Informazioni sulla crittografia per SAN di Elastic in Azure
SAN di Elastic in Azure usa la crittografia lato server (SSE) per crittografare automaticamente i dati archiviati in una SAN di Elastic. La crittografia del servizio di archiviazione protegge i dati e consente di soddisfare i requisiti di sicurezza e conformità dell'organizzazione.
I dati nei volumi SAN di Elastic in Azure vengono crittografati e decrittografati in modo trasparente con la crittografia AES a 256 bit, una delle crittografie a blocchi più solide disponibili, conforme a FIPS 140-2. Per altre informazioni sui moduli di crittografia sottostanti la crittografia dei dati di Azure, vedere API di crittografia: nuova generazione.
La crittografia del servizio di archiviazione è abilitata per impostazione predefinita e non può essere disabilitata. La crittografia del servizio di archiviazione non può essere disabilitata, non influisce sulle prestazioni della SAN di Elastic e non comporta costi aggiuntivi.
Informazioni sulla gestione delle chiavi di crittografia
Sono disponibili due tipi di chiavi di crittografia: chiavi gestite dalla piattaforma e chiavi gestite dal cliente. I dati scritti in un volume SAN di Elastic vengono crittografati con chiavi gestite dalla piattaforma (gestite da Microsoft) per impostazione predefinita. Se si preferisce, è possibile usare chiavi gestite dal cliente, se si hanno requisiti specifici di sicurezza e conformità dell'organizzazione.
Quando si configura un gruppo di volumi, è possibile scegliere di usare chiavi gestite dalla piattaforma o gestite dal cliente. Tutti i volumi di un gruppo ereditano la configurazione del gruppo di volumi. È possibile passare da chiavi gestite dal cliente a chiavi gestite dalla piattaforma in qualsiasi momento. Se si passa da un tipo di chiave all'altro, il servizio SAN di Elastic crittografa nuovamente la chiave di crittografia dei dati con la nuova chiave KEK. La protezione della chiave di crittografia dei dati cambia, ma i dati nei volumi SAN di Elastic rimangono sempre crittografati. Non è necessaria alcuna azione aggiuntiva da parte dell'utente per assicurarsi che i dati siano protetti.
Chiavi gestite dal cliente
Se si usano chiavi gestite dal cliente, è necessario usare Azure Key Vault per archiviarle.
È possibile creare e importare chiavi RSA personalizzate e archiviarle in Azure Key Vault oppure generare nuove chiavi RSA usando Azure Key Vault. È possibile usare le API o le interfacce di gestione di Azure Key Vault per generare le chiavi. La SAN di Elastic e l'insieme di credenziali delle chiavi possono trovarsi in aree e sottoscrizioni diverse, ma devono trovarsi nello stesso tenant di Microsoft Entra ID.
Il diagramma seguente illustra in che modo la SAN di Elastic di Azure usa Microsoft Entra ID e un insieme di credenziali delle chiavi per effettuare richieste usando la chiave gestita dal cliente:
Nell'elenco seguente vengono illustrati i passaggi numerati nel diagramma:
- Un amministratore di Azure Key Vault concede le autorizzazioni a un'identità gestita per accedere all'insieme di credenziali delle chiavi che contiene le chiavi di crittografia. L'identità gestita può essere un'identità assegnata dall'utente creata e gestita o un'identità assegnata dal sistema associata al gruppo di volumi.
- Un Proprietario del gruppo di volumi SAN di Elastic configura la crittografia con una chiave gestita dal cliente per il gruppo di volumi.
- SAN di Elastic in Azure usa le autorizzazioni concesse dall'identità gestita nel passaggio 1 per autenticare l'accesso all'insieme di credenziali delle chiavi tramite Microsoft Entra ID.
- SAN di Elastic in Azure esegue il wrapping della chiave di crittografia dei dati con la chiave gestita dal cliente dall'insieme di credenziali delle chiavi.
- Per le operazioni di lettura/scrittura, SAN di Elastic in Azure invia richieste ad Azure Key Vault per annullare il wrapping della chiave di crittografia dell'account per l'esecuzione di crittografia e decrittografia.