Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Azure include strumenti per proteggere i dati in base alle esigenze di sicurezza e conformità dell'azienda. Questo articolo è incentrato su:
- Modalità di protezione dei dati inattivi in Microsoft Azure.
- I vari componenti che partecipano all'implementazione della protezione dei dati.
- Vantaggi e svantaggi di diversi approcci di protezione della gestione delle chiavi.
La crittografia dei dati inattivi è un requisito di sicurezza comune. In Azure, i dati a riposo vengono crittografati per impostazione predefinita, usando chiavi gestite dalla piattaforma. Questo approccio offre alle organizzazioni la crittografia automatica senza il rischio o il costo di una soluzione di gestione delle chiavi personalizzata. Le organizzazioni possono basarsi su Azure per gestire completamente la crittografia dei dati inattivi usando chiavi gestite dalla piattaforma oppure possono usare chiavi gestite dal cliente quando hanno bisogno di un controllo aggiuntivo sulle chiavi di crittografia e sui criteri di gestione delle chiavi.
Che cos'è la crittografia dei dati a riposo?
La crittografia è la codifica sicura dei dati usati per proteggere la riservatezza dei dati. La crittografia dei dati a riposo in Azure usa la crittografia simmetrica per crittografare e decrittografare rapidamente grandi quantità di dati in base a un semplice modello concettuale.
- Una chiave di crittografia simmetrica crittografa i dati durante la scrittura nella risorsa di archiviazione.
- La stessa chiave di crittografia decritta i dati mentre vengono preparati per l'uso in memoria.
- I dati possono essere partizionati e possono essere usate chiavi diverse per ogni partizione.
- Le chiavi devono essere archiviate in una posizione sicura con controllo di accesso basato su identità e criteri di controllo. Se le chiavi di crittografia dei dati vengono archiviate all'esterno di posizioni sicure, vengono crittografate usando una chiave di crittografia della chiave mantenuta in una posizione sicura.
A livello pratico, gli scenari di gestione e di controllo delle chiavi, nonché le garanzie di scalabilità e disponibilità, richiedono costrutti aggiuntivi. Le sezioni seguenti descrivono i concetti e i componenti della crittografia dei dati a riposo di Microsoft Azure.
Scopo della crittografia a riposo
La crittografia dei dati inattivi protegge i dati archiviati (inattivi). Gli attacchi contro i dati inattivi includono tentativi di ottenere l'accesso fisico all'hardware in cui vengono archiviati i dati e quindi compromettere i dati contenuti. In un attacco di questo tipo, il disco rigido di un server potrebbe essere gestito erroneamente durante la manutenzione, che consente a un utente malintenzionato di rimuovere il disco rigido. L'utente malintenzionato in seguito inserisce il disco rigido in un computer sotto il controllo per tentare di accedere ai dati.
La crittografia dei dati inattivi è progettata per impedire a un utente malintenzionato di accedere ai dati non crittografati, garantendo che i dati siano crittografati quando sono su disco. Se un utente malintenzionato ottiene un disco rigido con i dati crittografati ma non le chiavi di crittografia, l'autore dell'attacco deve decodificare la crittografia per riuscire a leggere i dati. Questo tipo di attacco è molto più complesso e richiede maggiori risorse rispetto all'accesso a dati non crittografati su un disco rigido. Per questo motivo, la crittografia dei dati inattivi è estremamente utile e costituisce un requisito di alta priorità per molte organizzazioni.
Per un'organizzazione, la necessità di governance dei dati e degli sforzi di conformità potrebbe richiedere anche la crittografia a riposo. Le normative del settore e governativo, ad esempio HIPAA, PCI e FedRAMP, definiscono misure di sicurezza specifiche relative ai requisiti di protezione e crittografia dei dati. La crittografia dei dati a riposo è una misura obbligatoria richiesta per la conformità ad alcune di queste normative. Per altre informazioni sull'approccio di Microsoft alla convalida FIPS 140, vedere Federal Information Processing Standard (FIPS) 140.
Oltre a soddisfare i requisiti normativi e di conformità, la crittografia dei dati inattivi rappresenta una misura di protezione e difesa avanzata. Microsoft Azure fornisce una piattaforma conforme per servizi, applicazioni e dati. Offre inoltre funzionalità complete per la sicurezza fisica e delle strutture, il controllo di accesso ai dati e il controllo. Tuttavia, è importante fornire misure di sicurezza aggiuntive "sovrapposte" nel caso in cui una delle altre misure di sicurezza abbia esito negativo. La crittografia dei dati inattivi fornisce una misura di sicurezza di questo tipo.
Microsoft si impegna a garantire la crittografia dei dati a riposo nei servizi cloud e a offrire ai clienti il controllo delle chiavi di crittografia e dei registri dell'uso delle chiavi. Inoltre, Microsoft sta lavorando per crittografare tutti i dati dei clienti inattivi per impostazione predefinita.
Opzioni di gestione delle chiavi
Azure offre due approcci principali per la gestione delle chiavi di crittografia:
Chiavi gestite daplatform (impostazione predefinita) (dette anche chiavi gestite dal servizio): Azure gestisce automaticamente tutti gli aspetti della gestione delle chiavi di crittografia, tra cui generazione di chiavi, archiviazione, rotazione e backup. Questo approccio fornisce la crittografia dei dati inattivi senza configurazione richiesta dai clienti ed è abilitata per impostazione predefinita nei servizi di Azure. Le chiavi gestite dalla piattaforma offrono il massimo livello di praticità e non richiedono costi aggiuntivi o costi aggiuntivi per la gestione.
Chiavi gestite dacustomer (facoltativo): i clienti che richiedono un maggiore controllo sulle chiavi di crittografia possono scegliere di gestire le proprie chiavi usando Azure Key Vault o Azure modulo di protezione hardware gestito. Questo approccio consente ai clienti di controllare il ciclo di vita delle chiavi, i criteri di accesso e le operazioni crittografiche. Le chiavi gestite dal cliente offrono un controllo aggiuntivo a costi maggiori di responsabilità e complessità della gestione.
La scelta tra questi approcci dipende dai requisiti di sicurezza, dalle esigenze di conformità e dalle preferenze operative dell'organizzazione. La maggior parte delle organizzazioni può basarsi su chiavi gestite dalla piattaforma per una protezione affidabile della crittografia, mentre le organizzazioni con requisiti normativi o di sicurezza specifici potrebbero optare per le chiavi gestite dal cliente.
Componenti di crittografia dei dati a riposo di Azure
Come descritto in precedenza, l'obiettivo della crittografia dei dati inattivi è che i dati salvati in modo permanente sul disco vengono crittografati con una chiave di crittografia privata. Per raggiungere questo obiettivo, è necessario fornire funzionalità di creazione di chiavi sicure, archiviazione, controllo di accesso e gestione delle chiavi di crittografia. Anche se i dettagli possono variare, le implementazioni di crittografia a riposo dei servizi Azure possono essere descritte in termini illustrati nel diagramma seguente.
Azure Key Vault
La posizione di archiviazione delle chiavi di crittografia e il controllo dell'accesso a queste chiavi è essenziale per un modello di crittografia dei dati inattivi. È necessario proteggere in modo elevato le chiavi, ma renderle gestibili dagli utenti specificati e disponibili per servizi specifici. Per i servizi di Azure, Azure Key Vault (livello Premium) o Azure modulo di protezione hardware gestito è la soluzione di archiviazione delle chiavi consigliata e offre un'esperienza di gestione comune tra i servizi. Le chiavi vengono archiviate e gestite negli Azure Key Vaults, e puoi consentire agli utenti o ai servizi l'accesso a un Azure Key Vault. Azure Key Vault supporta la creazione di chiavi o l'importazione di chiavi del cliente per l'uso in scenari di chiavi di crittografia gestite dal cliente.
Microsoft Entra ID
È possibile concedere agli account Microsoft Entra le autorizzazioni per usare le chiavi archiviate in Azure Key Vault, per gestirle o per accedervi per crittografia dei dati inattivi e decrittografia.
Crittografia envelope con una gerarchia di chiavi
Si usano più chiavi di crittografia in un'implementazione di crittografia a riposo. L'archiviazione di una chiave di crittografia in Azure Key Vault garantisce l'accesso sicuro alle chiavi e la gestione centrale delle chiavi. Tuttavia, l'accesso locale al servizio alle chiavi di crittografia è più efficiente per la crittografia e la decrittografia in blocco rispetto all'interazione con Key Vault per ogni operazione di dati, consentendo una crittografia più avanzata e prestazioni migliori. La limitazione dell'uso di una singola chiave di crittografia riduce il rischio che la chiave venga compromessa e il costo della nuova crittografia quando una chiave deve essere sostituita. I modelli di crittografia Azure per i dati inattivi usano la crittografia envelope, in cui una chiave di crittografia della chiave di crittografia crittografa una chiave di crittografia dei dati. Questo modello costituisce una gerarchia di chiavi che è in grado di soddisfare meglio i requisiti in termini di prestazioni e sicurezza:
- Chiave DEK (Data Encryption Key): chiave AES-256 simmetrica usata per crittografare una partizione o un blocco di dati, nota talvolta come chiave dati. Una singola risorsa può avere molte partizioni e molte chiavi di crittografia dei dati. La crittografia di ogni blocco di dati con una chiave diversa rende più complessi gli attacchi di crittoanalisi. Mantenere i DEK locali nel servizio di crittografia e decrittografia dei dati ottimizza le prestazioni.
- Chiave di crittografia delle chiavi: una chiave di crittografia usata per crittografare le chiavi di crittografia dei dati usando la crittografia envelope, nota anche come wrapping. Usando una chiave di crittografia della chiave che non lascia mai Key Vault, è possibile crittografare e controllare le chiavi di crittografia dei dati. L'entità che ha accesso alla chiave kek può essere diversa dall'entità che richiede la chiave DEK. Un'entità può negoziare l'accesso alla chiave dek per limitare l'accesso di ogni chiave DEK a una partizione specifica. Poiché la chiave kek è necessaria per decrittografare i DEK, i clienti possono cancellare in modo crittografico i DEK e i dati disabilitando la chiave di crittografia.
I provider di risorse e le istanze dell'applicazione archiviano le chiavi DEK crittografate come metadati. Solo un'entità con accesso alla chiave di crittografia delle chiavi può decrittografare queste chiavi di crittografia dei dati. Sono supportati diversi modelli di archiviazione delle chiavi. Per altre informazioni, vedere Modelli di crittografia dei dati.
Quando i servizi memorizzano nella cache i DEK in locale per le operazioni di crittografia attive, le chiavi memorizzate nella cache sono protette da controlli di sicurezza della piattaforma Azure, tra cui isolamento di calcolo a livello di host e protezioni a livello di processo. Le chiavi operative memorizzate nella cache sono un meccanismo di disponibilità e prestazioni. La chiave kek in Key Vault rimane la radice dell'attendibilità e la revoca delle chiavi regola l'accesso ai dati crittografati.
Crittografia a riposo nei servizi cloud di Microsoft
Si usano Microsoft Cloud servizi in tutti e tre i modelli cloud: IaaS, PaaS e SaaS. Gli esempi seguenti illustrano come si adattano a ogni modello:
- Servizi software, definiti Software as a Service o SaaS, che dispongono di applicazioni fornite dal cloud, ad esempio Microsoft 365.
- Servizi della piattaforma in cui i clienti usano il cloud per operazioni come archiviazione, analisi e funzionalità del bus di servizio nelle applicazioni.
- Servizi di infrastruttura, o IaaS (Infrastructure as a Service), in cui i clienti distribuiscono sistemi operativi e applicazioni ospitati nel cloud ed eventualmente sfruttano altri servizi cloud.
Crittografia dei dati inattivi per i clienti SaaS
Per i clienti SaaS (Software as a Service) in genere la crittografia a riposo è abilitata o disponibile in ogni servizio. Microsoft 365 offre diverse opzioni per i clienti per verificare o abilitare la crittografia a riposo. Per informazioni sui servizi di Microsoft 365, vedere Encryption in Microsoft 365.
Crittografia a riposo per i clienti PaaS
I clienti PaaS (Platform as a Service) in genere archiviano i dati in un servizio di archiviazione, ad esempio gestione rete virtuale di Azure. Tuttavia, i dati potrebbero anche essere memorizzati nella cache o archiviati nell'ambiente di esecuzione dell'applicazione, ad esempio una macchina virtuale. Per visualizzare le opzioni di crittografia dei dati inattivi disponibili, esaminare i modelli di crittografia dei dati per le piattaforme di archiviazione e applicazione usate.
Crittografia dei dati inattivi per i clienti IaaS
I clienti IaaS (Infrastructure as a Service) possono usare un'ampia gamma di servizi e applicazioni. I servizi IaaS possono abilitare la crittografia dei dati inattivi nelle macchine virtuali ospitate in Azure usando la crittografia sull'host.
Archiviazione crittografata
Come PaaS, le soluzioni IaaS possono sfruttare altri servizi Azure che archiviano i dati crittografati a riposo. In questi casi, è possibile abilitare il supporto della crittografia dei dati a riposo come fornito da ciascun servizio Azure consumato. I modelli di crittografia dei dati enumerano le principali piattaforme di archiviazione, servizi e applicazioni e il modello di crittografia a riposo supportato.
Calcolo crittografato
Tutte le Managed Disks, gli snapshot e le immagini vengono crittografate per impostazione predefinita usando la crittografia del servizio di archiviazione con chiavi gestite dalla piattaforma. Questa crittografia predefinita non richiede alcuna configurazione del cliente o costi aggiuntivi. Una soluzione di crittografia più completa garantisce che tutti i dati non vengano mai salvati in forma non crittografata. Durante l'elaborazione dei dati in una macchina virtuale, il sistema può salvare i dati nel file di paging di Windows, nel file di swap di Linux, in un dump di arresto anomalo o in un registro delle applicazioni. Per garantire che questi dati siano crittografati anche inattivi, le applicazioni IaaS possono usare la crittografia nell'host in una macchina virtuale IaaS Azure, che per impostazione predefinita usa chiavi gestite dalla piattaforma, ma facoltativamente possono essere configurate con chiavi gestite dal cliente per un controllo aggiuntivo.
Crittografia dei dati inattivi personalizzata
Quando possibile, le applicazioni IaaS dovrebbero utilizzare la crittografia sull'host e la crittografia dei dati inattivi, opzioni fornite da qualsiasi servizio di Azure utilizzato. In alcuni casi, come requisiti di crittografia irregolari o archiviazione non basata su Azure, uno sviluppatore di un'applicazione IaaS potrebbe dover implementare personalmente la crittografia a riposo. Gli sviluppatori di soluzioni IaaS possono integrarsi meglio con Azure gestione e aspettative dei clienti sfruttando determinati componenti Azure. In particolare, gli sviluppatori devono usare il servizio Azure Key Vault per fornire l'archiviazione delle chiavi sicura e fornire ai clienti opzioni di gestione chiave coerenti con i servizi della piattaforma Azure. Inoltre, le soluzioni personalizzate devono usare Azure identità del servizio gestito per consentire agli account del servizio di accedere alle chiavi di crittografia. Per informazioni per sviluppatori su Azure Key Vault e Identità Gestite del Servizio, consultare i rispettivi SDK.
supporto del modello di crittografia dei provider di risorse Azure
I servizi di Microsoft Azure supportano uno o più modelli di crittografia a riposo. Per alcuni servizi, tuttavia, uno o più modelli di crittografia potrebbero non essere applicabili. Per i servizi che supportano scenari di chiavi gestite dal cliente, possono supportare solo un subset dei tipi di chiave supportati Azure Key Vault per le chiavi di crittografia delle chiavi. Inoltre, i servizi potrebbero rilasciare il supporto per questi scenari e tipi di chiave in pianificazioni diverse. Questa sezione descrive il supporto della crittografia dei dati inattivi al momento della stesura di questo articolo per ognuno dei principali servizi di archiviazione dati Azure.
crittografia del disco della macchina virtuale Azure
Tutti i clienti che utilizzano le funzionalità IaaS (Infrastructure as a Service) di Azure possono crittografare i dischi delle macchine virtuali IaaS a riposo tramite la crittografia lato host. Per altre informazioni, vedere Crittografia nell'host - Crittografia end-to-end per la macchina virtuale.
archiviazione Azure
Tutti i servizi Archiviazione di Azure (Archiviazione BLOB, Archiviazione code, Archiviazione tabelle e File di Azure) supportano la crittografia dei dati a riposo lato server e alcuni servizi supportano anche la crittografia lato client.
- Server-side (Default): tutti i servizi Archiviazione di Azure abilitano automaticamente la crittografia lato server per impostazione predefinita usando chiavi gestite dalla piattaforma. Questa crittografia è trasparente per l'applicazione e non richiede alcuna configurazione. Per altre informazioni, vedere Archiviazione di Azure Service Encryption for Data at Rest. Facoltativamente, i clienti possono scegliere di usare chiavi gestite dal cliente in Azure Key Vault per un controllo aggiuntivo. Per altre informazioni, vedere Storage Service Encryption con chiavi gestite dal cliente in Azure Key Vault.
- Client-side (facoltativo): Azure Blob, tabelle e code supportano la crittografia lato client per i clienti che desiderano crittografare i dati prima che raggiungano Azure. Quando usano la crittografia lato client, i clienti crittografano i dati e li caricano come un BLOB crittografato. La gestione delle chiavi viene eseguita dal cliente. Per altre informazioni, vedere Client-Side Encryption and Azure Key Vault for Microsoft Archiviazione di Azure.
database SQL di Azure
database SQL di Azure supporta attualmente la crittografia dei dati a riposo sia per gli scenari di crittografia lato servizio gestiti dalla piattaforma, sia per quelli lato client.
Il supporto per la crittografia del server è attualmente disponibile tramite la funzionalità SQL denominata Transparent Data Encryption. Una volta che un cliente database SQL di Azure abilita TDE, le chiavi vengono create e gestite automaticamente per loro. È possibile abilitare la crittografia dei dati inattivi a livello di database e server. A partire da giugno 2017, Transparent Data Encryption (TDE) è abilitato per impostazione predefinita nei database appena creati. database SQL di Azure supporta chiavi gestite dal cliente RSA a 2048 bit in Azure Key Vault. Per altre informazioni, vedere Transparent Data Encryption con supporto Bring Your Own Key per database SQL di Azure e Data Warehouse.
La crittografia lato client dei dati di database SQL di Azure è supportata tramite la funzionalità Always Encrypted. Always Encrypted usa una chiave creata e archiviata dal client. I clienti possono archiviare la chiave master in un archivio certificati Windows, Azure Key Vault o in un modulo di sicurezza hardware locale. Usando SQL Server Management Studio, gli utenti SQL scelgono la chiave da usare per crittografare la colonna.
Conclusione
La protezione dei dati dei clienti archiviati all'interno dei servizi di Azure è di fondamentale importanza per Microsoft. Tutti i servizi ospitati di Azure si impegnano a fornire opzioni di crittografia dei dati a riposo. Azure servizi supportano chiavi gestite dalla piattaforma, chiavi gestite dal cliente o crittografia lato client. I servizi di Azure stanno migliorando ampiamente la crittografia dei dati inattivi e sono previste nuove opzioni in anteprima e per la disponibilità generale nei prossimi mesi.
Passaggi successivi
- Per altre informazioni sulle chiavi gestite dalla piattaforma e sulle chiavi gestite dal cliente, vedere Modelli di crittografia dei dati .
- Informazioni su come Azure usa la crittografia double per attenuare le minacce fornite con la crittografia dei dati.
- Scopri cosa fa Microsoft per garantire l'integrità e la sicurezza della piattaforma degli host che attraversano le pipeline di costruzione di hardware e firmware, l'integrazione, l'operazionalizzazione e la riparazione.