Sicurezza e crittografia dei dati in Azure Data Manager per l'energia

  • Articolo

Questo articolo offre una panoramica delle funzionalità di sicurezza in Azure Data Manager per l'energia. Vengono illustrate le principali aree di crittografia dei dati inattivi, crittografia in transito, TLS, https, chiavi gestite da Microsoft e chiave gestita dal cliente.

Crittografare i dati inattivi

Gestione dati di Azure per l'energia usa diverse risorse di archiviazione per archiviare metadati, dati utente, dati in memoria e così via. La piattaforma usa la crittografia lato servizio per crittografare automaticamente tutti i dati quando vengono salvati in modo permanente nel cloud. La crittografia dei dati inattivi protegge i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Tutti i dati in Azure Data Manager per l'energia vengono crittografati con le chiavi gestite da Microsoft per impostazione predefinita. Oltre alla chiave gestita da Microsoft, è possibile usare la propria chiave di crittografia per proteggere i dati in Azure Data Manager for Energy. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave gestita da Microsoft che crittografa i dati.

Crittografa i dati in transito

Azure Data Manager per l'energia supporta il protocollo Transport Layer Security (TLS 1.2) per proteggere i dati quando si spostano tra i servizi cloud e i clienti. TLS offre autenticazione avanzata, privacy dei messaggi e integrità (consentendo il rilevamento di manomissioni, intercettazioni e falsificazione dei messaggi), interoperabilità e flessibilità degli algoritmi.

Oltre a TLS, quando si interagisce con Azure Data Manager per l'energia, tutte le transazioni avvengono su HTTPS.

Configurare chiavi gestite dal cliente (CMK) per l'istanza di Azure Data Manager per l'energia

Importante

Non è possibile modificare le impostazioni della chiave gestita dal cliente dopo aver creato l'istanza di Azure Data Manager for Energy.

Prerequisiti

Passaggio 1: Configurare l'insieme di credenziali delle chiavi

  1. È possibile usare un insieme di credenziali delle chiavi nuovo o esistente per archiviare le chiavi gestite dal cliente. Per altre informazioni sulla Key Vault di Azure, vedere Panoramica di Azure Key Vault e Informazioni su Azure Key Vault?

  2. L'uso delle chiavi gestite dal cliente con Azure Data Manager per l'energia richiede che sia l'eliminazione temporanea che la protezione dall'eliminazione siano abilitate per l'insieme di credenziali delle chiavi. L'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi e non può essere disabilitata. È possibile abilitare la protezione dall'eliminazione quando si crea l'insieme di credenziali delle chiavi o dopo la creazione.

  3. Per informazioni su come creare un insieme di credenziali delle chiavi con il portale di Azure, vedere Avvio rapido: Creare un insieme di credenziali delle chiavi usando il portale di Azure. Quando si crea l'insieme di credenziali delle chiavi, selezionare Abilita ripulitura protezione.

    Screenshot dell'abilitazione della protezione dall'eliminazione e dell'eliminazione temporanea durante la creazione dell'insieme di credenziali delle chiavi

  4. Per abilitare la protezione dall'eliminazione in un insieme di credenziali delle chiavi esistente, seguire questa procedura:

    1. Passare all'insieme di credenziali delle chiavi nel portale di Azure.
    2. In Impostazioni scegliere Proprietà.
    3. Nella sezione Ripulisci protezione scegliere Abilita ripulitura protezione.

Passaggio 2: Aggiungere una chiave

  1. Aggiungere quindi una chiave all'insieme di credenziali delle chiavi.
  2. Per informazioni su come aggiungere una chiave con il portale di Azure, vedere Avvio rapido: Impostare e recuperare una chiave da Azure Key Vault usando il portale di Azure.
  3. È consigliabile che le dimensioni della chiave RSA siano 3072, vedere Configurare le chiavi gestite dal cliente per l'account Azure Cosmos DB | Microsoft Learn.

Passaggio 3: Scegliere un'identità gestita per autorizzare l'accesso all'insieme di credenziali delle chiavi

  1. Quando si abilitano le chiavi gestite dal cliente per un'istanza di Azure Data Manager for Energy esistente, è necessario specificare un'identità gestita che verrà usata per autorizzare l'accesso all'insieme di credenziali delle chiavi che contiene la chiave. L'identità gestita deve avere le autorizzazioni per accedere alla chiave nell'insieme di credenziali delle chiavi.
  2. È possibile creare un'identità gestita assegnata dall'utente.

Configurare le chiavi gestite dal cliente per un account esistente

  1. Creare un'istanza di Azure Data Manager per l'energia .
  2. Selezionare la scheda Crittografia .

Screenshot della scheda Crittografia durante la creazione di Azure Data Manager per l'energia.

  1. Nella scheda crittografia selezionare Chiavi gestite dal cliente (CMK).

  2. Per usare cmk, è necessario selezionare l'insieme di credenziali delle chiavi in cui è archiviata la chiave.

  3. Selezionare Chiave di crittografia come "Selezionare un insieme di credenziali delle chiavi e una chiave".

  4. Selezionare quindi "Selezionare un insieme di credenziali delle chiavi e una chiave".

  5. Selezionare quindi l'insieme di credenziali delle chiavi e la chiave.

    Screenshot che mostra la selezione della sottoscrizione, dell'insieme di credenziali delle chiavi e della chiave nel riquadro destro che si apre dopo aver scelto

  6. Selezionare quindi l'identità gestita assegnata dall'utente che verrà usata per autorizzare l'accesso all'insieme di credenziali delle chiavi che contiene la chiave.

  7. Selezionare "Selezionare un'identità utente". Selezionare l'identità gestita assegnata dall'utente creata nei prerequisiti.

Screenshot dell'insieme di credenziali delle chiavi, della chiave, dell'identità assegnata dall'utente e della chiave gestita nella scheda crittografia

  1. Questa identità assegnata dall'utente deve avere le autorizzazioni get key, list key, wrap key e unwrap key nell'insieme di credenziali delle chiavi. Per altre informazioni sull'assegnazione dei criteri di accesso di Azure Key Vault, vedere Assegnare un Key Vault Criteri di accesso.

    Screenshot dei criteri di accesso get, list, wrap e upwrap key

  2. È anche possibile selezionare Chiave di crittografia come "Immettere la chiave dall'URI". È obbligatorio che la chiave abbia la protezione per l'eliminazione temporanea e l'eliminazione da abilitare. È necessario confermare che selezionando la casella riportata di seguito.

    Screenshot dell'URI dell'insieme di credenziali delle chiavi per la crittografia

  3. Selezionare quindi "Rivedi+Crea" dopo aver completato altre schede.

  4. Selezionare il pulsante "Crea".

  5. Un'istanza di Azure Data Manager per l'energia viene creata con chiavi gestite dal cliente.

  6. Dopo l'abilitazione della chiave gestita dal cliente, lo stato verrà visualizzato nella schermata Panoramica .

    Screenshot della chiave gestita abilitata nella pagina di panoramica di Azure Data Manager per l'energia.

  7. È possibile passare a Crittografia e verificare che la chiave gestita dall'utente sia abilitata con la chiave gestita dall'utente.

    Screenshot delle impostazioni cmk disabilitate dopo l'installazione dell'istanza di Azure Data Manager per l'energia.

Passaggi successivi

Per altre informazioni sui collegamenti privati.

Come configurare i collegamenti privati