Sicurezza in Azure Esplora dati
Questo articolo fornisce un'introduzione alla sicurezza in Azure Esplora dati per proteggere i dati e le risorse nel cloud e soddisfare le esigenze di sicurezza dell'azienda. È importante mantenere sicuri i cluster. La protezione dei cluster include una o più funzionalità di Azure che includono l'accesso sicuro e l'archiviazione. Questo articolo fornisce informazioni utili per proteggere il cluster.
Per altre risorse relative alla conformità per l'azienda o l'organizzazione, vedere la documentazione di conformità di Azure.
Sicurezza di rete
La sicurezza di rete è un requisito condiviso da molti dei clienti aziendali consapevoli della sicurezza. La finalità consiste nell'isolare il traffico di rete e limitare la superficie di attacco per Azure Esplora dati e le comunicazioni corrispondenti. È quindi possibile bloccare il traffico proveniente da segmenti di rete non azure Esplora dati e assicurarsi che solo il traffico da origini note raggiunga i punti finali di Azure Esplora dati. Ciò include il traffico che ha origine in locale o all'esterno di Azure, con una destinazione di Azure e viceversa. Azure Esplora dati supporta le funzionalità seguenti per raggiungere questo obiettivo:
È consigliabile usare endpoint privati per proteggere l'accesso alla rete al cluster. Questa opzione offre molti vantaggi rispetto all'inserimento di rete virtuale che comporta un sovraccarico di manutenzione inferiore, tra cui un processo di distribuzione più semplice e più affidabile per le modifiche alla rete virtuale.
Identità e controllo di accesso
Controllo degli accessi in base al ruolo
Usare il controllo degli accessi in base al ruolo per separare i compiti e concedere solo l'accesso richiesto agli utenti del cluster. Invece di concedere a tutti le autorizzazioni senza restrizioni nel cluster, è possibile consentire solo agli utenti assegnati a ruoli specifici di eseguire determinate azioni. È possibile configurare il controllo di accesso per i database nella portale di Azure, usando l'interfaccia della riga di comando di Azure o Azure PowerShell.
Identità gestite per le risorse di Azure
Una sfida comune quando si creano applicazioni cloud è la gestione delle credenziali nel codice per l'autenticazione ai servizi cloud. Proteggere le credenziali è un'attività importante. Le credenziali non devono essere archiviate nelle workstation di sviluppo o archiviate nel controllo del codice sorgente. Azure Key Vault consente di archiviare in modo sicuro le credenziali, i segreti e altre chiavi, ma è necessario autenticare il codice in Key Vault per recuperarle.
La funzionalità Microsoft Entra identità gestite per le risorse di Azure risolve questo problema. La funzionalità fornisce servizi di Azure con un'identità gestita automaticamente in Microsoft Entra ID. È possibile usare l'identità per eseguire l'autenticazione a qualsiasi servizio che supporta l'autenticazione Microsoft Entra, inclusa la Key Vault, senza credenziali nel codice. Per altre informazioni su questo servizio, vedere La pagina panoramica delle identità gestite per le risorse di Azure .
Protezione dei dati
Crittografia dischi di Azure
Crittografia dischi di Azure consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Fornisce la crittografia dei volumi per il sistema operativo e i dischi dati delle macchine virtuali del cluster. Crittografia dischi di Azure si integra anche con Azure Key Vault, che consente di controllare e gestire le chiavi e i segreti di crittografia del disco e assicurarsi che tutti i dati nei dischi della macchina virtuale siano crittografati.
Chiavi gestite dal cliente con Azure Key Vault
Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un controllo aggiuntivo sulle chiavi di crittografia, è possibile fornire chiavi gestite dal cliente da usare per la crittografia dei dati. È possibile gestire la crittografia dei dati a livello di archiviazione con le proprie chiavi. Una chiave gestita dal cliente viene usata per proteggere e controllare l'accesso alla chiave di crittografia radice, usata per crittografare e decrittografare tutti i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.
Usare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile creare chiavi personalizzate e archiviarle in un insieme di credenziali delle chiavi oppure usare un'API di Azure Key Vault per generare chiavi. Il cluster di Azure Esplora dati e il Key Vault di Azure devono trovarsi nella stessa area, ma possono trovarsi in sottoscrizioni diverse. Per altre informazioni su Azure Key Vault, vedere Informazioni su Azure Key Vault?. Per una spiegazione dettagliata sulle chiavi gestite dal cliente, vedere Chiavi gestite dal cliente con Azure Key Vault. Configurare le chiavi gestite dal cliente nel cluster di Azure Esplora dati usando il portale, C#, il modello di azure Resource Manager, l'interfaccia della riga di comando o PowerShell
Nota
Le chiavi gestite dal cliente si basano sulle identità gestite per le risorse di Azure, una funzionalità di Microsoft Entra ID. Per configurare le chiavi gestite dal cliente nella portale di Azure, configurare un'identità gestita nel cluster, come descritto in Configurare le identità gestite per il cluster di Azure Esplora dati.
Archiviare le chiavi gestite dal cliente in Azure Key Vault
Per abilitare le chiavi gestite dal cliente in un cluster, usare un Key Vault di Azure per archiviare le chiavi. È necessario abilitare le proprietà Elimina temporanea e Non eliminare le proprietà nell'insieme di credenziali delle chiavi. L'insieme di credenziali delle chiavi deve trovarsi nella stessa area del cluster. Azure Esplora dati usa le identità gestite per le risorse di Azure per l'autenticazione nell'insieme di credenziali delle chiavi per le operazioni di crittografia e decrittografia. Le identità gestite non supportano scenari tra directory.
Ruotare le chiavi gestite dal cliente
È possibile ruotare una chiave gestita dal cliente in Azure Key Vault in base ai criteri di conformità. Per ruotare una chiave, in Azure Key Vault aggiornare la versione della chiave o creare una nuova chiave e quindi aggiornare il cluster per crittografare i dati usando il nuovo URI della chiave. È possibile eseguire questa procedura usando l'interfaccia della riga di comando di Azure o nel portale. La rotazione della chiave non attiva nuovamente la crittografia dei dati esistenti nel cluster.
Quando si ruota una chiave, in genere si specifica la stessa identità usata durante la creazione del cluster. Facoltativamente, configurare una nuova identità assegnata dall'utente per l'accesso alle chiavi o abilitare e specificare l'identità assegnata dal sistema del cluster.
Nota
Assicurarsi che le autorizzazioni Get, Unwrap Key e Wrapping Key siano impostate per l'identità configurata per l'accesso alle chiavi.
Aggiornare la versione della chiave
Uno scenario comune consiste nell'aggiornare la versione della chiave usata come chiave gestita dal cliente. A seconda della configurazione della crittografia del cluster, la chiave gestita dal cliente nel cluster viene aggiornata automaticamente o deve essere aggiornata manualmente.
Revocare l'accesso alle chiavi gestite dal cliente
Per revocare l'accesso alle chiavi gestite dal cliente, usare PowerShell o l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere PowerShell per Azure Key Vault o Interfaccia della riga di comando per Azure Key Vault. La revoca dell'accesso blocca l'accesso a tutti i dati nel livello di archiviazione del cluster, poiché la chiave di crittografia è di conseguenza inaccessibile da Azure Esplora dati.
Nota
Quando Azure Esplora dati identifica che l'accesso a una chiave gestita dal cliente viene revocato, sospende automaticamente il cluster per eliminare i dati memorizzati nella cache. Una volta restituito l'accesso alla chiave, il cluster verrà ripreso automaticamente.