Panoramica delle opzioni di crittografia del disco gestito
Sono disponibili diversi tipi di crittografia per i dischi gestiti, tra cui Crittografia dischi di Azure (ADE), Crittografia lato server (SSE) e crittografia a livello di host.
La crittografia lato server di Archiviazione su disco di Azure (detta anche crittografia dei dati inattivi o crittografia di Archiviazione di Azure) è sempre abilitata ed crittografa automaticamente i dati archiviati nei dischi gestiti di Azure (sistema operativo e dischi dati) quando si salvano in modo permanente nei cluster di archiviazione. Se configurato con un set di crittografia dischi (DES), supporta anche chiavi gestite dal cliente. Non crittografa i dischi temporanei o le cache dei dischi. Per informazioni dettagliate vedere Crittografia lato server di Archiviazione su disco di Azure.
La crittografia a livello di host è un'opzione della macchina virtuale che migliora la crittografia lato server di Archiviazione su disco di Azure per garantire che tutti i dischi temporanei e le cache dei dischi vengano crittografati quando inattivi e trasmessi crittografati ai cluster di archiviazione. Per informazioni dettagliate vedere Crittografia a livello di host - Crittografia end-to-end per i dati della macchina virtuale.
Crittografia dischi di Azure consente di proteggere e salvaguardare i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Crittografia dischi di Azure (ADE) crittografa il sistema operativo e i dischi dati delle macchine virtuali di Azure all'interno delle macchine virtuali usando la funzionalità DM-Crypt di Linux o la funzionalità BitLocker di Windows. Crittografia dischi di Azure (ADE) è integrata con Azure Key Vault per consentire di controllare e gestire le chiavi e i segreti di crittografia del disco con l'opzione per crittografare con una chiave di crittografia della chiave (KEK). Per altre informazioni vedere Crittografia dischi di Azure per macchine virtuali Linux o Crittografia dischi di Azure per macchine virtuali Windows.
Crittografia dischi riservati associa le chiavi di crittografia del disco al TPM della macchina virtuale e rendendo il contenuto del disco protetto accessibile solo alla macchina virtuale. Lo stato del TPM e lo della macchina virtuale guest sono sempre crittografati in codice attestato usando chiavi rilasciate da un protocollo sicuro che ignora l'hypervisor e il sistema operativo host. Attualmente è disponibile solo per il disco del sistema operativo; il supporto del disco temporaneo è disponibile in anteprima. La crittografia a livello di host può essere usata per altri dischi in una macchina virtuale riservata in aggiunta alla Crittografia dischi riservati. Per informazioni dettagliate vedere Macchine virtuali riservate serie DCasv5 e ECasv5.
La crittografia fa parte di un approccio alla sicurezza strutturato su più livelli e deve essere usata insieme ad altre raccomandazioni per proteggere le macchine virtuali e i relativi dischi. Per informazioni dettagliate vedere Raccomandazioni sulla sicurezza per le macchine virtuali in Azure e Limitare l'accesso di importazione/esportazione ai dischi gestiti.
Confronto
Di seguito è riportato un confronto tra l’archiviazione su disco con Crittografia SSE (Crittografia lato server), ADE (Crittografia dischi di Azure), Crittografia a livello di host e Crittografia dischi riservati.
| Crittografia lato server di Archiviazione su disco di Azure | Crittografia a livello di host | Azure Disk Encryption | Crittografia dischi riservati (solo per il disco del sistema operativo) | |
|---|---|---|---|---|
| Crittografia dei dati inattivi (dischi dati e del sistema operativo) | ✅ | ✅ | ✅ | ✅ |
| Crittografia dei dischi temporanei | ❌ | ✅ Supportato solo con chiave gestita dalla piattaforma | ✅ | ✅In anteprima |
| Crittografia delle cache | ❌ | ✅ | ✅ | ✅ |
| Flussi di dati crittografati tra risorse di calcolo e archiviazione | ❌ | ✅ | ✅ | ✅ |
| Controllo delle chiavi da parte del cliente | ✅ Se configurato con DES | ✅ Se configurato con DES | ✅ Se configurato con KEK | ✅ Se configurato con DES |
| Supporto modulo di protezione hardware (HSM) | Azure Key Vault Premium e Modulo di protezione hardware gestito | Azure Key Vault Premium e Modulo di protezione hardware gestito | Azure Key Vault Premium | Azure Key Vault Premium e Modulo di protezione hardware gestito |
| Non usa la CPU della macchina virtuale | ✅ | ✅ | ❌ | ❌ |
| Funziona per immagini personalizzate | ✅ | ✅ | ❌ Non funziona per immagini personalizzate Linux | ✅ |
| Protezione avanzata delle chiavi | ❌ | ❌ | ❌ | ✅ |
| Stato di crittografia del disco di Microsoft Defender per il Cloud* | Unhealthy | Healthy | Healthy | Non applicabile |
Importante
Per la crittografia dischi riservati attualmente Microsoft Defender per il Cloud non ha raccomandazioni applicabili.
* Microsoft Defender per il Cloud offre le raccomandazioni seguenti sulla crittografia del disco:
- Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere abilitata la crittografia a livello di host (viene rilevata solo la crittografia a livello di host)
- Le macchine virtuali devono crittografare i dischi temporanei, le cache e i flussi di dati tra risorse di calcolo e di archiviazione (viene rilevata solo la Crittografia dischi di Azure)
- Le macchine virtuali Windows devono abilitare la Crittografia dischi di Azure o EncryptionAtHost (viene rilevata sia la Crittografia dischi di Azure che EncryptionAtHost)
- Le macchine virtuali Linux devono abilitare la Crittografia dischi di Azure o EncryptionAtHost (viene rilevata sia la Crittografia dischi di Azure che EncryptionAtHost)
Passaggi successivi
- Crittografia dischi di Azure per macchine virtuali Linux
- Crittografia dischi di Azure per macchine virtuali Windows
- Crittografia lato server di archiviazione su disco di Azure
- Crittografia a livello di host
- Macchine virtuali riservate serie DCasv5 e ECasv5.
- Nozioni di base sulla sicurezza di Azure - Panoramica della Crittografia di Azure