Opzioni di crittografia per la protezione di macchine virtuali Windows e Linux
Si supponga che i partner commerciali della società abbiano criteri di sicurezza che richiedono di proteggere i dati commerciali con la crittografia avanzata. Si usa un'applicazione B2B che viene eseguita nei server Windows e archivia i dati nel disco dati dei server. In questa fase di transizione al cloud è necessario dimostrare ai partner commerciali che i dati archiviati nelle macchine virtuali di Azure non sono accessibili a utenti, dispositivi o applicazioni non autorizzate. È necessario stabilire una strategia per l'implementazione della crittografia dei dati B2B.
I requisiti di controllo prevedono che le chiavi di crittografia siano gestite internamente e non da terze parti. Si vuole anche assicurarsi che le prestazioni e la gestibilità dei server basati su Azure vengano mantenute. Prima di implementare la crittografia, è quindi opportuno assicurarsi che non si verificherà un calo delle prestazioni.
Che cos'è la crittografia?
La crittografia implica la conversione di informazioni importanti in qualcosa che non sembra importante, ad esempio una sequenza casuale di lettere e numeri. Il processo di crittografia usa qualche tipo di chiave come parte dell'algoritmo che crea i dati crittografati. Una chiave è necessaria anche per eseguire la decrittografia. Le chiavi possono essere simmetriche, in cui viene usata la stessa chiave per la crittografia e la decrittografia, o asimmetrica, in cui vengono usate chiavi diverse. Un esempio del secondo caso sono le coppie di chiavi pubbliche-private usate nei certificati digitali.
Crittografia simmetrica
Gli algoritmi che usano le chiavi simmetriche, ad esempio Advanced Encryption Standard (AES), sono in genere più veloci rispetto agli algoritmi a chiave pubblica e vengono spesso usati per la protezione di archivi dati di grandi dimensioni. Poiché è presente solo una chiave, devono essere applicate procedure per impedire che la chiave diventi nota pubblicamente.
Crittografia asimmetrica
Con gli algoritmi asimmetrici, solo il membro chiave privata della coppia deve restare privato e sicuro. Come suggerisce il nome, la chiave pubblica può essere resa disponibile a chiunque senza compromettere i dati crittografati. Lo svantaggio degli algoritmi a chiave pubblica, tuttavia, è che sono molto più lenti rispetto agli algoritmi simmetrici e non possono essere usati per crittografare grandi quantità di dati.
Gestione delle chiavi
In Azure, Microsoft o il cliente può gestire le chiavi di crittografia. Spesso la richiesta di chiavi gestite dal cliente proviene da organizzazioni che devono dimostrare la conformità a HIPAA o ad altre normative. Tale conformità potrebbe richiedere che venga registrato l'accesso alle chiavi e che vengano apportate e registrate modifiche regolari delle chiavi.
Tecnologie di crittografia dischi di Azure
Le principali tecnologie di protezione dei dischi basate sulla crittografia per le macchine virtuali di Azure sono:
- Crittografia del servizio di archiviazione di Azure
- Crittografia dischi di Azure (ADE)
La crittografia del servizio di archiviazione viene eseguita sui dischi fisici nel data center. Se qualcuno dovesse accedere direttamente al disco fisico, i dati sarebbero illeggibili perché crittografati. Quando viene effettuato l'accesso dal disco, i dati vengono decrittografati e caricati in memoria.
Crittografia dischi di Azure crittografa i dischi rigidi virtuali della macchina virtuale. Se un disco rigido virtuale è protetto con ADE, l'immagine del disco è accessibile solo dalla macchina virtuale proprietaria del disco.
È possibile usare entrambi i servizi per proteggere i dati.
Crittografia del servizio di archiviazione
Crittografia del servizio di archiviazione è un servizio di crittografia incorporato in Azure usato per proteggere i dati inattivi. La piattaforma di archiviazione Azure crittografa automaticamente i dati prima che vengano archiviati in diversi servizi di archiviazione, tra cui Azure Managed Disks. La crittografia è abilitata per impostazione predefinita tramite la crittografia AES a 256 bit e viene gestita dall'amministratore account di archiviazione.
S edizione Standard è abilitato per tutti gli account di archiviazione nuovi ed esistenti e non può essere disabilitato. Poiché i dati vengono protetti per impostazione predefinita, non è necessario modificare il codice o le applicazioni per sfruttare i vantaggi offerti dalla crittografia del servizio di archiviazione.
