Condividi tramite


Abilitare la crittografia dell'infrastruttura per la doppia crittografia dei dati

Archiviazione di Azure crittografa automaticamente tutti i dati in un account di archiviazione a livello di servizio usando AES a 256 bit con la crittografia della modalità GCM, una delle crittografie a blocchi più complesse disponibili ed è conforme a FIPS 140-2. I clienti che richiedono livelli più elevati di garanzia che i dati siano sicuri possono anche abilitare AES a 256 bit con la crittografia CBC a livello di infrastruttura Archiviazione di Azure per la doppia crittografia. La doppia crittografia dei dati di Archiviazione di Azure protegge da uno scenario in cui uno degli algoritmi o delle chiavi di crittografia può essere compromesso. In questo scenario, il livello aggiuntivo di crittografia continua a proteggere i dati.

La crittografia dell'infrastruttura può essere abilitata per l'intero account di archiviazione o per un ambito di crittografia all'interno di un account. Una volta abilitata la crittografia dell'infrastruttura per un account di archiviazione o un ambito di crittografia, i dati vengono crittografati due volte: una volta a livello di servizio e una volta a livello di infrastruttura, con due algoritmi di crittografia e due chiavi diversi.

La crittografia a livello di servizio supporta l'uso di chiavi gestite da Microsoft o chiavi gestite dal cliente con Azure Key Vault o il modello di protezione hardware gestito di Key Vault. La crittografia a livello di infrastruttura si basa su chiavi gestite da Microsoft e usa sempre una chiave separata. Per altre informazioni sulla gestione delle chiavi con crittografia Archiviazione di Azure, vedere Informazioni sulla gestione delle chiavi di crittografia.

Per crittografare due volte i dati, è prima necessario creare un account di archiviazione o un ambito di crittografia configurato per la crittografia dell'infrastruttura. Questo articolo descrive come abilitare la crittografia dell'infrastruttura.

Importante

La crittografia dell'infrastruttura è consigliata per gli scenari in cui la crittografia doppia dei dati è necessaria per i requisiti di conformità. Per la maggior parte degli altri scenari, la crittografia di Archiviazione di Azure fornisce un algoritmo di crittografia sufficientemente potente ed è improbabile che l'uso della crittografia dell'infrastruttura sia vantaggioso.

Creare un account con la crittografia dell'infrastruttura abilitata

Per abilitare la crittografia dell'infrastruttura per un account di archiviazione, è necessario configurare un account di archiviazione per usare la crittografia dell'infrastruttura al momento della creazione dell'account. La crittografia dell'infrastruttura non può essere abilitata o disabilitata dopo la creazione dell'account. L'account di archiviazione deve essere di tipo per utilizzo generico v2, BLOB in blocchi Premium, BLOB di pagine Premium o condivisioni file Premium.

Per usare il portale di Azure per creare un account di archiviazione con la crittografia dell'infrastruttura abilitata, attenersi alla procedura seguente:

  1. Nella portale di Azure passare alla pagina Account di archiviazione.

  2. Scegliere il pulsante Aggiungi per aggiungere un nuovo account per utilizzo generico v2, BLOB in blocchi Premium, BLOB di pagine Premium o account di condivisione file Premium.

  3. Nella scheda Crittografia, individuare Abilita crittografia dell'infrastruttura e selezionare Abilitato.

  4. Selezionare Rivedi e crea per completare la creazione dell'account di archiviazione.

    Screenshot che mostra come abilitare la crittografia dell'infrastruttura durante la creazione dell'account.

Per verificare che la crittografia dell'infrastruttura sia abilitata per un account di archiviazione tramite il portale di Azure, attenersi alla procedura seguente:

  1. Passare all'account di archiviazione nel portale di Azure.

  2. In Sicurezza e rete scegliere Crittografia.

    Screenshot che mostra come verificare che la crittografia dell'infrastruttura sia abilitata per l'account.

Criteri di Azure fornisce criteri predefiniti per richiedere l'abilitazione della crittografia dell'infrastruttura per un account di archiviazione. Per altre informazioni, vedere la sezione Archiviazione in Definizioni del criterio predefinito di Criteri di Azure.

Creare un ambito di crittografia con la crittografia dell'infrastruttura abilitata

Se la crittografia dell'infrastruttura è abilitata per un account, qualsiasi ambito di crittografia creato in tale account usa automaticamente la crittografia dell'infrastruttura. Se la crittografia dell'infrastruttura non è abilitata a livello di account, è possibile abilitarla per un ambito di crittografia al momento della creazione dell'ambito. L'impostazione di crittografia dell'infrastruttura per un ambito di crittografia non può essere modificata dopo la creazione dell'ambito. Per altre informazioni, vedere Creare un ambito di crittografia.

Passaggi successivi