Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come Microsoft Azure utilizza la crittografia. Copre le principali aree di crittografia, tra cui la crittografia a riposo, la crittografia in transito e la gestione delle chiavi con Azure Key Vault.
Crittografia di dati inattivi
I dati a riposo includono informazioni che risiedono in archiviazione persistente su supporti fisici in qualsiasi formato digitale. Azure offre molte soluzioni di archiviazione dati, inclusi archiviazione di file, disco, blob e tabelle. Azure fornisce anche crittografia per proteggere database SQL di Azure, Azure Cosmos DB e Azure Data Lake Storage.
Puoi utilizzare la crittografia AES-256 per proteggere i dati archiviati per i servizi nei modelli cloud software as a service (SaaS), platform as a service (PaaS) e infrastructure as a service (IaaS).
Per maggiori informazioni su come Azure cifra i dati inattivi, vedere Crittografia dei dati inattivi.
Modelli di crittografia di Azure
Azure supporta vari modelli di crittografia, tra cui la crittografia lato server che usa chiavi gestite dal servizio, chiavi gestite dal cliente in Azure Key Vault o chiavi gestite dal cliente sull'hardware controllato dal cliente. Usando la crittografia lato client, è possibile gestire e archiviare le chiavi in locale o in un'altra posizione sicura.
crittografia lato client
La crittografia lato client viene eseguita all'esterno di Azure. Sono inclusi:
- Dati criptati da un'applicazione che è in esecuzione nel tuo datacenter o da un'applicazione di servizio.
- Dati già criptati quando Azure li riceve.
Utilizzando la crittografia lato client, i fornitori di servizi cloud non hanno accesso alle chiavi di crittografia e non possono decriptare i dati. Si mantiene il controllo completo delle chiavi.
Modello di crittografia lato server
I tre modelli di crittografia lato server offrono caratteristiche di gestione delle chiavi diverse:
- Chiavi gestite dal servizio: offre una combinazione di controllo e praticità con un sovraccarico ridotto.
- Chiavi gestite dal cliente: Ti danno il controllo sulle chiavi, incluso il supporto Bring Your Own Key (BYOK), oppure ti permette di generarne di nuove.
- Chiavi gestite dal servizio nell'hardware controllato dal cliente: Ti consente di gestire le chiavi nel tuo repository proprietario al di fuori del controllo Microsoft. Questo modello è anche chiamato Host Your Own Key (HYOK).
Crittografia dischi di Azure
Importante
Crittografia dischi di Azure è pianificato per il ritiro in data 15 settembre 2028. Fino a tale data, è possibile continuare a usare Crittografia dischi di Azure senza interruzioni. Il 15 settembre 2028 i carichi di lavoro abilitati per ADE continueranno a essere eseguiti, ma i dischi crittografati non riusciranno a sbloccarsi dopo il riavvio della macchina virtuale, causando un'interruzione del servizio.
Usare la crittografia nell'host per le nuove macchine virtuali o prendere in considerazione le dimensioni delle macchine virtuali riservate con crittografia del disco del sistema operativo per i carichi di lavoro di computing riservato. Tutte le macchine virtuali abilitate per ADE (inclusi i backup) devono eseguire la migrazione alla crittografia nell'host prima della data di ritiro per evitare interruzioni del servizio. Per informazioni dettagliate, vedere Eseguire la migrazione da Crittografia dischi di Azure alla crittografia nell'host .
Azure cripta di default tutti i dischi gestiti, snapshot e immagini utilizzando la Storage Service Encryption con una chiave gestita dal servizio. Per le macchine virtuali, la crittografia all'host fornisce la crittografia end-to-end per i dati della VM, inclusi dischi temporanei e cache del sistema operativo e dei dischi dati. Azure offre anche opzioni per gestire le chiavi in Azure Key Vault. Per altre informazioni, vedere Panoramica delle opzioni di crittografia del disco gestito.
