Panoramica della crittografia di Azure

Questo articolo fornisce una panoramica dell'utilizzo della crittografia in Microsoft Azure. Vengono illustrate le principali aree di crittografia, tra cui la crittografia di dati inattivi, la crittografia in-flight e la gestione delle chiavi con Key Vault. Ogni sezione include collegamenti a informazioni più dettagliate.

Crittografia dei dati inattivi

I dati inattivi includono informazioni presenti nell'archivio permanente su un supporto fisico, in qualsiasi formato digitale. I dati multimediali includono i file su supporto ottico o magnetico, i dati archiviati e i backup di dati. Microsoft Azure offre un'ampia gamma di soluzioni di archiviazione dati per soddisfare le diverse esigenze, tra cui l'archiviazione su file, disco, BLOB e tabella. Microsoft include inoltre la crittografia per proteggere il database SQL di Azure, Azure Cosmos DB e Azure Data Lake.

La crittografia dei dati inattivi è disponibile per i servizi nei modelli cloud Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) e Infrastructure-as-a-Service (IaaS). Questo articolo riepiloga e include le risorse utili per usare le opzioni di crittografia di Azure.

Per informazioni più dettagliate sulla crittografia di dati inattivi in Azure, vedere Crittografia dei dati inattivi di Azure.

Modelli di crittografia di Azure

Azure supporta vari modelli di crittografia, tra cui la crittografia lato server che usa chiavi gestite dal servizio, chiavi gestite dal cliente in Azure Key Vault o chiavi gestite dal cliente sull'hardware controllato dal cliente. La crittografia lato client consente di gestire e archiviare le chiavi in locale o in un'altra posizione protetta.

crittografia lato client

La crittografia lato client viene eseguita all'esterno di Azure. Sono inclusi:

  • I dati crittografati da un'applicazione in esecuzione nel data center del cliente o da un'applicazione di servizio.
  • I dati sono già crittografati quando vengono ricevuti da Azure.

Con la crittografia lato client il provider di servizi cloud non ha accesso alle chiavi di crittografia e non può decrittografare questi dati. Si mantiene il controllo completo delle chiavi.

Modello di crittografia lato server

I tre modelli di crittografia lato server offrono caratteristiche differenti di gestione delle chiavi che possono essere scelte in base ai requisiti:

  • Chiavi gestite dal servizio: combinano controllo e comodità con un sovraccarico ridotto.

  • Chiavi gestite dal cliente: consentono di controllare le chiavi, inclusa la possibilità di usare chiavi personalizzate (BYOK) o di generarne di nuove.

  • Chiavi gestite dal servizio in hardware controllato dal cliente: consentono di gestire le chiavi presenti nel repository proprietario fuori dal controllo di Microsoft. Questa caratteristica viene definita HYOK (Host Your Own Key). Tuttavia, la configurazione è complessa e la maggior parte dei servizi di Azure non supporta questo modello.

Crittografia dischi di Azure

È possibile proteggere i dischi gestiti usando Crittografia dischi di Azure per le macchine virtuali Linux, che usa DM-Crypt o Crittografia dischi di Azure per le macchine virtuali Windows, che usa Windows BitLocker, per proteggere sia i dischi del sistema operativo che i dischi dati con crittografia completa del volume.

Le chiavi e i segreti di crittografia vengono protetti nella sottoscrizione di Azure Key Vault. È possibile eseguire il backup e il ripristino delle macchine virtuali crittografate con configurazione KEK usando il servizio Backup di Microsoft Azure.

Crittografia del servizio di archiviazione di Azure

I dati inattivi negli archivi BLOB di Azure e nelle condivisioni di file di Azure possono essere crittografati sia in scenari lato server che in quelli lato client.

Il servizio Crittografia del servizio di archiviazione Azure (SSE) può crittografare automaticamente i dati prima che vengano archiviati e decrittografarli automaticamente in fase di ripristino. Questo processo è completamente trasparente per gli utenti. Crittografia del servizio di archiviazione usa la crittografia AES (Advanced Encryption Standard) a 256 bit, che è una delle crittografie a blocchi più avanzate disponibili. AES gestisce crittografia, decrittografia e gestione delle chiavi in modo trasparente.

Crittografia lato client di BLOB di Azure

È possibile eseguire la crittografia lato client di BLOB di Azure in vari modi.

È possibile usare il pacchetto della Libreria client di archiviazione di Azure per .NET NuGet per crittografare i dati all'interno delle applicazioni client prima di caricarli in Archiviazione di Azure.

