Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce una panoramica dell'utilizzo della crittografia in Microsoft Azure. Vengono illustrate le principali aree di crittografia, tra cui la crittografia di dati inattivi, la crittografia in-flight e la gestione delle chiavi con Key Vault.
Crittografia dei dati inattivi
I dati inattivi includono informazioni presenti nell'archivio permanente su un supporto fisico, in qualsiasi formato digitale. Microsoft Azure offre un'ampia gamma di soluzioni di archiviazione dati per soddisfare le diverse esigenze, tra cui l'archiviazione su file, disco, BLOB e tabella. Microsoft fornisce anche la crittografia per proteggere il database SQL di Azure, Azure Cosmos DB e Azure Data Lake.
La crittografia dei dati inattivi tramite crittografia AES 256 è disponibile per i servizi nel software come servizio (SaaS), la piattaforma distribuita come servizio (PaaS) e i modelli cloud IaaS (Infrastructure as a Service).
Per una descrizione dettagliata del modo in cui i dati inattivi vengono crittografati in Azure, vedere Crittografia dei dati di Azure inattivi.
Modelli di crittografia di Azure
Azure supporta vari modelli di crittografia, tra cui la crittografia lato server che usa chiavi gestite dal servizio, chiavi gestite dal cliente in Azure Key Vault o chiavi gestite dal cliente sull'hardware controllato dal cliente. La crittografia lato client consente di gestire e archiviare le chiavi in locale o in un'altra posizione protetta.
crittografia lato client
La crittografia lato client viene eseguita all'esterno di Azure. Sono inclusi:
- Dati crittografati da un'applicazione in esecuzione nel data center del cliente o da un'applicazione di servizio
- Dati già crittografati quando vengono ricevuti da Azure
Con la crittografia lato client, i provider di servizi cloud non hanno accesso alle chiavi di crittografia e non possono decrittografare questi dati. Si mantiene il controllo completo delle chiavi.
Modello di crittografia lato server
I tre modelli di crittografia lato server offrono caratteristiche di gestione delle chiavi diverse:
- Chiavi gestite dal servizio: offre una combinazione di controllo e praticità con un sovraccarico ridotto
- Chiavi gestite dal cliente: offre il controllo sulle chiavi, incluso il supporto BYOK (Bring Your Own Keys) o consente di generarne di nuovi
- Chiavi gestite dal servizio nell'hardware controllato dal cliente: consente di gestire le chiavi nel repository proprietario, all'esterno del controllo Microsoft (detto anche Host Your Own Key o HYOK)
Crittografia dischi di Azure
Importante
Crittografia disco di Azure è pianificata per la disattivazione il 15 settembre 2028. Fino a tale data, è possibile continuare a usare Crittografia dischi di Azure senza interruzioni. Il 15 settembre 2028 i carichi di lavoro abilitati per ADE continueranno a essere eseguiti, ma i dischi crittografati non riusciranno a sbloccarsi dopo il riavvio della macchina virtuale, causando un'interruzione del servizio.
Usare la crittografia nell'host per le nuove macchine virtuali. Tutte le macchine virtuali abilitate per ADE (inclusi i backup) devono eseguire la migrazione alla crittografia nell'host prima della data di ritiro per evitare interruzioni del servizio. Per informazioni dettagliate, vedere Eseguire la migrazione da Crittografia dischi di Azure alla crittografia nell'host .
Tutti i Managed Disks, gli snapshot e le immagini vengono crittografati usando crittografia del servizio di archiviazione usando una chiave gestita dal servizio. Azure offre anche opzioni per proteggere dischi temporanei, cache e gestire chiavi in Azure Key Vault. Per altre informazioni, vedere Panoramica delle opzioni di crittografia del disco gestito.
Crittografia del servizio di archiviazione di Azure
I dati inattivi negli archivi BLOB di Azure e nelle condivisioni di file di Azure possono essere crittografati sia in scenari lato server che in quelli lato client.
La crittografia del servizio di archiviazione di Azure può crittografare automaticamente i dati prima dell'archiviazione e decrittografare automaticamente i dati quando si recuperano. La crittografia del servizio di archiviazione usa la crittografia AES a 256 bit, una delle crittografie a blocchi più complesse disponibili.
Crittografia del database SQL di Azure
Il database SQL di Azure è un servizio di database relazionale per utilizzo generico che supporta strutture quali dati relazionali, JSON, spaziali e XML. Il database SQL supporta sia la crittografia lato server tramite la funzionalità Transparent Data Encryption (TDE) sia la crittografia lato client tramite la funzionalità Always Encrypted.
Crittografia Trasparente dei Dati
TDE crittografa i file di dati di SQL Server, database SQL di Azure e Azure Synapse Analytics in tempo reale usando una chiave di crittografia del database (DEK). TDE è abilitato per impostazione predefinita nei database SQL di Azure appena creati.
Sempre Crittografato
La funzionalità Always Encrypted in Azure SQL consente di crittografare i dati all'interno delle applicazioni client prima di archiviarli nel database SQL di Azure. È possibile abilitare la delega dell'amministrazione del database locale a terze parti e mantenere la separazione tra coloro che possiedono e possono visualizzare i dati e quelli che lo gestiscono.
Crittografia a livello di cella o a livello di colonna
Il database SQL di Azure consente di applicare la crittografia simmetrica a una colonna di dati tramite Transact-SQL. Questo approccio è denominato crittografia a livello di cella o crittografia a livello di colonna , perché è possibile usarlo per crittografare colonne o celle specifiche con chiavi di crittografia diverse, offrendo funzionalità di crittografia più granulari rispetto a TDE.
Crittografia del database Azure Cosmos DB
Azure Cosmos DB è il database multimodello distribuito a livello globale di Microsoft. I dati utente archiviati in Azure Cosmos DB in un'archiviazione non volatile (unità ssd) vengono crittografati per impostazione predefinita usando chiavi gestite dal servizio. È possibile aggiungere un secondo livello di crittografia con le proprie chiavi usando la funzionalità chiavi gestite dal cliente (CMK).
Crittografia di Azure Data Lake
Azure Data Lake è un repository di dati a livello aziendale. Data Lake Store supporta la crittografia trasparente "attivata di default" dei dati a riposo, configurata durante la creazione dell'account. Per impostazione predefinita, Azure Data Lake Store gestisce automaticamente le chiavi, ma è possibile gestirle manualmente.
Crittografia dei dati in transito
Azure offre numerosi meccanismi per conservare i dati privati durante lo spostamento da una posizione a un'altra.
Crittografia del livello di collegamento dati
Ogni volta che il traffico dei clienti di Azure si sposta tra data center, al di fuori dei limiti fisici non controllati da Microsoft, viene applicato un metodo di crittografia del livello di collegamento dati che usa gli standard di sicurezza IEEE 802.1AE MAC (noto anche come MACsec) dall'hardware di rete sottostante. I pacchetti vengono crittografati sui dispositivi prima dell'invio, impedendo attacchi fisici "man-in-the-middle" o di ascolto non autorizzato/intercettazione. Questa crittografia MACsec è attivata per impostazione predefinita per tutto il traffico di Azure in viaggio all'interno di un'area o tra aree.
Crittografia TLS
Microsoft offre ai clienti la possibilità di usare il protocollo TLS (Transport Layer Security) per proteggere i dati quando si spostano tra servizi cloud e clienti. I data center Microsoft negoziano una connessione TLS con i sistemi client che si connettono ai servizi di Azure. TLS offre autenticazione avanzata, riservatezza dei messaggi e integrità.
Importante
Azure sta passando per richiedere TLS 1.2 o versione successiva per tutte le connessioni ai servizi di Azure. La maggior parte dei servizi di Azure ha completato questa transizione entro il 31 agosto 2025. Assicurarsi che le applicazioni usino TLS 1.2 o versione successiva.
Perfect Forward Secret (PFS) protegge le connessioni tra i sistemi client dei clienti e i servizi cloud Microsoft tramite chiavi univoche. Le connessioni supportano lunghezze di chiave a 2.048 bit basate su RSA, lunghezze di chiave ECC a 256 bit, autenticazione dei messaggi SHA-384 e crittografia dei dati AES-256.
Transazioni di archiviazione di Azure
Quando si interagisce con Archiviazione di Azure tramite il portale di Azure, tutte le transazioni hanno luogo tramite HTTPS. È possibile anche usare l'API REST di archiviazione su HTTPS per interagire con Archiviazione di Azure. È possibile applicare l'uso di HTTPS quando si chiamano le API REST abilitando il requisito di trasferimento sicuro per l'account di archiviazione.
Le firme di accesso condiviso ,che possono essere usate per delegare l'accesso agli oggetti di Archiviazione di Azure, includono un'opzione per specificare che è possibile usare solo il protocollo HTTPS.
Crittografia SMB
SMB 3.0, usato per accedere alle condivisioni file di Azure, supporta la crittografia ed è disponibile in Windows Server 2012 R2, Windows 8, Windows 8.1 e Windows 10. Consente l'accesso interregionale e l'accesso sul desktop.
Crittografia VPN
È possibile connettersi ad Azure tramite una rete privata virtuale che crea un tunnel sicuro per proteggere la privacy dei dati inviati attraverso la rete.
Gateway VPN di Azure
Il gateway VPN di Azure può inviare traffico crittografato tra la rete virtuale e la posizione locale attraverso una connessione pubblica o tra reti virtuali. Le VPN da sito a sito usano IPsec per la crittografia del trasporto.
VPN da punto a sito
Le VPN da punto a sito consentono ai singoli computer client di accedere a una rete virtuale di Azure. Il protocollo SSTP (Secure Socket Tunneling Protocol) viene usato per creare il tunnel VPN. Per altre informazioni, vedere Configurare una connessione da punto a sito a una rete virtuale.
VPN da sito a sito
Una connessione gateway VPN da sito a sito connette la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE. Per altre informazioni, vedere Creare una connessione da sito a sito.
Gestione delle chiavi con Key Vault
Senza una corretta protezione e gestione delle chiavi, la crittografia viene resa inutile. Azure Key Vault è la soluzione consigliata da Microsoft per gestire e controllare l'accesso alle chiavi di crittografia usate dai servizi cloud.
Con Key Vault le organizzazioni non hanno più necessità di eseguire le operazioni di configurazione, applicazione di patch e gestione di moduli di protezione hardware e software di gestione delle chiavi. Con Key Vault si mantiene il controllo: Microsoft non vede mai le chiavi e le applicazioni non hanno accesso diretto a tali chiavi. È possibile anche importare o generare chiavi nei moduli di protezione hardware.
Per altre informazioni sulla gestione delle chiavi in Azure, vedere Gestione delle chiavi in Azure.
Passaggi successivi
- Panoramica della sicurezza di Azure
- Panoramica della sicurezza di rete di Azure
- Panoramica della sicurezza del database di Azure
- Panoramica della sicurezza delle macchine virtuali di Azure
- Crittografia dei dati inattivi
- Procedure consigliate per la sicurezza e la crittografia dei dati
- Gestione delle chiavi in Azure