Archiviazione di Azure encryption
Puoi cifrare i dati a riposo in Archiviazione BLOB di Azure e Azure file share, sia per scenari lato server che lato client.
La crittografia di Archiviazione di Azure cripta automaticamente i dati prima dell'archiviazione e li decripta quando li recuperi. La crittografia Archiviazione di Azure utilizza la crittografia AES a 256 bit, un cifrario a blocchi forte.
Crittografia del database SQL di Azure
Il database SQL di Azure è un servizio di database relazionale per utilizzo generico che supporta strutture quali dati relazionali, JSON, spaziali e XML. Il database SQL supporta sia la crittografia lato server tramite la funzionalità Transparent Data Encryption (TDE) che la crittografia lato client tramite la funzionalità Always Encrypted.
Crittografia Trasparente dei Dati
Transparent Data Encryption (TDE) cripta in tempo reale i file di data SQL Server, database SQL di Azure e Azure Synapse Analytics utilizzando una chiave di crittografia del database (DEK). TDE è abilitato per impostazione predefinita nei database SQL di Azure appena creati.
Sempre Crittografato
La funzione Always Encrypted in Azure SQL ti aiuta a criptare i dati all'interno delle applicazioni client prima di memorizzarli in database SQL di Azure. È possibile abilitare la delega dell'amministrazione del database locale a terze parti mantenendo al tempo stesso la separazione tra coloro che possiedono e possono visualizzare i dati e quelli che lo gestiscono.
Crittografia a livello di cella o a livello di colonna
Il database SQL di Azure consente di applicare la crittografia simmetrica a una colonna di dati tramite Transact-SQL. Questo approccio è chiamato cifratura a livello di cella o crittografia a livello di colonna (CLE). Puoi usarlo per cifrare colonne o celle specifiche con chiavi di crittografia diverse, il che offre una capacità di crittografia più granulare rispetto al TDE.
Crittografia del database Azure Cosmos DB
Azure Cosmos DB è un database multimodello distribuito globalmente. Azure Cosmos DB cripta di default i dati utente memorizzati in archivi non volatili, come i dischi a stato solido, utilizzando chiavi gestite dal servizio. È possibile aggiungere un secondo livello di crittografia con le proprie chiavi usando la funzionalità chiavi gestite dal cliente (CMK).
Crittografia dei dati inattivi in Azure Data Lake Storage
Azure Data Lake Storage è una soluzione cloud di data lake aziendale basata su Archiviazione di Azure. Azure Data Lake Storage cripta tutti i dati a riposo utilizzando chiavi gestite da Microsoft o chiavi gestite dal cliente. Per ulteriori informazioni, vedere la crittografia di Archiviazione di Azure per i dati inattivi.
Crittografia dei dati in transito
Azure offre molti meccanismi per mantenere i dati privati mentre si spostano da una posizione all'altra.
Crittografia del livello di collegamento dati
Ogni volta che il traffico dei clienti Azure si sposta tra datacenter tramite collegamenti al di fuori dei confini fisici controllati da Microsoft, Azure applica un metodo di crittografia a livello data-link utilizzando gli standard di sicurezza MAC IEEE 802.1AE, noti anche come MACsec. L'hardware di rete sottostante cripta i pacchetti prima di inviarli, il che aiuta a prevenire attacchi di persona fisica nel mezzo, spionaggio o intercettazione. La crittografia MACsec è attiva di default per tutto il traffico Azure che viaggia all'interno di una regione o tra regioni.
Crittografia TLS
I clienti possono utilizzare il Transport Layer Security (TLS) per proteggere i dati durante il loro viaggio tra i servizi Azure e i sistemi clienti. I datacenter Microsoft negoziano connessioni TLS con i sistemi client che si collegano ai servizi Azure. TLS offre autenticazione avanzata, riservatezza dei messaggi e integrità.
Importante
Azure sta passando per richiedere TLS 1.2 o versione successiva per tutte le connessioni ai servizi di Azure. La maggior parte dei servizi di Azure ha completato questa transizione entro il 31 agosto 2025. Assicurarsi che le applicazioni usino TLS 1.2 o versione successiva.
Perfect Forward Secrecy (PFS) protegge le connessioni tra i sistemi client dei clienti e i servizi cloud Microsoft utilizzando chiavi uniche per ogni connessione. Le connessioni supportano lunghezze di chiave a 2.048 bit basate su RSA, lunghezze di chiave ECC a 256 bit, autenticazione dei messaggi SHA-384 e crittografia dei dati AES-256.
Transazioni di archiviazione di Azure
Quando si interagisce con Archiviazione di Azure tramite il portale di Azure, tutte le transazioni hanno luogo tramite HTTPS. È possibile anche usare l'API REST di archiviazione su HTTPS per interagire con Archiviazione di Azure. È possibile applicare l'uso di HTTPS quando si chiamano le API REST abilitando il requisito di trasferimento sicuro per l'account di archiviazione.
Le firme di accesso condiviso (SAS), che puoi utilizzare per delegare l'accesso agli oggetti Archiviazione di Azure, includono un'opzione per specificare che solo il protocollo HTTPS può essere utilizzato.
Crittografia SMB
Le condivisioni File di Azure SMB supportano la crittografia dei canali SMB, inclusi AES-256-GCM, AES-128-GCM e AES-128-CCM. Utilizza i client SMB 3.x attuali per accedere alle condivisioni file Azure in modo sicuro tra le regioni e dai sistemi operativi desktop supportati.
Crittografia VPN
È possibile connettersi ad Azure tramite una rete privata virtuale che crea un tunnel sicuro per proteggere la privacy dei dati inviati attraverso la rete.
Gateway VPN di Azure
Il gateway VPN di Azure invia traffico crittografato tra la rete virtuale e la posizione locale attraverso una connessione pubblica o tra reti virtuali. Le VPN da sito a sito usano IPsec per la crittografia del trasporto.
VPN da punto a sito
Le VPN point-to-site permettono ai singoli computer client di accedere a una rete virtuale Azure. La VPN point-to-site può utilizzare OpenVPN, Secure Socket Tunneling Protocol (SSTP) o IKEv2, a seconda del client e della configurazione di autenticazione. Per maggiori informazioni, vedi Informazioni sulla VPN Point-to-Site.
VPN da sito a sito
Una connessione gateway VPN da sito a sito connette la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE. Per altre informazioni, vedere Creare una connessione da sito a sito.
Gestione delle chiavi con Key Vault
La crittografia dipende da una corretta protezione e gestione delle chiavi. Azure offre diverse soluzioni di gestione delle chiavi, tra cui Azure Key Vault, modulo di protezione hardware gestito di Azure Key Vault, modulo di protezione hardware cloud di Azure e modulo di protezione hardware di pagamento di Azure.
Key Vault rimuove la necessità di configurare, applicare patch e gestire moduli di protezione hardware e software di gestione delle chiavi. Utilizzando Key Vault, mantieni il controllo - le applicazioni non hanno accesso diretto alle tue chiavi. È possibile anche importare o generare chiavi nei moduli di protezione hardware. Per le più forti garanzie di isolamento delle chiavi, Azure Key Vault Managed HSM offre un dominio di sicurezza di proprietà del cliente in cui Microsoft non ha accesso al materiale delle chiavi.
Per altre informazioni sulla gestione delle chiavi in Azure, vedere Gestione delle chiavi in Azure.
Passaggi successivi
- Panoramica della sicurezza Azure.
- Panoramica della sicurezza di rete Azure.
- Panoramica della sicurezza del database Azure.
- Panoramica della sicurezza delle macchine virtuali Azure.
- Crittografia dei dati a riposo.
- Migliori pratiche per la sicurezza dei dati e la crittografia.
- Gestione delle chiavi in Azure.