Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive le procedure consigliate per la sicurezza e la crittografia dei dati.
Le procedure consigliate si basano su opinioni concordanti e funzionino con le caratteristiche e le capacità correnti della piattaforma Azure. Le opinioni e le tecnologie cambiano nel tempo e questo articolo viene aggiornato regolarmente per riflettere tali modifiche.
Proteggere i dati
Per facilitare la protezione dei dati nel cloud, tenere conto dei possibili stati in cui possono trovarsi i dati e dei controlli disponibili per tale stato. Le procedure consigliate per la crittografia e la protezione dei dati di Azure sono correlate agli stati seguenti dei dati:
- Inattivi: sono inclusi tutti gli oggetti di archiviazione, i contenitori e i tipi di informazioni, esistenti in forma statica su supporti fisici, siano essi dischi magnetici o dischi ottici.
- In transito: quando vengono trasferiti tra componenti, posizioni o programmi, i dati vengono considerati in transito. Esempi di questo stato sono il trasferimento in rete, attraverso un bus di servizio, da locale a cloud e viceversa e incluse le connessioni ibride come ExpressRoute, o durante un processo di input/output.
- In Uso: durante l'elaborazione dei dati, le macchine virtuali di calcolo confidential basate su AMD e Intel specializzate mantengono i dati crittografati in memoria usando chiavi gestite dall'hardware.
Scegliere una soluzione di gestione delle chiavi
La protezione delle chiavi è essenziale per proteggere i dati nel cloud.
Azure offre diversi servizi per proteggere le chiavi crittografiche usando moduli di protezione hardware. Queste offerte offrono scalabilità e disponibilità nel cloud, offrendo al contempo il controllo completo sulle chiavi. Per altre informazioni e indicazioni sulla scelta tra queste offerte di gestione delle chiavi, vedere Come scegliere la soluzione di gestione delle chiavi di Azure appropriata. Si consiglia di utilizzare Azure Key Vault Premium o Azure Key Vault Managed HSM per gestire le chiavi di crittografia a riposo.
Gestire con workstation sicure
Nota
L'amministratore o il proprietario della sottoscrizione deve usare una workstation con accesso protetto o una workstation con accesso con privilegi.
Poiché la maggior parte degli attacchi prende di mira l'utente finale, l'endpoint diventa uno dei principali punti di attacco. Un utente malintenzionato che compromette l'endpoint può usare le credenziali dell'utente per accedere ai dati dell'organizzazione. Nella maggior parte dei casi, gli attacchi agli endpoint sfruttano il fatto che gli utenti finali sono amministratori delle workstation locali.
Procedura consigliata: usare una workstation di gestione sicura per proteggere gli account, le attività e i dati sensibili. Dettagli: usare una workstation con accesso con privilegi per ridurre la superficie di attacco nelle workstation. Queste workstation di gestione sicure consentono di contenere alcuni di questi attacchi e contribuiscono a proteggere i dati.
Procedura consigliata: assicurare la protezione di endpoint. Dettagli: applicare criteri di sicurezza in tutti i dispositivi che consentono di utilizzare i dati, indipendentemente dal fatto che i dati si trovino nel cloud o in locale.
Proteggere i dati inattivi
La crittografia dei dati inattivi è un passaggio obbligatorio per assicurare la privacy, la conformità e la sovranità dei dati.
Procedura consigliata: applicare la crittografia all'host per proteggere i dati. Dettagli: Usare la crittografia nell'host - Crittografia end-to-end per il tuo VM. La crittografia lato host è un'opzione di macchina virtuale che migliora la crittografia lato server dell'archiviazione su disco di Azure per garantire che tutti i dischi temporanei e le cache dei dischi siano crittografati a riposo e durante il flusso verso i cluster di archiviazione.
La maggior parte dei servizi di Azure, ad esempio Archiviazione di Azure e database SQL di Azure, crittografa i dati inattivi per impostazione predefinita. È possibile usare Azure Key Vault per mantenere il controllo delle chiavi che accedono ai dati e ne eseguono crittografia. Per altre informazioni, vedere Supporto per il modello di crittografia dei provider di risorse di Azure.
Procedura consigliata: usare la crittografia per ridurre i rischi correlati all'accesso non autorizzato ai dati. Dettagli: crittografare i dati sui servizi prima di scrivere informazioni sensibili.
Le organizzazioni che non applicano la crittografia dei dati sono più esposte a problemi di riservatezza dei dati. Le aziende devono anche dimostrare di operare in modo conforme e di implementare i controlli di sicurezza appropriati per aumentare la sicurezza dei dati e per rispettare normative di settore.
Proteggere i dati in transito
La protezione dei dati in transito deve essere una parte essenziale della strategia di protezione dei dati. Poiché i dati si spostano avanti indietro tra più posizioni, in genere è consigliabile usare sempre i protocolli SSL/TLS per scambiare dati tra posizioni diverse. In alcune circostanze, potrebbe essere necessario isolare l'intero canale di comunicazione tra l'infrastruttura locale e quella cloud usando una VPN.
Per lo spostamento dei dati tra l'infrastruttura locale e Azure, è opportuno considerare le misure di protezione appropriate, ad esempio HTTPS o VPN. Per inviare traffico crittografato tra una rete virtuale di Azure e una posizione locale sulla rete Internet pubblica, usare Gateway VPN di Azure.
Di seguito sono indicate le procedure consigliate specifiche per l'uso di Gateway VPN di Azure, HTTPS e SSL/TLS.
Procedura consigliata: proteggere l'accesso da più workstation dislocate localmente in una rete virtuale di Azure. Dettagli: usare una VPN da sito a sito.
Procedura consigliata: proteggere l'accesso da una singola workstation dislocata localmente a una rete virtuale di Azure. Dettagli: usare una VPN da punto a sito.
Procedura consigliata: spostare i set di dati più grandi tramite un collegamento WAN ad alta velocità dedicato. Dettagli: usare ExpressRoute. Se si decide di usare ExpressRoute, è possibile anche crittografare i dati a livello di applicazione usando SSL/TLS o altri protocolli per una maggiore protezione.
Procedura consigliata: interagire con Archiviazione di Azure tramite il portale di Azure. Dettagli: tutte le transazioni avvengono via HTTPS. È anche possibile usare l'API REST di Archiviazione su HTTPS per interagire con Archiviazione di Azure.
Le organizzazioni che non riescono a proteggere i dati in transito sono più vulnerabili agli attacchi di tipo man-in-the-middle, eavesdropping e hijack della sessione. Questi attacchi possono essere il primo passo per ottenere l'accesso ai dati riservati.
Proteggere i dati in uso
Ridurre la necessità di considerare attendibili i carichi di lavoro in esecuzione nel cloud richiede attendibilità. Si considerano attendibili i vari provider che rendono disponibili i diversi componenti dell'applicazione.
- Fornitori di software per app: considerare attendibile il software tramite la distribuzione in locale, l'uso di open source o con lo sviluppo interno del software delle applicazioni.
- Fornitori di hardware: considerare attendibile l'hardware usando hardware in locale o interno.
- Provider di infrastruttura: considerare attendibili i provider di servizi cloud o gestire i propri data center in autonomia.
La riduzione della superficie di attacco La TCB (Trusted Computing Base) si riferisce a tutti i componenti hardware, firmware e software di un sistema che forniscono un ambiente sicuro. I componenti all'interno della TCB sono considerati "critici." Se un componente viene compromesso, potrebbe essere messa a rischio la sicurezza dell'intero sistema. Una quantità di componenti TCB più bassa implica una maggiore sicurezza. Implica infatti un rischio di esposizione minore a varie vulnerabilità, malware, attacchi e utenti malintenzionati.
Le funzionalità di confidential computing di Azure consentono di:
- Impedire l'accesso non autorizzato: eseguire dati sensibili nel cloud. Azure offre la migliore protezione possibile per i dati, senza la necessità di cambiare completamente le attuali procedure.
- Ottenere la conformità alle normative: eseguire la migrazione al cloud e mantenere il controllo completo dei dati per soddisfare le normative statali in merito alla protezione delle informazioni personali e alla protezione della proprietà intellettuale dell'organizzazione.
- Garantire la collaborazione sicura e non attendibile: affrontare i problemi lavorativi a livello di settore combinando i dati tra organizzazioni, anche concorrenti, per ampliare l'analisi e ricavare informazioni più approfondite.
- Isolare l'elaborazione: offrire una nuova categoria di prodotti che rimuovono la responsabilità sui dati privati con l'elaborazione nascosta. I dati degli utenti non possono essere recuperati neanche dal provider di servizi.
Altre informazioni sul confidential computing.
Proteggere la posta elettronica, i documenti e i dati sensibili
È opportuno controllare e proteggere i messaggi di posta elettronica, i documenti e i dati sensibili che si condividono con entità esterne all'azienda. Azure Information Protection è una soluzione basata su cloud che consente a un'organizzazione di classificare, etichettare e proteggere i propri documenti e messaggi di posta elettronica. Questa operazione può essere eseguita automaticamente dagli amministratori che definiscono le regole e le condizioni, manualmente dagli utenti o in un sistema misto in cui gli utenti ricevono delle raccomandazioni.
La classificazione è sempre identificabile, indipendentemente dalla posizione in cui vengono archiviati i dati o dalle persone con cui sono condivisi. Le etichette includono contrassegni visivi, ad esempio un'intestazione, un piè di pagina o una filigrana. I metadati vengono aggiunti ai file e alle intestazioni dei messaggio di posta elettronica sotto forma di testo non crittografato. Il testo non crittografato assicura che gli altri servizi, ad esempio le soluzioni per evitare la perdita di dati, possano identificare la classificazione e intraprendere l'azione appropriata.
La tecnologia di protezione usa Azure Rights Management (Azure RMS). Questa tecnologia è integrata in altri servizi e applicazioni cloud Microsoft, ad esempio Microsoft 365 e Microsoft Entra ID. Questa tecnologia di protezione usa criteri di crittografia, identità e autorizzazione. La protezione applicata tramite Azure RMS vale per i documenti e i messaggi di posta elettronica, indipendentemente dalla posizione, all'interno o all'esterno dell'organizzazione, delle reti, dei server di file e delle applicazioni.
Questa soluzione di protezione delle informazioni favorisce il controllo dei dati, anche quando sono condivisi con altri utenti. È anche possibile usare Azure RMS con le proprie applicazioni line-of-business e soluzioni di protezione delle informazioni di altri fornitori software, sia che queste applicazioni e soluzioni siano ospitate in locale o nel cloud.
È consigliabile:
- Distribuire Azure Information Protection nell'organizzazione.
- Applicare etichette che rispecchino i requisiti aziendali. Ad esempio: applicare un'etichetta denominata "Strettamente confidenziale" a tutti i documenti e i messaggi di posta elettronica che contengono dati top secret che necessitano di essere classificati e protetti. Solo gli utenti autorizzati potranno quindi accedere a questi dati, con le eventuali restrizioni specificate dall'utente.
- Configurare la registrazione e l'analisi dell'utilizzo del servizio Azure RMS in modo da monitorare come l'organizzazione usa il servizio di protezione.
Le organizzazioni che sono carenti a livello di classificazione dei dati e di protezione dei file potrebbero essere più soggette alla perdita di dati o a un loro utilizzo improprio. Con un'adeguata protezione dei file, è possibile analizzare i flussi di dati per ottenere informazioni dettagliate sulle attività aziendali, rilevare comportamenti a rischio e adottare misure correttive, tenere traccia dell'accesso ai documenti e così via.
Passaggi successivi
Per altre procedure di sicurezza consigliate da usare nella progettazione, distribuzione e gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.
Le risorse seguenti offrono altre informazioni più generali sulla sicurezza di Azure e sui servizi Microsoft correlati:
- Blog del team di sicurezza di Azure: per informazioni aggiornate sulla sicurezza in Azure
- Microsoft Security Response Center: consente di segnalare le vulnerabilità della sicurezza di Microsoft, inclusi i problemi relativi ad Azure, tramite posta elettronica all'indirizzo secure@microsoft.com