Procedure consigliate per la crittografia e la sicurezza dei dati di Azure

  • Articolo

Questo articolo descrive le procedure consigliate per la sicurezza e la crittografia dei dati.

Le procedure consigliate si basano su opinioni concordanti e funzionino con le caratteristiche e le capacità correnti della piattaforma Azure. Le opinioni e le tecnologie cambiano nel tempo e questo articolo viene aggiornato regolarmente per riflettere tali modifiche.

Proteggere i dati

Per facilitare la protezione dei dati nel cloud, tenere conto dei possibili stati in cui possono trovarsi i dati e dei controlli disponibili per tale stato. Le procedure consigliate per la crittografia e la protezione dei dati di Azure sono correlate agli stati seguenti dei dati:

  • Inattivi: sono inclusi tutti gli oggetti di archiviazione, i contenitori e i tipi di informazioni, esistenti in forma statica su supporti fisici, siano essi dischi magnetici o dischi ottici.
  • In transito: quando vengono trasferiti tra componenti, posizioni o programmi, i dati vengono considerati in transito. Esempi di questo stato sono il trasferimento in rete, attraverso un bus di servizio, da locale a cloud e viceversa e incluse le connessioni ibride come ExpressRoute, o durante un processo di input/output.
  • In Uso: durante l'elaborazione dei dati, le macchine virtuali di calcolo confidential basate su AMD e Intel specializzate mantengono i dati crittografati in memoria usando chiavi gestite dall'hardware.

Scegliere una soluzione di gestione delle chiavi

La protezione delle chiavi è essenziale per proteggere i dati nel cloud.

Azure Key Vault consente di proteggere le chiavi e i segreti di crittografia usati da servizi e applicazioni cloud. Questo servizio semplifica il processo di gestione delle chiavi e consente di mantenere il controllo delle chiavi che accedono ai dati e ne eseguono la crittografia. Gli sviluppatori possono creare chiavi per lo sviluppo e il test in pochi minuti ed eseguirne facilmente la migrazione in chiavi di produzione. Gli amministratori della sicurezza possono concedere (e revocare) le autorizzazioni relative alle chiavi, in base alle esigenze.

Key Vault consente di creare più contenitori sicuri denominati insiemi di credenziali. Questi insiemi di credenziali sono supportati da moduli di protezione hardware. Gli insiemi di credenziali consentono di ridurre le probabilità di perdita accidentale di informazioni di sicurezza centralizzando l'archiviazione dei segreti delle applicazioni. Gli insiemi di credenziali delle chiavi controllano e registrano anche l'accesso a tutti gli elementi archiviati al loro interno. Azure Key Vault può gestire la richiesta e il rinnovo dei certificati TLS (Transport Layer Security). Fornisce funzionalità che creano una solida soluzione per la gestione del ciclo di vita dei certificati.

Azure Key Vault è progettato per supportare chiavi e segreti delle applicazioni. Key Vault non è progettato come archivio per le password utente.

Di seguito vengono indicate le procedure consigliate per l'uso di Key Vault.

Procedura consigliata: concedere l'accesso a utenti, gruppi e applicazioni in un ambito specifico. Dettagli: usare i ruoli predefiniti del controllo degli accessi in base al ruolo di Azure. Per concedere, ad esempio, l'accesso a un utente in modo che possa gestire gli insiemi di credenziali delle chiavi, si assegna all'utente il ruolo predefinito Collaboratore di Key Vault in un ambito specifico. In questo caso, l'ambito può essere una sottoscrizione, un gruppo di risorse o semplicemente uno specifico insieme di credenziali delle chiavi. Se i ruoli predefiniti non soddisfano esigenze specifiche, è possibile definire ruoli personalizzati.

Procedura consigliata: controllare ciò a cui gli utenti hanno accesso. Dettagli: l'accesso a un insieme di credenziali delle chiavi è controllato tramite due interfacce separate: piano di gestione e piano dati. I controlli di accesso al piano di gestione e al piano dati funzionano in maniera indipendente.

