Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Archiviazione di Azure usa la crittografia lato servizio (SSE) per crittografare automaticamente i dati quando vengono salvati in modo permanente nel cloud. Archiviazione di Azure crittografia protegge i dati e consente di soddisfare gli impegni di sicurezza e conformità dell'organizzazione.
Microsoft consiglia di usare la crittografia lato servizio per proteggere i dati per la maggior parte degli scenari. Tuttavia, le librerie client di Archiviazione di Azure per l'Archiviazione BLOB e l'Archiviazione code forniscono anche la crittografia lato client per i clienti che necessitano di crittografare i dati lato client. Per altre informazioni, vedere Crittografia lato client per BLOB e code.
Informazioni sulla crittografia lato server di Archiviazione di Azure
I dati in Archiviazione di Azure vengono crittografati e decrittografati in modo trasparente usando la crittografia a 256 bit AES, una delle crittografie a blocchi più complesse disponibili ed è conforme a FIPS 140-2. Archiviazione di Azure crittografia è simile alla crittografia BitLocker in Windows.
Archiviazione di Azure utilizza la crittografia lato server con modalità AES Galois/Counter a 256 bit (AES-GCM) per crittografare gli oggetti caricati. Archiviazione di Azure crittografia è abilitata per tutti gli account di archiviazione, inclusi Resource Manager e gli account di archiviazione classici. Archiviazione di Azure la crittografia non può essere disabilitata. Poiché i dati sono protetti per impostazione predefinita, non è necessario modificare il codice o le applicazioni per sfruttare Archiviazione di Azure crittografia.
I dati in un account di archiviazione vengono crittografati indipendentemente dal livello di prestazioni (Standard o Premium), dal livello di accesso (ad accesso frequente o sporadico) o dal modello di distribuzione (Azure Resource Manager o versione classica). Tutti i BLOB di blocchi, i BLOB di accodamento e i BLOB di pagine, nuovi ed esistenti, vengono crittografati, inclusi i BLOB nel livello archivio. Tutte le opzioni di ridondanza Archiviazione di Azure supportano la crittografia e tutti i dati nelle aree primarie e secondarie vengono crittografati quando la replica geografica è abilitata. Tutte le risorse di Archiviazione di Azure vengono crittografate, inclusi blob, dischi, file, code e tabelle. Vengono crittografati anche tutti i metadati degli oggetti.
Non sono previsti costi aggiuntivi per la crittografia Archiviazione di Azure.
Per ulteriori informazioni sui moduli crittografici che supportano la crittografia di Archiviazione di Azure, vedere Cryptography API: Next Generation.
Per informazioni sulla crittografia e sulla gestione delle chiavi per i dischi gestiti Azure, vedere Crittografia lato server dei dischi gestiti di Azure.
Informazioni sulla gestione delle chiavi di crittografia
I dati in un nuovo account di archiviazione vengono crittografati con chiavi gestite da Microsoft per impostazione predefinita. È possibile continuare a basarsi su chiavi gestite da Microsoft per la crittografia dei dati oppure gestire la crittografia con le proprie chiavi. Se si sceglie di gestire la crittografia con chiavi personali, sono disponibili due opzioni. È possibile usare uno o entrambi i tipi di gestione delle chiavi:
- È possibile specificare una chiave gestita da customer da usare per crittografare e decrittografare i dati in gestione rete virtuale di Azure e in File di Azure.1 le chiavi gestite dal cliente devono essere archiviate in Azure Key Vault o Azure Key Vault modulo HSM (Managed Hardware Security Module). Per altre informazioni sulle chiavi gestite dal cliente, vedere Use customer-managed keys for Archiviazione di Azure encryption.
- È possibile specificare una chiave fornita da customer nelle operazioni di gestione rete virtuale di Azure. Un client che effettua una richiesta di lettura o scrittura su gestione rete virtuale di Azure può includere una chiave di crittografia nella richiesta per un controllo granulare sul modo in cui i dati BLOB vengono crittografati e decrittografati. Per altre informazioni sulle chiavi fornite dal cliente, vedere Provide una chiave di crittografia in una richiesta di gestione rete virtuale di Azure.
Per impostazione predefinita, un account di archiviazione viene crittografato con una chiave il cui ambito è impostato sull'intero account di archiviazione. Gli ambiti di crittografia consentono di gestire la crittografia con una chiave il cui ambito è impostato su un contenitore o un singolo BLOB. È possibile usare gli ambiti di crittografia per creare limiti sicuri tra dati che risiedono nello stesso account di archiviazione, ma appartengono a clienti diversi. Gli ambiti di crittografia possono usare chiavi gestite Microsoft o chiavi gestite dal cliente. Per altre informazioni sugli ambiti di crittografia, vedere Ambiti di crittografia per l'archiviazione BLOB.
Nella tabella seguente vengono confrontate le opzioni di gestione delle chiavi per Archiviazione di Azure crittografia.
| Parametro di gestione delle chiavi | chiavi gestite da Microsoft | Chiavi gestite dal cliente | Chiavi fornite dal cliente |
|---|---|---|---|
| Operazioni di crittografia/decrittografia | Azure | Azure | Azure |
| servizi Archiviazione di Azure supportati | Tutto | gestione rete virtuale di Azure, File di Azure1,2 | Archiviazione BLOB |
| Archiviazione chiavi | Microsoft archivio di chiavi | Azure Key Vault o Key Vault HSM | Archivio chiavi personale del cliente |
| Responsabilità della rotazione delle chiavi | Microsoft | Cliente | Cliente |
| Gestione delle chiavi | Microsoft | Cliente | Cliente |
| Ambito principale | Account (impostazione predefinita), contenitore o blob | Account (impostazione predefinita), contenitore o blob | N/D |
1 Per informazioni sulla creazione di un account che supporti l'uso di chiavi gestite dal cliente con l'Archiviazione code, vedere Creare un account che supporti le chiavi gestite dal cliente per le code.
2 Per informazioni sulla creazione di un account che supporta l'uso di chiavi gestite dal cliente con l'archiviazione tabelle, vedere Creare un account che supporti le chiavi gestite dal cliente per le tabelle.
Nota
Le chiavi gestite da Microsoft vengono ruotate in modo appropriato in base ai requisiti di conformità. Se si hanno requisiti di rotazione delle chiavi specifici, Microsoft consiglia di passare alle chiavi gestite dal cliente in modo da poter gestire e controllare manualmente la rotazione.
Crittografare i dati in modo doppio con la crittografia dell'infrastruttura
I clienti che richiedono livelli elevati di garanzia che i dati siano sicuri possono anche abilitare la crittografia AES a 256 bit a livello di infrastruttura Archiviazione di Azure. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, con due algoritmi di crittografia diversi e due chiavi diverse. La doppia crittografia dei dati Archiviazione di Azure protegge da uno scenario in cui uno degli algoritmi o delle chiavi di crittografia può essere compromesso. In questo scenario, il livello aggiuntivo di crittografia continua a proteggere i dati.
La crittografia a livello di servizio supporta l'uso di chiavi gestite da Microsoft o chiavi gestite dal cliente con Azure Key Vault. La crittografia a livello di infrastruttura si basa su chiavi gestite Microsoft e usa sempre una chiave separata.
Per altre informazioni su come creare un account di archiviazione che abilita la crittografia dell'infrastruttura, vedere Creare un account di archiviazione con crittografia dell'infrastruttura abilitata per la doppia crittografia dei dati.
Crittografia lato client per oggetti BLOB e code
Le librerie client Archiviazione BLOB di Azure per .NET, Java e Python supportano la crittografia dei dati all'interno delle applicazioni client prima del caricamento in Archiviazione di Azure e la decrittografia dei dati durante il download nel client. Le librerie client di archiviazione code per .NET e Python supportano anche la crittografia lato client.
Nota
È consigliabile usare le funzionalità di crittografia lato servizio fornite da Archiviazione di Azure per proteggere i dati, anziché la crittografia lato client.
Le librerie client di Archiviazione BLOB e Archiviazione code usano AES per crittografare i dati utente. Nelle librerie client sono disponibili due versioni della crittografia lato client:
- La versione 2 usa la modalità Galois/Counter Mode (GCM) con AES. Gli SDK di gestione rete virtuale di Azure e Queue Storage supportano la crittografia lato client con v2.
- La versione 1 si avvale della modalità Cipher Block Chaining (CBC) con AES. Gli SDK di archiviazione BLOB, archiviazione code e Archiviazione di Tabelle supportano la crittografia lato client con v1.
Avviso
L'uso della crittografia lato client v1 non è più consigliato a causa di una vulnerabilità di sicurezza nell'implementazione della libreria client in modalità CBC. Per altre informazioni su questa vulnerabilità di sicurezza, vedere Archiviazione di Azure aggiornamento della crittografia lato client in SDK per risolvere la vulnerabilità di sicurezza. Se si usa attualmente la versione 1, è consigliabile aggiornare l'applicazione per usare la crittografia lato client v2 ed eseguire la migrazione dei dati.
L'SDK di Archiviazione tabelle di Azure supporta solo la crittografia lato client v1. Non è consigliabile usare la crittografia lato client con l'archiviazione tramite tabelle.
La tabella seguente illustra le librerie client che supportano le versioni della crittografia lato client e fornisce linee guida per la migrazione alla crittografia lato client v2.
| Libreria client | Versione della crittografia lato client supportata | Migrazione consigliata | Indicazioni aggiuntive |
|---|---|---|---|
| gestione rete virtuale di Azure librerie client per .NET (versione 12.13.0 e successive), Java (versione 12.18.0 e successive) e Python (versione 12.13.0 e successive) | 2.0 1.0 (solo per compatibilità con le versioni precedenti) |
Il codice deve essere aggiornato per utilizzare la crittografia lato client v2. Scaricare tutti i dati crittografati per decrittografarli, quindi ricrittografarli con la crittografia lato client v2. |
Crittografia lato client per i BLOB |
| gestione rete virtuale di Azure libreria client per .NET (versione 12.12.0 e successive), Java (versione 12.17.0 e successive) e Python (versione 12.12.0 e successive) | 1.0 (non consigliata) | Aggiornare l'applicazione per usare una versione dell'SDK gestione rete virtuale di Azure che supporta la crittografia lato client v2. Per informazioni dettagliate, vedere Matrice di supporto SDK per la crittografia lato client. Il codice deve essere aggiornato per utilizzare la crittografia lato client v2. Scaricare tutti i dati crittografati per decrittografarli, quindi ricrittografarli con la crittografia lato client v2. |
Crittografia lato client per i BLOB |
| Libreria client di archiviazione in coda per .NET (versione 12.11.0 e successive) e Python (versione 12.4 e successive) | 2.0 1.0 (solo per compatibilità con le versioni precedenti) |
Il codice deve essere aggiornato per utilizzare la crittografia lato client v2. | Crittografia sul lato client per le code |
| Libreria client dell'Archiviazione code per .NET (versione 12.10.0 e precedenti) e Python (versione 12.3.0 e precedenti) | 1.0 (non consigliata) | Aggiornare l'applicazione per usare una versione di Queue Storage SDK che supporta la crittografia lato client v2. Vedere Matrice di supporto di SDK per la crittografia lato client Il codice deve essere aggiornato per utilizzare la crittografia lato client v2. |
Crittografia sul lato client per le code |
| Libreria client di archiviazione tabelle per .NET, Java e Python | 1.0 (non consigliata) | Non disponibile. | N/D |