S edizione Standard non influisce sulle prestazioni dei servizi di archiviazione di Azure.
Azure Disk Encryption
Il proprietario della macchina virtuale gestisce ADE. Controlla la crittografia dei dischi controllati dalle macchine virtuali Windows e Linux, usando BitLocker nelle macchine virtuali Windows e DM-Crypt nelle macchine virtuali Linux. Crittografia unità BitLocker è una funzionalità di protezione dei dati che si integra con il sistema operativo e risponde alle minacce di furto o esposizione dei dati da computer persi, rubati o per i quali sono state rimosse le autorizzazioni in modo inappropriato. Analogamente, DM-Crypt crittografa i dati inattivi per Linux prima che vengano scritti nella risorsa di archiviazione.
Crittografia dischi di Azure assicura che tutti i dati nei dischi delle macchine virtuali vengano crittografati nella risorsa di archiviazione di Azure quando sono inattivi ed è obbligatoria per le macchine virtuali di cui viene eseguito un backup nell'insieme di credenziali di ripristino.
Con Crittografia dischi di Azure, le macchine virtuali vengono avviate con chiavi e criteri controllati dai clienti. Azure Key Vault è integrato con Azure Key Vault per gestire queste chiavi e segreti di crittografia del disco.
Nota
AdE non supporta la crittografia delle macchine virtuali di livello Basic e non è possibile usare un Servizio di gestione delle chiavi locale (Servizio di gestione delle chiavi) con AdE.
Quando usare la crittografia
I dati del computer sono a rischio quando sono in transito (trasmessi tramite Internet o un'altra rete) e quando sono inattivi (salvati in un dispositivo di archiviazione). Lo scenario dei dati inattivi è quello più preoccupante quando si proteggono i dati nei dischi delle macchine virtuali di Azure. Un utente potrebbe, ad esempio, scaricare il file disco rigido virtuale (VHD) associato a una macchina virtuale di Azure e salvarlo sul portatile. Se il disco rigido virtuale non è crittografato, il contenuto del disco rigido virtuale è potenzialmente accessibile a chiunque possa montare il file VHD nel proprio computer.
Per i dischi del sistema operativo, i dati come le password vengono crittografati automaticamente, quindi anche se il disco rigido virtuale stesso non è crittografato, non è facile accedere a tali informazioni. Le applicazioni possono anche crittografare automaticamente i propri dati. Tuttavia, anche con tali protezioni, se un utente con finalità dannose ottiene l'accesso a un disco dati e il disco stesso non è stato crittografato, potrebbe essere in grado di sfruttare eventuali punti deboli noti nella protezione dei dati dell'applicazione. Con la crittografia dei dischi, questi exploit non sono possibili.
S edizione Standard fa parte di Azure stesso e non dovrebbe esserci un notevole impatto sulle prestazioni sull'I/O del disco della macchina virtuale quando si usa S edizione Standard. I dischi gestiti con la crittografia del servizio di archiviazione sono ora l'impostazione predefinita e non dovrebbe esserci motivo per modificarli. AdE usa gli strumenti del sistema operativo della macchina virtuale (BitLocker e DM-Crypt) in modo che la macchina virtuale stessa debba eseguire alcune operazioni quando viene eseguita la crittografia o la decrittografia nei dischi delle macchine virtuali. L'impatto di questa attività aggiuntiva della CPU della macchina virtuale è in genere trascurabile, tranne che in determinate situazioni. Ad esempio, se si dispone di un'applicazione a elevato utilizzo di CPU, potrebbe verificarsi un caso per lasciare il disco del sistema operativo non crittografato per ottimizzare le prestazioni. In questo caso, è possibile archiviare i dati dell'applicazione in un disco dati crittografato separato, che offre le prestazioni necessarie senza compromettere la sicurezza.
Azure offre due tecnologie di crittografia complementari usate per proteggere i dischi delle macchine virtuali di Azure. Queste tecnologie (S edizione Standard e ADE) vengono crittografate a livelli diversi e servono scopi diversi. Entrambe usano la crittografia AES a 256 bit. L'uso di entrambe le tecnologie offre una protezione avanzata contro l'accesso non autorizzato alla risorsa di archiviazione di Azure e a dischi rigidi virtuali specifici.