Abilitare la crittografia dell'infrastruttura per la doppia crittografia dei dati
Articolo
Archiviazione di Azure crittografa automaticamente tutti i dati in un account di archiviazione a livello di servizio usando AES a 256 bit con la crittografia della modalità GCM, una delle crittografie a blocchi più complesse disponibili ed è conforme a FIPS 140-2. I clienti che richiedono livelli più elevati di garanzia che i dati siano sicuri possono anche abilitare AES a 256 bit con la crittografia CBC a livello di infrastruttura Archiviazione di Azure per la doppia crittografia. La doppia crittografia dei dati di Archiviazione di Azure protegge da uno scenario in cui uno degli algoritmi o delle chiavi di crittografia può essere compromesso. In questo scenario, il livello aggiuntivo di crittografia continua a proteggere i dati.
La crittografia dell'infrastruttura può essere abilitata per l'intero account di archiviazione o per un ambito di crittografia all'interno di un account. Quando la crittografia dell'infrastruttura è abilitata per un account di archiviazione o un ambito di crittografia, i dati vengono crittografati due volte, una volta a livello di servizio e una volta a livello di infrastruttura, con due algoritmi di crittografia diversi e due chiavi diverse.
La crittografia a livello di servizio supporta l'uso di chiavi gestite da Microsoft o chiavi gestite dal cliente con Azure Key Vault o il modello di protezione hardware gestito di Key Vault. La crittografia a livello di infrastruttura si basa su chiavi gestite da Microsoft e usa sempre una chiave separata. Per altre informazioni sulla gestione delle chiavi con crittografia Archiviazione di Azure, vedere Informazioni sulla gestione delle chiavi di crittografia.
Per crittografare i dati in modo doubly, è prima necessario creare un account di archiviazione o un ambito di crittografia configurato per la crittografia dell'infrastruttura. Questo articolo descrive come abilitare la crittografia dell'infrastruttura.
Importante
La crittografia dell'infrastruttura è consigliata per gli scenari in cui la crittografia dei dati è necessaria per i requisiti di conformità. Per la maggior parte degli altri scenari, Archiviazione di Azure la crittografia fornisce un algoritmo di crittografia sufficientemente potente e probabilmente l'uso della crittografia dell'infrastruttura non offre vantaggi.
Creare un account con la crittografia dell'infrastruttura abilitata
Per abilitare la crittografia dell'infrastruttura per un account di archiviazione, è necessario configurare un account di archiviazione per l'uso della crittografia dell'infrastruttura al momento della creazione dell'account. La crittografia dell'infrastruttura non può essere abilitata o disabilitata dopo la creazione dell'account. L'account di archiviazione deve essere di tipo blob in blocchi per utilizzo generico v2 o Premium.
Per usare il portale di Azure per creare un account di archiviazione con la crittografia dell'infrastruttura abilitata, seguire questa procedura:
Nella portale di Azure passare alla pagina account Archiviazione.
Scegliere il pulsante Aggiungi per aggiungere un nuovo account di archiviazione BLOB in blocchi per utilizzo generico v2 o Premium.
Nella scheda Crittografia individuare Abilita crittografia dell'infrastruttura e selezionare Abilitato.
Selezionare Rivedi e crea per completare la creazione dell'account di archiviazione.
Per verificare che la crittografia dell'infrastruttura sia abilitata per un account di archiviazione con il portale di Azure, seguire questa procedura:
Passare all'account di archiviazione nel portale di Azure.
In Sicurezza e rete scegliere Crittografia.
Per usare PowerShell per creare un account di archiviazione con la crittografia dell'infrastruttura abilitata, assicurarsi di aver installato il modulo Az.Archiviazione PowerShell versione 2.2.0 o successiva. Per altre informazioni, vedere Installare Azure PowerShell.
Creare quindi un account di archiviazione BLOB in blocchi per utilizzo generico v2 o Premium chiamando il comando New-Az Archiviazione Account. Includere l'opzione per abilitare la -RequireInfrastructureEncryption crittografia dell'infrastruttura.
L'esempio seguente illustra come creare un account di archiviazione per utilizzo generico v2 configurato per l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e la crittografia dell'infrastruttura è abilitata per la doppia crittografia dei dati. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori:
Per verificare che la crittografia dell'infrastruttura sia abilitata per un account di archiviazione, chiamare il comando Get-Az Archiviazione Account. Questo comando restituisce un set di proprietà dell'account di archiviazione e i relativi valori. Recuperare il RequireInfrastructureEncryption campo all'interno della Encryption proprietà e verificare che sia impostato su True.
Nell'esempio seguente viene recuperato il valore della RequireInfrastructureEncryption proprietà . Ricordarsi di sostituire i valori segnaposto tra parentesi angolari con i propri valori:
Per usare l'interfaccia della riga di comando di Azure per creare un account di archiviazione con crittografia dell'infrastruttura abilitata, assicurarsi di aver installato l'interfaccia della riga di comando di Azure versione 2.8.0 o successiva. Per altre informazioni, vedere Installare l'interfaccia della riga di comando di Azure.
Creare quindi un account di archiviazione BLOB in blocchi per utilizzo generico v2 o Premium chiamando il comando az storage account create e includere per abilitare la crittografia dell'infrastruttura --require-infrastructure-encryption option .
L'esempio seguente illustra come creare un account di archiviazione per utilizzo generico v2 configurato per l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e la crittografia dell'infrastruttura è abilitata per la doppia crittografia dei dati. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori:
Per verificare che la crittografia dell'infrastruttura sia abilitata per un account di archiviazione, chiamare il comando az storage account show . Questo comando restituisce un set di proprietà dell'account di archiviazione e i relativi valori. Cercare il requireInfrastructureEncryption campo all'interno della encryption proprietà e verificare che sia impostato su true.
Nell'esempio seguente viene recuperato il valore della requireInfrastructureEncryption proprietà . Ricordarsi di sostituire i valori segnaposto tra parentesi angolari con i propri valori:
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
L'esempio JSON seguente crea un account di archiviazione per utilizzo generico v2 configurato per l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e la crittografia dell'infrastruttura è abilitata per la doppia crittografia dei dati. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori:
Criteri di Azure fornisce criteri predefiniti per richiedere che la crittografia dell'infrastruttura sia abilitata per un account di archiviazione. Per altre informazioni, vedere la sezione Archiviazione in Criteri di Azure definizioni di criteri predefinite.
Creare un ambito di crittografia con la crittografia dell'infrastruttura abilitata
Se la crittografia dell'infrastruttura è abilitata per un account, qualsiasi ambito di crittografia creato in tale account usa automaticamente la crittografia dell'infrastruttura. Se la crittografia dell'infrastruttura non è abilitata a livello di account, è possibile abilitarla per un ambito di crittografia al momento della creazione dell'ambito. L'impostazione di crittografia dell'infrastruttura per un ambito di crittografia non può essere modificata dopo la creazione dell'ambito. Per altre informazioni, vedere Creare un ambito di crittografia.