Usare il controllo degli accessi in base al ruolo di Azure per verificare ciò a cui gli utenti hanno accesso. Se ad esempio si vuole consentire a un'applicazione l'uso delle chiavi di un insieme di credenziali delle chiavi, è sufficiente concedere autorizzazioni di accesso al piano dati usando criteri di accesso all'insieme di credenziali delle chiavi. Per questa applicazione non sono necessarie autorizzazioni di accesso al piano di gestione. Se, al contrario, si vuole che un utente sia in grado di leggere i tag e le proprietà dell'insieme di credenziali, senza avere accesso a chiavi, segreti o certificati, è possibile concedere l'accesso in lettura usando il controllo degli accessi in base al ruolo di Azure e non sono necessarie autorizzazioni di accesso al piano dati.

Procedura consigliata: archiviare i certificati nell'insieme di credenziali delle chiavi. I certificati sono preziosi. Se finiscono nelle mani sbagliate, la sicurezza dell'applicazione o dei dati può essere compromessa. Dettagli: Azure Resource Manager può distribuire in modo sicuro i certificati archiviati in Azure Key Vault quando vengono distribuite le macchine virtuali. Impostando criteri di accesso appropriati per l'insieme di credenziali delle chiavi, è possibile anche controllare chi ottiene l'accesso al certificato. Un altro vantaggio è dato dalla possibilità di gestire tutti i certificati da un unico punto in Azure Key Vault. Per altre informazioni, vedere il blog relativo alla distribuzione di certificati nelle macchine virtuali dall'insieme di credenziali delle chiavi gestito dal cliente.

Procedura consigliata: assicurarsi che sia possibile ripristinare un'eliminazione di insiemi di credenziali delle chiavi o di oggetti al loro interno. Dettagli: l'eliminazione di insiemi di credenziali delle chiavi o di oggetti al loro interno può essere un'attività accidentale o intenzionale. Abilitare le funzionalità di eliminazione temporanea e di protezione dall'eliminazione nell'insieme di credenziali delle chiavi, in particolare per le chiavi usate per crittografare i dati inattivi. Poiché l'eliminazione di queste chiavi equivarrebbe a una perdita dei dati, è possibile recuperare, se necessario, gli insiemi di credenziali e gli oggetti al loro interno eliminati. Esercitarsi a svolgere operazioni di ripristino degli insiemi di credenziali delle chiavi a intervalli regolari.

Nota

Se un utente dispone di autorizzazioni di collaboratore (Controllo degli accessi in base al ruolo di Azure) a un piano di gestione dell'insieme di credenziali delle chiavi, può concedere loro l'accesso al piano dati impostando un criterio di accesso all'insieme di credenziali delle chiavi. È consigliabile controllare rigorosamente gli utenti che dispongono dei diritti di accesso di collaboratore all'insieme di credenziali delle chiavi per avere la sicurezza che solo le persone autorizzate possano accedere e gestire insiemi di credenziali delle chiavi, chiavi, segreti e certificati.

Gestire con workstation sicure

Nota

L'amministratore o il proprietario della sottoscrizione deve usare una workstation con accesso protetto o una workstation con accesso con privilegi.

Poiché la maggior parte degli attacchi prende di mira l'utente finale, l'endpoint diventa uno dei principali punti di attacco. Un utente malintenzionato che compromette l'endpoint può usare le credenziali dell'utente per accedere ai dati dell'organizzazione. Nella maggior parte dei casi, gli attacchi agli endpoint sfruttano il fatto che gli utenti finali sono amministratori delle workstation locali.

Procedura consigliata: usare una workstation di gestione sicura per proteggere gli account, le attività e i dati sensibili. Dettagli: usare una workstation con accesso con privilegi per ridurre la superficie di attacco nelle workstation. Queste workstation di gestione sicure consentono di contenere alcuni di questi attacchi e contribuiscono a proteggere i dati.

Procedura consigliata: assicurare la protezione di endpoint. Dettagli: applicare criteri di sicurezza in tutti i dispositivi che consentono di utilizzare i dati, indipendentemente dal fatto che i dati si trovino nel cloud o in locale.

Proteggere i dati inattivi

La crittografia dei dati inattivi è un passaggio obbligatorio per assicurare la privacy, la conformità e la sovranità dei dati.

Procedura consigliata: applicare la crittografia dischi per migliorare la protezione dei dati. Informazioni: usare Crittografia dischi di Azure per macchine virtuali Linux o Crittografia dischi di Azure per macchine virtuali Windows. Crittografia dischi combina la funzionalità standard di settore dm-crypt di Linux o BitLocker di Windows per fornire la crittografia del volume per i dischi del sistema operativo e dei dati.

Archiviazione di Azure e Database SQL di Azure applicano la crittografia dei dati inattivi per impostazione predefinita e molti servizi offrono la crittografia come opzione. È possibile usare Azure Key Vault per mantenere il controllo delle chiavi che accedono ai dati e ne eseguono crittografia. Per altre informazioni, vedere Supporto per il modello di crittografia dei provider di risorse di Azure.

Procedura consigliata: usare la crittografia per ridurre i rischi correlati all'accesso non autorizzato ai dati. Dettagli: crittografare le unità prima di scrivere dati sensibili.

Le organizzazioni che non applicano la crittografia dei dati sono più esposte a problemi di riservatezza dei dati. Utenti non autorizzati, ad esempio, potrebbero rubare dati negli account compromessi o ottenere l'accesso non autorizzato ai dati codificati in ClearFormat. Le aziende devono anche dimostrare di operare in modo conforme e di implementare i controlli di sicurezza appropriati per aumentare la sicurezza dei dati e per rispettare normative di settore.

Proteggere i dati in transito

La protezione dei dati in transito deve essere una parte essenziale della strategia di protezione dei dati. Poiché i dati si spostano avanti indietro tra più posizioni, in genere è consigliabile usare sempre i protocolli SSL/TLS per scambiare dati tra posizioni diverse. In alcune circostanze, potrebbe essere necessario isolare l'intero canale di comunicazione tra l'infrastruttura locale e quella cloud usando una VPN.

Per lo spostamento dei dati tra l'infrastruttura locale e Azure, è opportuno considerare le misure di protezione appropriate, ad esempio HTTPS o VPN. Per inviare traffico crittografato tra una rete virtuale di Azure e una posizione locale sulla rete Internet pubblica, usare Gateway VPN di Azure.

Di seguito sono indicate le procedure consigliate specifiche per l'uso di Gateway VPN di Azure, HTTPS e SSL/TLS.

Procedura consigliata: proteggere l'accesso da più workstation dislocate localmente in una rete virtuale di Azure. Dettagli: usare una VPN da sito a sito.

Procedura consigliata: proteggere l'accesso da una singola workstation dislocata localmente a una rete virtuale di Azure. Dettagli: usare una VPN da punto a sito.

Procedura consigliata: spostare i set di dati più grandi tramite un collegamento WAN ad alta velocità dedicato. Dettagli: usare ExpressRoute. Se si decide di usare ExpressRoute, è possibile anche crittografare i dati a livello di applicazione usando SSL/TLS o altri protocolli per una maggiore protezione.

Procedura consigliata: interagire con Archiviazione di Azure tramite il portale di Azure. Dettagli: tutte le transazioni avvengono via HTTPS. È anche possibile usare l'API REST di Archiviazione su HTTPS per interagire con Archiviazione di Azure.

Le organizzazioni che non riescono a proteggere i dati in transito sono più vulnerabili agli attacchi di tipo man-in-the-middle, eavesdropping e hijack della sessione. Questi attacchi possono essere il primo passo per ottenere l'accesso ai dati riservati.

Proteggere i dati in uso

Ridurre la necessità di considerare attendibili i carichi di lavoro in esecuzione nel cloud richiede attendibilità. Si considerano attendibili i vari provider che rendono disponibili i diversi componenti dell'applicazione.

  • Fornitori di software app: considerare attendibile il software distribuendo in locale, usando open source o creando software applicativo interno.
  • Fornitori di hardware: considerare attendibile l'hardware usando hardware locale o hardware interno.
  • Provider di infrastruttura: considerare attendibili i provider di servizi cloud o gestire i propri data center locali.

La riduzione della superficie di attacco La TCB (Trusted Computing Base) si riferisce a tutti i componenti hardware, firmware e software di un sistema che forniscono un ambiente sicuro. I componenti all'interno del TCB sono considerati "critici". Se un componente all'interno del TCB viene compromesso, la sicurezza dell'intero sistema potrebbe essere compromessa. Una quantità di componenti TCB più bassa implica una maggiore sicurezza. Implica infatti un rischio di esposizione minore a varie vulnerabilità, malware, attacchi e utenti malintenzionati.

Il confidential computing di Azure consente di:

  • Impedire l'accesso non autorizzato: eseguire dati sensibili nel cloud. Azure offre la migliore protezione possibile per i dati, senza la necessità di cambiare completamente le attuali procedure.
  • Soddisfare la conformità alle normative: eseguire la migrazione al cloud e mantenere il controllo completo dei dati per soddisfare le normative governative per proteggere le informazioni personali e proteggere l'IP aziendale.
  • Garantire una collaborazione sicura e non attendibile: affrontare i problemi su larga scala del settore combando i dati tra organizzazioni, anche concorrenti, per sbloccare analisi dei dati generali e approfondimenti più approfonditi.
  • Isolare l'elaborazione: offrire una nuova ondata di prodotti che rimuovono la responsabilità sui dati privati con elaborazione cieca. I dati degli utenti non possono essere recuperati neanche dal provider di servizi.

Altre informazioni sul confidential computing.

Proteggere la posta elettronica, i documenti e i dati sensibili

È opportuno controllare e proteggere i messaggi di posta elettronica, i documenti e i dati sensibili che si condividono con entità esterne all'azienda. Azure Information Protection è una soluzione basata su cloud che consente a un'organizzazione di classificare, etichettare e proteggere i propri documenti e messaggi di posta elettronica. Questa operazione può essere eseguita automaticamente dagli amministratori che definiscono le regole e le condizioni, manualmente dagli utenti o in un sistema misto in cui gli utenti ricevono delle raccomandazioni.

La classificazione è sempre identificabile, indipendentemente dalla posizione in cui vengono archiviati i dati o dalle persone con cui sono condivisi. Le etichette includono contrassegni visivi, ad esempio un'intestazione, un piè di pagina o una filigrana. I metadati vengono aggiunti ai file e alle intestazioni dei messaggio di posta elettronica sotto forma di testo non crittografato. Il testo non crittografato assicura che gli altri servizi, ad esempio le soluzioni per evitare la perdita di dati, possano identificare la classificazione e intraprendere l'azione appropriata.

La tecnologia di protezione usa Azure Rights Management (Azure RMS). Questa tecnologia è integrata in altri servizi e applicazioni cloud Microsoft, ad esempio Microsoft 365 e Microsoft Entra ID. Questa tecnologia di protezione usa criteri di crittografia, identità e autorizzazione. La protezione applicata tramite Azure RMS vale per i documenti e i messaggi di posta elettronica, indipendentemente dalla posizione, all'interno o all'esterno dell'organizzazione, delle reti, dei server di file e delle applicazioni.

Questa soluzione di protezione delle informazioni favorisce il controllo dei dati, anche quando sono condivisi con altri utenti. È anche possibile usare Azure RMS con le proprie applicazioni line-of-business e soluzioni di protezione delle informazioni di altri fornitori software, sia che queste applicazioni e soluzioni siano ospitate in locale o nel cloud.

È consigliabile:

  • Distribuire Azure Information Protection nell'organizzazione.
  • Applicare etichette che rispecchino i requisiti aziendali. Ad esempio: applicare un'etichetta denominata "Strettamente confidenziale" a tutti i documenti e i messaggi di posta elettronica che contengono dati top secret che necessitano di essere classificati e protetti. Solo gli utenti autorizzati potranno quindi accedere a questi dati, con le eventuali restrizioni specificate dall'utente.
  • Configurare la registrazione e l'analisi dell'utilizzo del servizio Azure RMS in modo da monitorare come l'organizzazione usa il servizio di protezione.

Le organizzazioni che sono carenti a livello di classificazione dei dati e di protezione dei file potrebbero essere più soggette alla perdita di dati o a un loro utilizzo improprio. Con un'adeguata protezione dei file, è possibile analizzare i flussi di dati per ottenere informazioni dettagliate sulle attività aziendali, rilevare comportamenti a rischio e adottare misure correttive, tenere traccia dell'accesso ai documenti e così via.

Passaggi successivi

Per altre procedure di sicurezza consigliate da usare nella progettazione, distribuzione e gestione di soluzioni cloud tramite Azure, vedere Procedure consigliate e modelli per la sicurezza di Azure.

Le risorse seguenti offrono altre informazioni più generali sulla sicurezza di Azure e sui servizi Microsoft correlati: