoro e i segreti condivisi, in base alle esigenze per controllare l'accesso.

  • Ottimizzare gli SKU Premium in cui sono necessarie chiavi con protezione HSM (Hardware Security Module).

    I moduli HMS sottostanti sono conformi a FIPS 140-2 Livello 2. Gestire il modulo HSM dedicato di Azure per la conformità a FIPS 140-2 Livello 3 considerando gli scenari supportati.

  • Gestire la rotazione delle chiavi e la scadenza dei segreti.

  • Usare i certificati Key Vault per gestire l'approvvigionamento e la firma dei certificati. Impostare avvisi, notifiche e rinnovi automatici dei certificati.

  • Impostare i requisiti di ripristino di emergenza per chiavi, certificati e segreti.

  • Impostare le funzionalità di replica e failover dei servizi di Key Vault. Impostare disponibilità e ridondanza.

  • Monitorare l'utilizzo di chiavi, certificati e segreti.

    Rilevare l'accesso non autorizzato usando un insieme di credenziali delle chiavi o un'area di lavoro Log Analytics di Monitoraggio di Azure. Per altre informazioni, vedere Monitoraggio e avvisi per Azure Key Vault.

  • Delegare le creazioni di istanze e l'accesso con privilegi di Key Vault. Per altre informazioni, vedere Sicurezza in Azure Key Vault.

  • Impostare i requisiti per l'uso delle chiavi gestite dal cliente per i meccanismi di crittografia nativi, ad esempio la crittografia di Archiviazione di Azure:

    • Chiavi gestite dal cliente
    • Crittografia dell'intero disco per le macchine virtuali
    • Crittografia dei dati in transito
    • Crittografia dei dati inattivi

Suggerimenti per la progettazione

  • Usare un modello di Azure Key Vault federato per aggirare i limiti di scalabilità delle transazioni.

  • Il controllo degli accessi in base al ruolo di Azure è il sistema di autorizzazione consigliato per il piano dati di Azure Key Vault. Per altre informazioni, vedere Controllo degli accessi in base al ruolo di Azure e criteri di accesso (legacy).

  • Effettuare il provisioning di Azure Key Vault con i criteri di eliminazione e ripulitura software abilitati per consentire la protezione della conservazione per gli oggetti eliminati.

  • Seguire un modello con privilegi minimi limitando l'autorizzazione a eliminare in modo permanente chiavi, segreti e certificati ai ruoli personalizzati di Microsoft Entra personalizzati.

  • Automatizzare il processo di gestione e rinnovo dei certificati con autorità di certificazione pubbliche per semplificare l'amministrazione.

  • Stabilire un processo automatizzato per la rotazione delle chiavi e dei certificati.

  • Abilitare gli endpoint servizio firewall e di rete virtuale nell'insieme di credenziali per controllare l'accesso all'insieme di credenziali delle chiavi.

  • Usare l'area di lavoro Log Analytics di Monitoraggio di Azure della piattaforma centrale per controllare l'utilizzo di chiavi, certificati e segreti all'interno di ogni istanza di Key Vault.

  • Delegare la creazione di un'istanza e l'accesso con privilegi a Key Vault e usare Criteri di Azure per applicare una configurazione conforme coerente.

  • Per impostazione predefinita, vengono usate le chiavi gestite da Microsoft per la funzionalità di crittografia principale. Le chiavi gestite dal cliente vengono usate quando necessario.

  • Non usare istanze centralizzate di Key Vault per chiavi o segreti dell'applicazione.

  • Per evitare la condivisione dei segreti tra gli ambienti, non condividere le istanze di Key Vault tra le applicazioni.