Procedure consigliate per la crittografia e la sicurezza dei dati di AzureAzure data security and encryption best practices

Questo articolo descrive le procedure consigliate per la sicurezza e la crittografia dei dati.This article describes best practices for data security and encryption.

Le procedure consigliate si basano su opinioni concordanti e funzionino con le caratteristiche e le capacità correnti della piattaforma Azure.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Le opinioni e le tecnologie cambiano nel tempo e questo articolo viene aggiornato regolarmente per riflettere tali modifiche.Opinions and technologies change over time and this article is updated on a regular basis to reflect those changes.

Proteggere i datiProtect data

Per facilitare la protezione dei dati nel cloud, tenere conto dei possibili stati in cui possono trovarsi i dati e dei controlli disponibili per tale stato.To help protect data in the cloud, you need to account for the possible states in which your data can occur, and what controls are available for that state. Le procedure consigliate per la crittografia e la protezione dei dati di Azure sono correlate agli stati seguenti dei dati:Best practices for Azure data security and encryption relate to the following data states:

  • Inattivi: sono inclusi tutti gli oggetti, i contenitori e i tipi di archiviazione di informazioni esistenti in forma statica nei supporti fisici, siano essi dischi magnetici o dischi ottici.At rest: This includes all information storage objects, containers, and types that exist statically on physical media, whether magnetic or optical disk.
  • In transito: quando vengono trasferiti tra componenti, posizioni o programmi, i dati vengono considerati in transito.In transit: When data is being transferred between components, locations, or programs, it’s in transit. Esempi di questo stato sono il trasferimento in rete, attraverso un bus di servizio, da locale a cloud e viceversa e incluse le connessioni ibride come ExpressRoute, o durante un processo di input/output.Examples are transfer over the network, across a service bus (from on-premises to cloud and vice-versa, including hybrid connections such as ExpressRoute), or during an input/output process.

Scegliere una soluzione di gestione delle chiaviChoose a key management solution

La protezione delle chiavi è essenziale per proteggere i dati nel cloud.Protecting your keys is essential to protecting your data in the cloud.

Azure Key Vault consente di proteggere le chiavi e i segreti di crittografia usati da servizi e applicazioni cloud.Azure Key Vault helps safeguard cryptographic keys and secrets that cloud applications and services use. L'insieme di credenziali chiave semplifica il processo di gestione delle chiavi e consente di mantenere il controllo delle chiavi che accedono ai dati e li crittografano.Key Vault streamlines the key management process and enables you to maintain control of keys that access and encrypt your data. Gli sviluppatori possono creare chiavi per lo sviluppo e il test in pochi minuti ed eseguirne facilmente la migrazione alle chiavi di produzione.Developers can create keys for development and testing in minutes, and then migrate them to production keys. Gli amministratori della sicurezza possono concedere (e revocare) le autorizzazioni per chiavi, in base alle esigenze.Security administrators can grant (and revoke) permission to keys, as needed.

Key Vault consente di creare più contenitori sicuri denominati insiemi di credenziali.You can use Key Vault to create multiple secure containers, called vaults. Questi insiemi di credenziali sono supportati da moduli di protezione hardware.These vaults are backed by HSMs. Gli insiemi di credenziali consentono di ridurre le probabilità di perdita accidentale di informazioni di sicurezza centralizzando l'archiviazione dei segreti delle applicazioni.Vaults help reduce the chances of accidental loss of security information by centralizing the storage of application secrets. Gli insiemi di credenziali delle chiavi controllano e registrano anche l'accesso a tutti gli elementi archiviati al loro interno.Key vaults also control and log the access to anything stored in them. Azure Key Vault può gestire la richiesta e il rinnovo dei certificati TLS (Transport Layer Security).Azure Key Vault can handle requesting and renewing Transport Layer Security (TLS) certificates. Fornisce funzionalità che creano una solida soluzione per la gestione del ciclo di vita dei certificati.It provides features for a robust solution for certificate lifecycle management.

Azure Key Vault è progettato per supportare chiavi e segreti delle applicazioni.Azure Key Vault is designed to support application keys and secrets. Key Vault non è progettato come archivio per le password utente.Key Vault is not intended to be a store for user passwords.

Di seguito vengono indicate le procedure consigliate per l'uso di Key Vault.Following are security best practices for using Key Vault.

