Procedure consigliate per la protezione delle applicazioni Web e per dispositivi mobili in PaaS mediante Archiviazione di Azure

Articolo
04/11/2023

Questo articolo illustra un insieme di procedure consigliate di sicurezza in Archiviazione di Azure per la protezione delle applicazioni PaaS Web e per applicazioni mobili. Le procedure consigliate si basano sull'esperienza di tecnici e clienti con Azure.

Azure consente di distribuire e usare le risorse di archiviazione in modi che non è facile ottenere in locale. Con archiviazione di Azure è possibile raggiungere livelli elevati di scalabilità e disponibilità con un lavoro richiesto minimo. Non solo Archiviazione di Azure è la base per le macchine virtuali di Azure che eseguono Windows o Linux, ma può supportare anche applicazioni distribuite di grandi dimensioni.

Archiviazione di Azure offre i quattro servizi seguenti: archiviazione BLOB, archiviazione tabelle, archiviazione code e archiviazione file. Per altre informazioni, vedere Introduzione ad Archiviazione di Microsoft Azure.

In questo articolo vengono illustrate le seguenti procedure consigliate:

Firme di accesso condiviso (SAS)
Controllo degli accessi in base al ruolo di Azure
Crittografia lato client per i dati di valore elevato
Crittografia del servizio di archiviazione

Usare la firma di accesso condiviso anziché una chiave dell'account di archiviazione

Il controllo di accesso è fondamentale. Per facilitare il controllo di accesso ad Archiviazione di Azure, Azure genera due chiavi dell'account di archiviazione a 512 bit quando si crea un account di archiviazione. Il livello di ridondanza delle chiavi consente di evitare le interruzioni del servizio durante la normale rotazione delle chiavi.

Le chiavi di accesso alle risorse di archiviazione sono segreti con priorità elevata e devono essere accessibili solo agli utenti responsabili del controllo di accesso alle risorse di archiviazione. Se gli utenti sbagliati ottengono l'accesso a queste chiavi, avranno il controllo completo dell'archiviazione e potrebbero sostituire, eliminare o aggiungere file alla risorsa di archiviazione. Sono inclusi il malware e altri tipi di contenuto che potrebbero compromettere l'organizzazione o i clienti.

È comunque necessario un modo per fornire l'accesso agli oggetti nella risorsa di archiviazione. Per fornire un accesso più granulare, è possibile sfruttare la firma di accesso condiviso.To provide more granular access, you can take advantage of shared access signature (SAS). La firma di accesso condiviso consente la condivisione di oggetti specifici nella risorsa di archiviazione per un intervallo di tempo predefinito e con autorizzazioni specifiche. Una firma di accesso condiviso consente di definire:

L'intervallo di validità della firma di accesso condiviso, incluse l'ora di inizio e quella di scadenza.
Le autorizzazioni concesse dalla firma di accesso condiviso. Ad esempio, una firma di accesso condiviso su un BLOB potrebbe concedere a un utente le autorizzazioni di lettura e di scrittura per questo BLOB, ma non eliminare le autorizzazioni.
Un indirizzo IP o un intervallo di indirizzi IP facoltativo da cui Archiviazione di Azure accetta la firma di accesso condiviso. Ad esempio, è possibile specificare un intervallo di indirizzi IP appartenenti all'organizzazione. Fornisce un'altra misura di sicurezza per la firma di accesso condiviso.
Il protocollo tramite cui Archiviazione di Azure accetta la firma di accesso condiviso. È possibile usare questo parametro facoltativo per limitare l'accesso ai client tramite HTTPS.

La firma di accesso condiviso consente di condividere il contenuto nel modo in cui si vuole condividerlo, senza fornire le chiavi dell'account di archiviazione. L'uso costante di una firma di accesso condiviso rappresenta un metodo sicuro per condividere le risorse di archiviazione senza compromettere le chiavi dell'account di archiviazione.

Per altre informazioni sulle firme di accesso condiviso vedere Uso delle firme di accesso condiviso.

Usare il controllo degli accessi in base al ruolo di Azure

Un altro modo per gestire l'accesso consiste nell'usare il controllo degli accessi in base al ruolo di Azure. Con il controllo degli accessi in base al ruolo di Azure, ci si concentra sulla necessità di concedere ai dipendenti le autorizzazioni esatte necessarie, in base alle esigenze e ai principi di sicurezza con privilegi minimi. un numero eccessivo di autorizzazioni può esporre un account agli attacchi. Un numero di autorizzazioni insufficiente ostacola l'efficienza del lavoro dei dipendenti. Il controllo degli accessi in base al ruolo di Azure consente di risolvere questo problema offrendo una gestione degli accessi con granularità fine per Azure. Il controllo di accesso è fondamentale per le organizzazioni che vogliono applicare criteri di sicurezza per l'accesso ai dati.

È possibile usare i ruoli predefiniti di Azure in Azure per assegnare privilegi agli utenti. Si consiglia di usare Collaboratore Account di archiviazione per gli operatori cloud che devono gestire gli account di archiviazione e il ruolo Collaboratore Account di archiviazione classico per gestire gli account di archiviazione classici. Per gli operatori cloud che devono gestire le macchine virtuali ma non la rete virtuale o l'account di archiviazione a cui sono connessi, è possibile aggiungerle al ruolo Collaboratore macchina virtuale.

Le organizzazioni che non applicano il controllo di accesso ai dati usando funzionalità come il controllo degli accessi in base al ruolo di Azure possono concedere più privilegi rispetto a quanto necessario per gli utenti. Più privilegi del necessario possono causare la compromissione dei dati consentendo ad alcuni utenti di accedere ai dati che non dovrebbero avere al primo posto.

Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere:

Usare la crittografia lato client per i dati di valore elevato

La crittografia lato client consente di crittografare i dati in transito a livello di codice prima di caricarli in Archiviazione di Azure e decrittografarli a livello di codice quando vengono recuperati. La crittografia lato client fornisce la crittografia dei dati in transito, ma fornisce anche la crittografia dei dati inattivi. La crittografia dei dati lato client è il metodo più sicuro, ma richiede modifiche all'applicazione a livello di codice e l'implementazione della gestione delle chiavi.

La crittografia lato client consente anche il controllo esclusivo delle chiavi di crittografia. È possibile generare e gestire chiavi di crittografia personalizzate. Usa una tecnica basata su busta in cui la libreria client di archiviazione di Azure genera una chiave di crittografia del contenuto (CEK) di cui viene eseguito il wrapping (crittografia) usando la chiave di crittografia della chiave (KEK). La chiave di crittografia della chiave è identificata con un identificatore di chiave e può essere costituita da una coppia di chiavi asimmetriche o da una chiave simmetrica. Può essere gestita localmente o archiviata in Azure Key Vault.

La crittografia lato client è incorporata nelle librerie client di archiviazione .NET e Java. Vedere Crittografia lato client e Azure Key Vault per Archiviazione di Microsoft Azure per informazioni sulla crittografia dei dati all'interno di applicazioni client e la generazione e gestione di chiavi di crittografia personalizzate.

Attivare la crittografia del servizio di archiviazione di Azure per dati inattivi

Quando è abilitata la crittografia del servizio di archiviazione per archiviazione file, i dati vengono crittografati automaticamente usando l'algoritmo AES-256. Microsoft gestisce interamente la crittografia, la decrittografia e la gestione delle chiavi. Questa funzionalità è disponibile per i tipi di ridondanza archiviazione con ridondanza locale e con ridondanza geografica.

Passaggi successivi

Questo articolo descrive una serie di procedure consigliate per la protezione delle applicazioni Web PaaS e delle applicazioni per dispositivi mobili mediante Archiviazione di Microsoft Azure. Per ulteriori informazioni sulla protezione delle distribuzioni PaaS, vedere: