Crittografia in Azure

  • Articolo

Le misure di sicurezza tecnologiche in Azure, ad esempio le comunicazioni crittografate e i processi operativi, consentono di proteggere i dati. È anche possibile implementare funzionalità di crittografia aggiuntive e gestire le proprie chiavi di crittografia. Indipendentemente dalla configurazione del cliente, Microsoft applica la crittografia per proteggere i dati dei clienti in Azure. Microsoft consente inoltre di controllare i dati ospitati in Azure tramite una gamma di tecnologie avanzate per crittografare, controllare e gestire le chiavi crittografiche e controllare l'accesso ai dati. Archiviazione di Azure offre inoltre un set completo di funzionalità di sicurezza che consentono agli sviluppatori di creare applicazioni sicure.

Azure offre molti meccanismi per la protezione dei dati man mano che si sposta da una posizione a un'altra. Microsoft usa TLS per proteggere i dati quando viaggiano tra i servizi cloud e i clienti. I data center Microsoft negoziano una connessione TLS con i sistemi client che si connettono ai servizi di Azure. Forward Secrecy (FS) protegge le connessioni tra i sistemi client dei clienti e i servizi cloud di Microsoft tramite chiavi univoche. Le connessioni usano anche lunghezze di chiave di crittografia a 2.048 bit basate su RSA. Questa combinazione rende difficile per un utente intercettare e accedere ai dati in transito.

I dati possono essere protetti in transito tra un'applicazione e Azure usando la crittografia lato client, HTTPS o SMB 3.0. È possibile abilitare la crittografia per il traffico tra le proprie macchine virtuali (VM) e gli utenti. Con Le reti virtuali di Azure è possibile usare il protocollo IPsec standard del settore per crittografare il traffico tra il gateway VPN aziendale e Azure, nonché tra le macchine virtuali presenti nel Rete virtuale.

Per i dati inattivi, Azure offre molte opzioni di crittografia, ad esempio il supporto per AES-256, consentendo di scegliere lo scenario di archiviazione dei dati più adatto alle proprie esigenze. I dati possono essere crittografati automaticamente quando scritti in Archiviazione di Azure tramite crittografia del servizio di archiviazione e i dischi dati e del sistema operativo usati dalle macchine virtuali possono essere crittografati. Per altre informazioni, vedere Consigli sulla sicurezza per le macchine virtuali Windows in Azure. Inoltre, l'accesso delegato agli oggetti dati in Archiviazione di Azure può essere concesso usando le firme di accesso condiviso. Azure fornisce anche la crittografia per i dati inattivi usando Transparent Data Encryption per Azure SQL database e Data Warehouse.

Per altre informazioni sulla crittografia in Azure, vedere Panoramica della crittografia di Azure e Crittografia dati di Azure inattivi.

Consiglio

Se non si è un cliente E5, usare la versione di valutazione delle soluzioni Microsoft Purview di 90 giorni per esplorare in che modo funzionalità aggiuntive di Purview possono aiutare l'organizzazione a gestire le esigenze di sicurezza e conformità dei dati. Iniziare ora dall'hub delle versioni di valutazione Portale di conformità di Microsoft Purview. Informazioni dettagliate sull'iscrizione e le condizioni di valutazione.

Crittografia dischi di Azure

Crittografia dischi di Azure consente di crittografare i dischi delle macchine virtuali IaaS (Infrastruttura distribuita come servizio) Windows e Linux. Crittografia dischi di Azure usa la funzionalità BitLocker di Windows e la funzionalità DM-Crypt di Linux per fornire la crittografia a livello di volume per il sistema operativo e i dischi dati. Garantisce inoltre che tutti i dati nei dischi delle macchine virtuali vengano crittografati inattivi nell'archiviazione di Azure. Crittografia dischi di Azure è integrato con Azure Key Vault per controllare, gestire e controllare l'uso delle chiavi e dei segreti di crittografia.

Per altre informazioni, vedere Consigli sulla sicurezza per le macchine virtuali Windows in Azure.

Crittografia del servizio Archiviazione di Azure

Con Crittografia del servizio di archiviazione di Azure, Archiviazione di Azure crittografa automaticamente i dati prima di renderli persistenti nell'archiviazione e decrittografa i dati prima del recupero. I processi di crittografia, decrittografia e gestione delle chiavi sono totalmente trasparenti per gli utenti. Crittografia del servizio di archiviazione di Azure può essere usata per Archiviazione BLOB di Azure e File di Azure. È anche possibile usare chiavi di crittografia gestite da Microsoft con Crittografia del servizio di archiviazione di Azure oppure usare chiavi di crittografia personalizzate. Per informazioni sull'uso di chiavi personalizzate, vedere Crittografia del servizio di archiviazione con chiavi gestite dal cliente in Azure Key Vault. Per informazioni sull'uso delle chiavi gestite da Microsoft, vedere Crittografia del servizio di archiviazione per i dati inattivi. È anche possibile automatizzare l'uso della crittografia. Ad esempio, è possibile abilitare o disabilitare a livello di codice Crittografia del servizio di archiviazione in un account di archiviazione usando l'API REST del provider di risorse di archiviazione di Azure, la libreria client del provider di risorse di archiviazione per .NET, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Alcuni servizi di Microsoft 365 usano Azure per l'archiviazione dei dati. Ad esempio, SharePoint Online e OneDrive for Business archiviano i dati nell'archiviazione BLOB di Azure e Microsoft Teams archivia i dati per il servizio chat in tabelle, BLOB e code. Inoltre, la funzionalità Compliance Manager nel Portale di conformità di Microsoft Purview archivia i dati immessi dal cliente in formato crittografato in Azure Cosmos DB, un database PaaS (Platform as a Service), distribuito a livello globale e multimodelli. Crittografia del servizio di archiviazione di Azure crittografa i dati archiviati nell'archiviazione BLOB di Azure e nelle tabelle e Crittografia dischi di Azure crittografa i dati nelle code, nonché i dischi delle macchine virtuali Windows e IaaS per fornire la crittografia del volume per il sistema operativo e il disco dati. La soluzione garantisce che tutti i dati nei dischi delle macchine virtuali siano crittografati inattivi nell'archiviazione di Azure. La crittografia inattivi in Azure Cosmos DB viene implementata usando diverse tecnologie di sicurezza, tra cui sistemi di archiviazione delle chiavi sicuri, reti crittografate e API di crittografia.

Azure Key Vault

La gestione sicura delle chiavi non è solo fondamentale per le procedure consigliate di crittografia; è anche essenziale per proteggere i dati nel cloud. Azure Key Vault consente di crittografare chiavi e piccoli segreti, ad esempio le password che usano chiavi archiviate nei moduli di sicurezza hardware (HSM). Azure Key Vault è la soluzione consigliata da Microsoft per la gestione e il controllo dell'accesso alle chiavi di crittografia usate dai servizi cloud. Le autorizzazioni per accedere alle chiavi possono essere assegnate ai servizi o agli utenti con account Azure Active Directory. Azure Key Vault evita alle organizzazioni di dover configurare, applicare patch e gestire moduli di protezione hardware e software di gestione delle chiavi. Con Azure Key Vault, Microsoft non vede mai le chiavi e le applicazioni non hanno accesso diretto ad esse, ma si mantiene il controllo. È anche possibile importare o generare chiavi in moduli di protezione hardware. Le organizzazioni con una sottoscrizione che include Azure Information Protection possono configurare il tenant di Azure Information Protection in modo da usare una chiave gestita dal cliente Bring Your Own Key (BYOK)) e registrarne l'utilizzo.