Procedura consigliata: concedere l'accesso a utenti, gruppi e applicazioni in un ambito specifico.Best practice: Grant access to users, groups, and applications at a specific scope.
Dettagli: usare i ruoli predefiniti per il controllo degli accessi in base al ruolo.Detail: Use RBAC’s predefined roles. Ad esempio, per concedere l'accesso a un utente in modo che possa gestire insiemi di credenziali delle chiavi, si assegna all'utente un ruolo predefinito Collaboratore di Key Vault in un ambito specifico.For example, to grant access to a user to manage key vaults, you would assign the predefined role Key Vault Contributor to this user at a specific scope. In questo caso, l'ambito può essere una sottoscrizione, un gruppo di risorse o semplicemente uno specifico insieme di credenziali delle chiavi.The scope in this case would be a subscription, a resource group, or just a specific key vault. Se i ruoli predefiniti non soddisfano specifiche esigenze, è possibile definire ruoli personalizzati.If the predefined roles don’t fit your needs, you can define your own roles.

Procedura consigliata: verificare ciò a cui gli utenti hanno accesso.Best practice: Control what users have access to.
Dettagli: L'accesso a un insieme di credenziali delle chiavi è controllato tramite due interfacce separate: piano di gestione e piano dati.Detail: Access to a key vault is controlled through two separate interfaces: management plane and data plane. I controlli di accesso al piano di gestione e al piano dati funzionano in maniera indipendente.The management plane and data plane access controls work independently.

Usare il controllo degli accessi in base al ruolo per verificare ciò a cui gli utenti hanno accesso.Use RBAC to control what users have access to. Se ad esempio si vuole consentire a un'applicazione l'uso delle chiavi di un insieme di credenziali delle chiavi, è sufficiente concedere autorizzazioni di accesso al piano dati usando criteri di accesso all'insieme di credenziali delle chiavi. Per questa applicazione non sono necessarie autorizzazioni di accesso al piano di gestione.For example, if you want to grant an application access to use keys in a key vault, you only need to grant data plane access permissions by using key vault access policies, and no management plane access is needed for this application. Al contrario, se si vuole che un utente sia in grado di leggere i tag e le proprietà dell'insieme di credenziali, senza avere accesso a chiavi, segreti o certificati, è possibile concedere l'accesso "read" usando il controllo degli accessi in base al ruolo e non sono necessarie autorizzazioni di accesso al piano dati.Conversely, if you want a user to be able to read vault properties and tags but not have any access to keys, secrets, or certificates, you can grant this user read access by using RBAC, and no access to the data plane is required.

Procedura consigliata: archiviare i certificati nell'insieme di credenziali delle chiavi.Best practice: Store certificates in your key vault. I certificati sono preziosi.Your certificates are of high value. Se finiscono nelle mani sbagliate, la sicurezza dell'applicazione o dei dati può essere compromessa.In the wrong hands, your application's security or the security of your data can be compromised.
Dettagli: Azure Resource Manager può distribuire in modo sicuro i certificati archiviati in Azure Key Vault quando vengono distribuite le macchine virtuali.Detail: Azure Resource Manager can securely deploy certificates stored in Azure Key Vault to Azure VMs when the VMs are deployed. Impostando criteri di accesso appropriati per l'insieme di credenziali delle chiavi, è possibile anche controllare chi ottiene accesso al certificato.By setting appropriate access policies for the key vault, you also control who gets access to your certificate. Un altro vantaggio è rappresentato dal fatto che è possibile gestire tutti i certificati da un unico punto in Azure Key Vault.Another benefit is that you manage all your certificates in one place in Azure Key Vault. Per altre informazioni, vedere il blog relativo alla distribuzione di certificati nelle macchine virtuali dall'insieme di credenziali delle chiavi gestito dal cliente.See Deploy Certificates to VMs from customer-managed Key Vault for more information.

Procedura consigliata: assicurarsi che sia possibile ripristinare un'eliminazione di insiemi di credenziali delle chiavi o di oggetti al loro interno.Best practice: Ensure that you can recover a deletion of key vaults or key vault objects.
Dettagli: l'eliminazione di insiemi di credenziali delle chiavi o di oggetti al loro interno può essere un'attività accidentale o intenzionale.Detail: Deletion of key vaults or key vault objects can be inadvertent or malicious. Abilitare le funzionalità di eliminazione temporanea e di protezione dall'eliminazione nell'insieme di credenziali delle chiavi, in particolare per le chiavi usate per crittografare i dati inattivi.Enable the soft delete and purge protection features of Key Vault, particularly for keys that are used to encrypt data at rest. Poiché l'eliminazione di queste chiavi equivarrebbe a perdere i dati, se necessario, è possibile recuperare gli insiemi di credenziali e gli oggetti al loro interno eliminati.Deletion of these keys is equivalent to data loss, so you can recover deleted vaults and vault objects if needed. Esercitarsi a svolgere operazioni di ripristino degli insiemi di credenziali delle chiavi a intervalli regolari.Practice Key Vault recovery operations on a regular basis.

Nota

Se un utente dispone di autorizzazioni di collaboratore (controllo degli accessi in base al ruolo) per un piano di gestione dell'insieme di credenziali delle chiavi, può concedere a se stesso l'accesso al piano dati impostando i criteri di accesso per l'insieme di credenziali delle chiavi.If a user has contributor permissions (RBAC) to a key vault management plane, they can grant themselves access to the data plane by setting a key vault access policy. È consigliabile controllare rigorosamente gli utenti che dispongono dei diritti di accesso di collaboratore all'insieme di credenziali delle chiavi per avere la sicurezza che solo le persone autorizzate possano accedere e gestire insiemi di credenziali delle chiavi, chiavi, segreti e certificati.We recommend that you tightly control who has contributor access to your key vaults, to ensure that only authorized persons can access and manage your key vaults, keys, secrets, and certificates.

Gestire con workstation sicureManage with secure workstations

Nota

L'amministratore o il proprietario della sottoscrizione deve usare una workstation con accesso protetto o una workstation con accesso con privilegi.The subscription administrator or owner should use a secure access workstation or a privileged access workstation.

Poiché la maggior parte degli attacchi prende di mira l'utente finale, l'endpoint diventa uno dei principali punti di attacco.Because the vast majority of attacks target the end user, the endpoint becomes one of the primary points of attack. Un utente malintenzionato che compromette l'endpoint può usare le credenziali dell'utente per accedere ai dati dell'organizzazione.An attacker who compromises the endpoint can use the user’s credentials to gain access to the organization’s data. Nella maggior parte dei casi, gli attacchi agli endpoint sfruttano il fatto che gli utenti finali sono amministratori delle workstation locali.Most endpoint attacks take advantage of the fact that users are administrators in their local workstations.

Procedura consigliata: usare una workstation di gestione sicura per proteggere gli account, le attività e i dati sensibili.Best practice: Use a secure management workstation to protect sensitive accounts, tasks, and data.
Dettagli: usare una workstation con accesso con privilegi per ridurre la superficie di attacco nelle workstation.Detail: Use a privileged access workstation to reduce the attack surface in workstations. Queste workstation di gestione sicure consentono di contenere alcuni di questi attacchi e contribuiscono a proteggere i dati.These secure management workstations can help you mitigate some of these attacks and ensure that your data is safer.

Procedura consigliata: abilitare Endpoint Protection.Best practice: Ensure endpoint protection.
Dettagli: applicare criteri di sicurezza in tutti i dispositivi che consentono di utilizzare i dati, indipendentemente dal fatto che i dati si trovino nel cloud o in locale.Detail: Enforce security policies across all devices that are used to consume data, regardless of the data location (cloud or on-premises).

Proteggere i dati inattiviProtect data at rest

La crittografia dei dati inattivi è un passaggio obbligatorio per assicurare la privacy, la conformità e la sovranità dei dati.Data encryption at rest is a mandatory step toward data privacy, compliance, and data sovereignty.

Procedura consigliata: applicare la crittografia dischi per migliorare la protezione dei dati.Best practice: Apply disk encryption to help safeguard your data.
Dettagli: usare Crittografia dischi di Azure.Detail: Use Azure Disk Encryption. Consente agli amministratori IT di crittografare i dischi delle macchine virtuali IaaS Windows e Linux.It enables IT administrators to encrypt Windows and Linux IaaS VM disks. Crittografia dischi combina la funzionalità standard di settore BitLocker di Windows e la funzionalità dm-crypt di Linux per fornire la crittografia del volume per i dischi del sistema operativo e dei dati.Disk Encryption combines the industry-standard Windows BitLocker feature and the Linux dm-crypt feature to provide volume encryption for the OS and the data disks.

Archiviazione di Azure e Database SQL di Azure applicano la crittografia dei dati inattivi per impostazione predefinita e molti servizi offrono la crittografia come opzione.Azure Storage and Azure SQL Database encrypt data at rest by default, and many services offer encryption as an option. È possibile usare Azure Key Vault per mantenere il controllo delle chiavi che accedono e ai dati e li crittografano.You can use Azure Key Vault to maintain control of keys that access and encrypt your data. Per altre informazioni, vedere Supporto per il modello di crittografia dei provider di risorse di Azure.See Azure resource providers encryption model support to learn more.

Procedure consigliate: usare la crittografia per ridurre i rischi correlati all'accesso non autorizzato ai dati.Best practices: Use encryption to help mitigate risks related to unauthorized data access.
Dettagli: crittografare le unità prima di scrivere dati sensibili.Detail: Encrypt your drives before you write sensitive data to them.

Le organizzazioni che non applicano la crittografia dei dati sono più esposte a problemi di riservatezza dei dati.Organizations that don’t enforce data encryption are more exposed to data-confidentiality issues. Utenti non autorizzati, ad esempio, potrebbero rubare dati negli account compromessi o ottenere l'accesso non autorizzato ai dati codificati in ClearFormat.For example, unauthorized or rogue users might steal data in compromised accounts or gain unauthorized access to data coded in Clear Format. Le aziende devono anche dimostrare di operare in modo conforme e di implementare i controlli di sicurezza appropriati per aumentare la sicurezza dei dati e per rispettare normative di settore.Companies also must prove that they are diligent and using correct security controls to enhance their data security in order to comply with industry regulations.

Proteggere i dati in transitoProtect data in transit

La protezione dei dati in transito deve essere una parte essenziale della strategia di protezione dati.Protecting data in transit should be an essential part of your data protection strategy. Poiché i dati transitano in modo bidirezionale tra molte posizioni, in generale è consigliabile usare sempre i protocolli SSL/TLS per lo scambio di dati tra posizioni diverse.Because data is moving back and forth from many locations, we generally recommend that you always use SSL/TLS protocols to exchange data across different locations. In alcuni casi è consigliabile isolare l'intero canale di comunicazione tra l'infrastruttura locale e cloud tramite una VPN.In some circumstances, you might want to isolate the entire communication channel between your on-premises and cloud infrastructures by using a VPN.

Per lo spostamento dei dati tra l'infrastruttura locale e Azure, è opportuno considerare le misure di protezione appropriate, ad esempio HTTPS o VPN.For data moving between your on-premises infrastructure and Azure, consider appropriate safeguards such as HTTPS or VPN. Per inviare traffico crittografato tra una rete virtuale di Azure e una posizione locale tramite Internet, usare Gateway VPN di Azure.When sending encrypted traffic between an Azure virtual network and an on-premises location over the public internet, use Azure VPN Gateway.

Di seguito sono indicate le procedure consigliate specifiche per l'uso di Gateway VPN di Azure, HTTPS e SSL/TLS.Following are best practices specific to using Azure VPN Gateway, SSL/TLS, and HTTPS.

Procedura consigliata: proteggere l'accesso da più workstation dislocate localmente in una rete virtuale di Azure.Best practice: Secure access from multiple workstations located on-premises to an Azure virtual network.
Dettagli: usare VPN da sito a sito.Detail: Use site-to-site VPN.

Procedura consigliata: proteggere l'accesso da una singola workstation dislocata localmente a una rete virtuale di Azure.Best practice: Secure access from an individual workstation located on-premises to an Azure virtual network.
Dettagli: usare VPN da punto a sito.Detail: Use point-to-site VPN.

Procedura consigliata: spostare i set di dati più grandi tramite un collegamento WAN ad alta velocità dedicato.Best practice: Move larger data sets over a dedicated high-speed WAN link.
Dettagli: usare ExpressRoute.Detail: Use ExpressRoute. Se si decide di usare ExpressRoute, è possibile anche crittografare i dati a livello di applicazione usando SSL/TLS o altri protocolli per una maggiore protezione.If you choose to use ExpressRoute, you can also encrypt the data at the application level by using SSL/TLS or other protocols for added protection.

Procedura consigliata: interagire con Archiviazione di Azure tramite il portale di Azure.Best practice: Interact with Azure Storage through the Azure portal.
Dettagli: tutte le transazioni avvengono via HTTPS.Detail: All transactions occur via HTTPS. È anche possibile usare l' API REST di archiviazione su HTTPS per interagire con archiviazione di Azure.You can also use Storage REST API over HTTPS to interact with Azure Storage.

Le organizzazioni che non riescono a proteggere i dati in transito sono più vulnerabili agli attacchi man-in-the-middle, eavesdropping e hijack della sessione.Organizations that fail to protect data in transit are more susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. Questi attacchi possono essere il primo passo per ottenere l'accesso ai dati riservati.These attacks can be the first step in gaining access to confidential data.

Proteggere la posta elettronica, i documenti e i dati sensibiliSecure email, documents, and sensitive data

È opportuno controllare e proteggere i messaggi di posta elettronica, i documenti e i dati sensibili che si condividono con entità esterne all'azienda.You want to control and secure email, documents, and sensitive data that you share outside your company. Azure Information Protection è una soluzione basata su cloud che consente a un'organizzazione di classificare, etichettare e proteggere i propri documenti e messaggi di posta elettronica.Azure Information Protection is a cloud-based solution that helps an organization to classify, label, and protect its documents and emails. Questa operazione può essere eseguita automaticamente dagli amministratori che definiscono le regole e le condizioni, manualmente dagli utenti o in un sistema misto in cui gli utenti ricevono delle raccomandazioni.This can be done automatically by administrators who define rules and conditions, manually by users, or a combination where users get recommendations.

La classificazione è sempre identificabile, indipendentemente dalla posizione in cui vengono archiviati i dati o dalle persone con cui sono condivisi.Classification is identifiable at all times, regardless of where the data is stored or with whom it’s shared. Le etichette includono contrassegni visivi, ad esempio un'intestazione, un piè di pagina o una filigrana.The labels include visual markings such as a header, footer, or watermark. I metadati vengono aggiunti ai file e alle intestazioni dei messaggio di posta elettronica sotto forma di testo non crittografato.Metadata is added to files and email headers in clear text. Il testo non crittografato assicura che gli altri servizi, ad esempio le soluzioni per evitare la perdita di dati, possano identificare la classificazione e intraprendere l'azione appropriata.The clear text ensures that other services, such as solutions to prevent data loss, can identify the classification and take appropriate action.

La tecnologia di protezione usa Azure Rights Management (Azure RMS).The protection technology uses Azure Rights Management (Azure RMS). Questa tecnologia si integra con altri servizi e applicazioni cloud Microsoft, ad esempio Office 365 e Azure Active Directory.This technology is integrated with other Microsoft cloud services and applications, such as Office 365 and Azure Active Directory. Questa tecnologia di protezione usa criteri di crittografia, identità e autorizzazione.This protection technology uses encryption, identity, and authorization policies. La protezione applicata tramite Azure RMS vale per i documenti e i messaggi di posta elettronica, indipendentemente dalla posizione, all'interno o all'esterno dell'organizzazione, delle reti, dei server di file e delle applicazioni.Protection that is applied through Azure RMS stays with the documents and emails, independently of the location—inside or outside your organization, networks, file servers, and applications.

Questa soluzione di protezione delle informazioni favorisce il controllo dei dati, anche quando sono condivisi con altri utenti.This information protection solution keeps you in control of your data, even when it’s shared with other people. È anche possibile usare Azure RMS con le proprie applicazioni line-of-business e soluzioni di protezione delle informazioni di altri fornitori software, sia che queste applicazioni e soluzioni siano ospitate in locale o nel cloud.You can also use Azure RMS with your own line-of-business applications and information protection solutions from software vendors, whether these applications and solutions are on-premises or in the cloud.

È consigliabile:We recommend that you:

  • Distribuire Azure Information Protection nell'organizzazione.Deploy Azure Information Protection for your organization.
  • Applicare etichette che rispecchino i requisiti aziendali.Apply labels that reflect your business requirements. Ad esempio: applicare un'etichetta denominata "strettamente confidenziale" a tutti i documenti e i messaggi di posta elettronica che contengono dati top secret che necessitano di essere classificati e protetti.For example: Apply a label named “highly confidential” to all documents and emails that contain top-secret data, to classify and protect this data. Solo gli utenti autorizzati potranno quindi accedere a questi dati, con le eventuali restrizioni specificate dall'utente.Then, only authorized users can access this data, with any restrictions that you specify.
  • Configurare la registrazione e l'analisi dell'utilizzo del servizio Azure RMS in modo da monitorare come l'organizzazione usa il servizio di protezione.Configure usage logging for Azure RMS so that you can monitor how your organization is using the protection service.

Le organizzazioni che sono carenti a livello di classificazione dei dati e di protezione dei file potrebbero essere più soggette alla perdita di dati o a un loro utilizzo improprio.Organizations that are weak on data classification and file protection might be more susceptible to data leakage or data misuse. Con un'adeguata protezione dei file, è possibile analizzare i flussi di dati per ottenere informazioni dettagliate sulle attività aziendali, rilevare comportamenti a rischio e adottare misure correttive, tenere traccia dell'accesso ai documenti e così via.With proper file protection, you can analyze data flows to gain insight into your business, detect risky behaviors and take corrective measures, track access to documents, and so on.

Passaggi successiviNext steps

Per altre procedure consigliate per la sicurezza da usare nella progettazione, la distribuzione e la gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Le risorse seguenti offrono altre informazioni più generali sulla sicurezza di Azure e sui servizi Microsoft correlati:The following resources are available to provide more general information about Azure security and related Microsoft services: