Esaminare le strategie di sicurezza di Archiviazione di Azure
Gli amministratori usano strategie diverse per assicurarsi che i dati siano sicuri. Gli approcci comuni includono crittografia, autenticazione, autorizzazione e controllo degli accessi utente con credenziali, autorizzazioni file e firme private. Archiviazione di Azure offre una suite di funzionalità di sicurezza basate su strategie comuni per proteggere i dati.
Annotazioni
Il video si riferisce ad Active Directory, che ora è marchiato come MICROSOFT Entra ID.
Informazioni sulle strategie di sicurezza di Archiviazione di Azure
Esaminiamo alcune caratteristiche della sicurezza di Archiviazione di Azure. Durante l'esecuzione di questo modulo, prendere in considerazione la difesa approfondita. Come è possibile applicare le funzionalità di sicurezza dell'archiviazione a questo concetto?
Crittografia di dati inattivi. Crittografia del servizio di archiviazione con pacchetto di crittografia AES (Advanced Encryption Standard) a 256 bit esegue la crittografia di tutti i dati scritti in Archiviazione di Azure. Durante la lettura dei dati da Archiviazione di Azure, Archiviazione di Azure decrittografa i dati prima di restituirli. Questo processo non comporta costi extra e non influisce negativamente sulle prestazioni. La crittografia dei dati in stato di riposo include la crittografia di dischi rigidi virtuali (VHD) con Crittografia disco di Azure. Questo tipo di crittografia usa BitLocker per le immagini di Windows e dm-crypt per Linux.
Crittografia dei dati in transito. È possibile proteggere i dati abilitando la sicurezza a livello di trasporto tra Azure e il client. Usare sempre HTTPS per proteggere le comunicazioni sulla rete Internet pubblica. Quando si chiamano le API REST per accedere agli oggetti negli account di archiviazione, è possibile applicare l'uso di HTTPS richiedendo il trasferimento sicuro per l'account di archiviazione. Dopo aver abilitato il trasferimento sicuro, le connessioni che usano HTTP verranno rifiutate. Questo flag impone anche il trasferimento sicuro via SMB rendendo obbligatorio l'uso di SMB 3.0 per tutte le condivisioni di file montate.
Modelli di crittografia. Azure supporta vari modelli di crittografia, tra cui la crittografia lato server che usa chiavi gestite dal servizio, chiavi gestite dal cliente in Azure Key Vault o chiavi gestite dal cliente sull'hardware controllato dal cliente. La crittografia lato client consente di gestire e archiviare le chiavi in locale o in un'altra posizione protetta.
Autorizzare le richieste. Per una sicurezza ottimale, Microsoft consiglia di usare l'ID Entra di Microsoft con identità gestite per autorizzare le richieste nei dati blob, code e tabelle, quando possibile. L'autorizzazione con l'ID e le identità gestite di Microsoft Entra offre sicurezza e facilità di utilizzo superiori rispetto all'autorizzazione con chiave condivisa.
Controllo degli accessi in base al ruolo. Il controllo degli accessi in base al ruolo garantisce che le risorse nel tuo account di archiviazione siano accessibili solo quando desideri e solo agli utenti o alle applicazioni a cui concedi l'accesso. Assegnare ruoli di controllo degli accessi basati sui ruoli con ambito su un account di archiviazione di Azure.
Analisi dell'archiviazione. Azure Storage Analytics esegue la registrazione delle attività per un account di archiviazione. È possibile utilizzare questi dati per tenere traccia delle richieste, analizzare le tendenze d'uso e diagnosticare i problemi relativi al proprio account di archiviazione.
Suggerimento
Il benchmark di sicurezza del cloud di archiviazione Microsoft offre raccomandazioni su come proteggere le soluzioni di archiviazione cloud.
Aspetti da considerare quando si usa la sicurezza delle autorizzazioni
Esaminare le strategie seguenti per autorizzare le richieste ad Archiviazione di Azure. Si considerino le strategie di sicurezza che funzionerebbero per l'archiviazione di Azure.
| Strategia di autorizzazione | Descrizione |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft. Con Microsoft Entra ID è possibile assegnare un accesso con granularità fine a utenti, gruppi o applicazioni usando il controllo degli accessi in base al ruolo. |
| Chiave condivisa | L'autorizzazione Chiave condivisa si basa sulle chiavi di accesso dell'account di archiviazione di Azure e su altri parametri per produrre una stringa di firma crittografata. La stringa viene passata alla richiesta nell'intestazione dell’autorizzazione. |
| Firme di accesso condiviso | Una firma di accesso condiviso delega l'accesso a una determinata risorsa nell'account di archiviazione di Azure con le autorizzazioni specificate e in un intervallo di tempo specificato. |
| Accesso anonimo a contenitori e BLOB | Facoltativamente, è possibile rendere pubbliche le risorse BLOB a livello di contenitore o BLOB. Un contenitore o un BLOB pubblico è accessibile a qualsiasi utente per l'accesso in lettura anonimo. Le richieste di lettura a contenitori e BLOB pubblici non richiedono l'autorizzazione. |