Per altre informazioni sul pacchetto della Libreria client di archiviazione di Azure per .NET NuGet e su come scaricarlo, vedere Archiviazione di Microsoft Azure 8.3.0.

Quando si usa la crittografia lato client con Key Vault, i dati vengono crittografati usando una chiave di crittografia del contenuto (CEK) simmetrica unica generata dall'SDK client di Archiviazione di Azure. La chiave di crittografia del contenuto viene crittografata usando una chiave di crittografia della chiave, che può essere una chiave simmetrica o una coppia di chiavi asimmetriche. È possibile gestirla in locale o archiviarla in Key Vault. I dati crittografati vengono quindi caricati nel servizio Archiviazione di Microsoft Azure.

Per altre informazioni sulla crittografia lato client con Key Vault e per iniziare con le istruzioni procedurali, vedere Esercitazione: Crittografare e decrittografare i BLOB in Archiviazione di Azure tramite Key Vault.

È infine possibile usare anche la Libreria client di archiviazione di Azure per Java per eseguire la crittografia lato client prima di caricare i dati in Archiviazione di Azure e decrittografare i dati durante il download nel client. Questa libreria supporta anche l'integrazione con Key Vault per la gestione delle chiavi dell'account di archiviazione.

Crittografia dei dati inattivi con il database SQL di Azure

Il database SQL di Azure è un servizio di database relazionale generico di Azure che supporta strutture come dati relazionali, JSON, dati spaziali e XML. Il database SQL supporta sia la crittografia lato server tramite la funzionalità Transparent Data Encryption (TDE) sia la crittografia lato client tramite la funzionalità Always Encrypted.

Transparent Data Encryption

TDE viene usato per crittografare SQL Server, database Azure SQL e Azure Synapse file di dati di Analytics in tempo reale, usando una chiave DEK (Database Encryption Key), archiviata nel record di avvio del database per la disponibilità durante il ripristino.

La tecnologia TDE protegge i file di dati e di log usando gli algoritmi di crittografia AES e 3DES (Triple Data Encryption Standard). La crittografia del file di database viene eseguita a livello di pagina. Le pagine in un database crittografato vengono crittografate prima di essere scritte sul disco e decrittografate quando vengono lette in memoria. La tecnologia Transparent Data Encryption è ora abilitata per impostazione predefinita nei nuovi database SQL di Azure.

Funzionalità Always Encrypted

La funzionalità Always Encrypted consente di crittografare i dati all'interno delle applicazioni client prima di archiviarli nel database SQL di Azure. Consente inoltre di abilitare la delega dell'amministrazione di database locale a terze parti e mantenere la separazione tra chi possiede e può visualizzare i dati e chi gestisce ma non deve avere accesso ad essi.

Crittografia a livello di cella o a livello di colonna

Il database SQL di Azure consente di applicare la crittografia simmetrica a una colonna di dati tramite Transact-SQL. Questo approccio si chiama crittografia a livello di cella o a livello di colonna (CLE) poiché serve a crittografare colonne specifiche o persino celle di dati specifiche con chiavi di crittografia differenti. La crittografia risulta così più granulare rispetto alla crittografia Transparent Data Encryption che crittografa i dati in pagine.

La crittografia CLE include funzioni predefinite che consentono di crittografare i dati usando chiavi simmetriche o asimmetriche, la chiave pubblica di un certificato o una passphrase usando 3DES.

Crittografia del database di Azure Cosmos DB

Azure Cosmos DB è il database multimodello distribuito a livello globale di Microsoft. I dati utente archiviati in Azure Cosmos DB in un archivio non volatile (unità ssd) vengono crittografati per impostazione predefinita. Non sono presenti controlli per attivare o disattivare la crittografia. La crittografia dei dati inattivi viene implementata attraverso una serie di tecnologie di protezione, inclusi i sistemi di archiviazione protetta delle chiavi, le reti crittografate e le API di crittografia. Le chiavi di crittografia vengono gestite da Microsoft e ruotate in base alle linee guida interne di Microsoft. Facoltativamente, è possibile scegliere di aggiungere un secondo livello di crittografia con le chiavi gestite dal cliente o la funzionalità della chiave gestita dal cliente .

Crittografia di dati inattivi in Data Lake

Azure Data Lake è un repository aziendale di ogni tipo di dati raccolti in un'unica posizione prima di qualsiasi definizione formale di schema o requisiti. Azure Data Lake Store supporta la crittografia trasparente dei dati inattivi "per impostazione predefinita", configurata durante la creazione dell'account. Per impostazione predefinita, Azure Data Lake Store gestisce automaticamente le chiavi, ma è possibile gestirle manualmente.

Vengono usate tre tipi di chiavi per la crittografia e decrittografia dei dati: la chiave di crittografia principale (MEK), la chiave di crittografia dei dati (DEK) e la chiave di crittografia a blocchi (BEK). La chiave di crittografia principale viene usata per crittografare la chiave di crittografia dei dati, che viene archiviata su un supporto permanente e la chiave di crittografia a blocchi deriva dalla chiave di crittografia dei dati e dal blocco di dati. Se si stanno gestendo chiavi personalizzate, è possibile ruotare la chiave di crittografia principale.

Crittografia dei dati in transito

Azure offre numerosi meccanismi per conservare i dati privati durante lo spostamento da una posizione a un'altra.

Ogni volta che il traffico del cliente di Azure si sposta tra data center, all'esterno dei limiti fisici non controllati da Microsoft (o per conto di Microsoft), viene applicato un metodo di crittografia del livello di collegamento dati tramite gli standard di sicurezza MAC IEEE 802.1AE (noto anche come MACsec) da punto a punto nell'hardware di rete sottostante. I pacchetti vengono crittografati e decrittografati nei dispositivi prima dell'invio, impedendo attacchi fisici "man-in-the-middle" o snooping/wiretapping. Poiché questa tecnologia è integrata nell'hardware di rete, fornisce la crittografia con la frequenza di linea nell'hardware di rete senza aumento misurabile della latenza del collegamento. Questa crittografia MACsec è attivata per impostazione predefinita per tutto il traffico di Azure che viaggia all'interno di un'area o tra aree e non è necessaria alcuna azione nella parte dei clienti per abilitare.

Crittografia TLS in Azure

Microsoft offre ai clienti la possibilità di usare il protocollo Tls (Transport Layer Security ) per proteggere i dati quando si spostano tra i servizi cloud e i clienti. I data center Microsoft negoziano una connessione TLS con i sistemi client che si connettono ai servizi di Azure. Il protocollo TLS offre autenticazione avanzata, riservatezza dei messaggi e integrità (abilitando il rilevamento di manomissioni, intercettazioni e falsificazioni di messaggi), interoperabilità, flessibilità degli algoritmi e facilità di distribuzione e di utilizzo.

Perfect Forward Secrecy (PFS) protegge le connessioni tra i sistemi client dei clienti e i servizi cloud di Microsoft con chiavi univoche. Le connessioni usano anche lunghezze di chiavi di crittografia basate a 2.048 bit basate su RSA. Questa combinazione rende difficile ad altri utenti intercettare e accedere ai dati in transito.

Transazioni di archiviazione di Azure

Quando si interagisce con Archiviazione di Azure tramite il portale di Azure, tutte le transazioni hanno luogo tramite HTTPS. È possibile anche usare l'API REST di archiviazione su HTTPS per interagire con Archiviazione di Azure. È possibile imporre l'uso del protocollo HTTPS quando si chiamano le API REST per accedere a oggetti negli account di archiviazione abilitando l'opzione Trasferimento sicuro obbligatorio per l'account di archiviazione.

Le firme di accesso condiviso (SAS), che possono essere usate per delegare l'accesso agli oggetti di Archiviazione di Azure, includono la possibilità di specificare che quando si usano firme di accesso condiviso può essere usato solo il protocollo HTTPS. In questo modo si garantisce che chiunque invii collegamenti con token di firma di accesso condiviso usi il protocollo corretto.

Il protocollo SMB 3.0 usato per accedere alle condivisioni di File di Azure supporta la crittografia ed è disponibile in Windows Server 2012 R2, Windows 8, Windows 8.1 e Windows 10. Consente l'accesso tra più aree e anche al desktop.

La crittografia lato client crittografa i dati prima che vengano inviati ad Archiviazione di Azure, in modo che durante il transito in rete siano crittografati.

Crittografia SMB su reti virtuali di Azure

Il protocollo SMB 3.0 nelle macchine virtuali che eseguono Windows Server 2012 o versione successiva offre la possibilità di rendere sicuri i trasferimenti di dati crittografando i dati in transito sulle reti virtuali di Azure. La crittografia dei dati aiuta a evitare attacchi di intercettazione di dati e manomissioni. Gli amministratori possono abilitare la crittografia SMB per l'intero server o solo per condivisioni specifiche.

Per impostazione predefinita, dopo avere attivato la crittografia SMB per una condivisione o per un server, l'accesso alle condivisioni crittografate è consentito solo ai client SMB 3.0.

Crittografia dei dati in transito nelle VM

I dati in transito da e tra macchine virtuali che eseguono Windows possono essere crittografati in diversi modi, a seconda della natura della connessione.

Sessioni RDP

È possibile connettersi e accedere a una macchina virtuale usando Remote Desktop Protocol (RDP) da un computer client Windows o da un Mac con un client RDP installato. I dati in transito sulla rete nelle sessioni RDP possono essere protetti dal protocollo TLS.

È possibile anche usare Desktop remoto per connettersi a una VM Linux di Azure.

Accesso sicuro alle macchine virtuali Linux con SSH

È possibile usare Secure Shell (SSH) per connettersi alle macchine virtuali Linux in esecuzione in Azure per la gestione remota. SSH è un protocollo per connessioni crittografate che consente accessi protetti su connessioni non sicure. È il protocollo di connessione predefinito per le VM Linux ospitate in Azure. L'utilizzo di chiavi SSH per l'autenticazione consente di eliminare la necessità di password per l'accesso. SSH usa una coppia di chiavi pubblica/privata (asimmetrica) per l'autenticazione.

Crittografia VPN di Azure

È possibile connettersi ad Azure tramite una rete privata virtuale che crea un tunnel sicuro per proteggere la privacy dei dati inviati attraverso la rete.

Gateway VPN di Azure

Un gateway VPN di Azure può essere usato per inviare traffico crittografato tra la rete virtuale e la posizione locale attraverso una connessione pubblica o per inviare traffico tra reti virtuali.

La rete VPN da sito a sito usa IPsec per la crittografia del trasporto. I gateway VPN di Azure usano un insieme di proposte predefinite. È possibile configurare i gateway VPN di Azure in modo da usare criteri IPsec/IKE personalizzati con algoritmi di crittografia specifici e attendibilità delle chiavi, anziché set di criteri predefiniti di Azure.

VPN da punto a sito

Le VPN da punto a sito consentono ai singoli computer client di accedere a una rete virtuale di Azure. Il protocollo Secure Socket Tunneling Protocol (SSTP) viene usato per creare il tunnel VPN e può attraversare i firewall (il tunnel viene visualizzato come una connessione HTTPS). È possibile usare la CA radice della PKI interna per la connettività da punto a sito.

È possibile configurare una connessione VPN da punto a sito a una rete virtuale usando il portale di Azure con l'autenticazione del certificato o PowerShell.

Per altre informazioni sulle connessioni VPN da punto a sito per reti virtuali di Azure, vedere:

Configurare una connessione da punto a sito a una rete virtuale usando l'autenticazione del certificato: portale di Azure

Configurare una connessione da punto a sito a una rete virtuale usando l'autenticazione del certificato: PowerShell

VPN da sito a sito

È possibile usare una connessione gateway VPN da sito a sito per connettere la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2). Questo tipo di connessione richiede un dispositivo VPN locale a cui sia assegnato un indirizzo IP pubblico esterno.

È possibile configurare una connessione VPN da sito a sito a una rete virtuale usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.

Per altre informazioni, vedere:

Creare una connessione da sito a sito nel portale di Azure

Creare una connessione da sito a sito in PowerShell

Creare una rete virtuale con una connessione VPN da sito a sito usando l'interfaccia della riga di comando

Crittografia di dati in transito in Data Lake

Anche i dati in transito (noti anche come dati in movimento) vengono sempre crittografati in Data Lake Store. Oltre a essere crittografati prima dell'archiviazione in supporti persistenti, i dati vengono sempre protetti anche mentre sono in transito usando HTTPS. HTTPS è l'unico protocollo supportato per le interfacce REST di Data Lake Store.

Per altre informazioni sulla crittografia dei dati in transito in Data Lake, vedere Crittografia dei dati in Data Lake Store.

Gestione delle chiavi con Key Vault

Senza protezione e gestione delle chiavi adeguate la crittografia è inutile. Key Vault è la soluzione consigliata di Microsoft per la gestione e il controllo dell'accesso alle chiavi di crittografia usate dai servizi cloud. È possibile assegnare autorizzazioni per le chiavi di accesso ai servizi o agli utenti tramite account di Azure Active Directory.

Con Key Vault le organizzazioni non hanno più necessità di eseguire le operazioni di configurazione, applicazione di patch e gestione di moduli di protezione hardware e software di gestione delle chiavi. Quando si usa l'insieme di credenziali delle chiavi, il controllo è in mano all'utente. Microsoft non vede mai le chiavi e le applicazioni non hanno accesso diretto ad esse. È possibile anche importare o generare chiavi nei moduli di protezione hardware.

Passaggi successivi