Panoramica sulla sicurezza di Archiviazione di AzureAzure storage security overview

Archiviazione di Azure è la soluzione di archiviazione cloud per le applicazioni moderne basate su durata, disponibilità e scalabilità per soddisfare le esigenze dei clienti.Azure Storage is the cloud storage solution for modern applications that rely on durability, availability, and scalability to meet the needs of their customers. Archiviazione di Azure offre un set completo di funzionalità di sicurezza:Azure Storage provides a comprehensive set of security capabilities:

  • L'account di archiviazione può essere protetto con il controllo degli accessi in base al ruolo e Azure Active Directory.The storage account can be secured using Role-Based Access Control and Azure Active Directory.
  • È possibile proteggere i dati in transito tra un'applicazione e Azure usando la crittografia lato client, HTTPS o SMB 3.0.Data can be secured in transit between an application and Azure by using Client-Side Encryption, HTTPS, or SMB 3.0.
  • I dati possono essere impostati per la crittografia automatica quando vengono scritti in Archiviazione di Azure con Crittografia del servizio di archiviazione di Azure.Data can be set to be automatically encrypted when written to Azure Storage using Storage Service Encryption.
  • I dischi di dati e del sistema operativo usati dalle macchine virtuali possono essere impostati per la crittografia con Crittografia dischi di Azure.OS and Data disks used by virtual machines can be set to be encrypted using Azure Disk Encryption.
  • È possibile concedere l'accesso delegato agli oggetti dati in Archiviazione di Azure usando le firme di accesso condiviso.Delegated access to the data objects in Azure Storage can be granted using Shared Access Signatures.
  • Il metodo di autenticazione usato da un utente quando accede alla risorsa di archiviazione può essere monitorato con Analisi archiviazione.The authentication method used by someone when they access storage can be tracked using Storage analytics.

Per un'analisi più approfondita della sicurezza in Archiviazione di Azure, vedere la Guida alla sicurezza di Archiviazione di Azure.For a more detailed look at security in Azure Storage, see the Azure Storage security guide. Questa guida offre approfondimenti sulle funzionalità di sicurezza di Archiviazione di Azure, ad esempio chiavi dell'account di archiviazione, crittografia dei dati in transito e inattivi e Analisi archiviazione.This guide provides a deep dive into the security features of Azure Storage such as storage account keys, data encryption in transit and at rest, and storage analytics.

Questo articolo offre informazioni generali sulle funzionalità di sicurezza di Azure che possono essere usate con Archiviazione di Azure.This article provides an overview of Azure security features that can be used with Azure Storage. Per altre informazioni sono disponibili collegamenti ad articoli di approfondimento su ogni funzionalità.Links are provided to articles that give details of each feature so you can learn more.

Qui di seguito sono elencati gli argomenti trattati in questo articolo:Here are the core features to be covered in this article:

  • Controllo degli accessi in base al ruoloRole-Based Access Control
  • Accesso delegato agli oggetti di archiviazioneDelegated access to storage objects
  • Crittografia in transitoEncryption in transit
  • Crittografia di dati inattivi/Crittografia del servizio di archiviazioneEncryption at rest/Storage Service Encryption
  • Azure Disk EncryptionAzure Disk Encryption
  • Insieme di credenziali chiave AzureAzure Key Vault

Controllo degli accessi in base al ruoloRole-Based Access Control (RBAC)

È possibile proteggere l'account di archiviazione con il controllo degli accessi in base al ruolo.You can secure your storage account with Role-Based Access Control (RBAC). Per le organizzazioni che intendono applicare criteri di sicurezza per l'accesso ai dati è fondamentale limitare l'accesso in base a principi di riservatezza e privilegi minimi.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce security policies for data access. Questi diritti di accesso vengono concessi assegnando il ruolo di controllo degli accessi appropriato a gruppi e applicazioni in un ambito specifico.These access rights are granted by assigning the appropriate RBAC role to groups and applications at a certain scope. È possibile usare i ruoli predefiniti del controllo degli accessi in base al ruolo, ad esempio Collaboratore Account di archiviazione, per assegnare privilegi agli utenti.You can use built-in RBAC roles, such as Storage Account Contributor, to assign privileges to users.

Altre informazioni:Learn more:

Accesso delegato agli oggetti di archiviazioneDelegated access to storage objects

Una firma di accesso condiviso (SAS) fornisce accesso delegato alle risorse nell'account di archiviazione.A shared access signature (SAS) provides delegated access to resources in your storage account. Questa firma di accesso condiviso significa che è possibile concedere a un client autorizzazioni limitate per BLOB, code o tabelle per un periodo di tempo specificato e con un set di autorizzazioni.The SAS means that you can grant a client limited permissions to objects in your storage account for a specified period of time and with a specified set of permissions. È possibile concedere queste autorizzazioni limitate senza la necessità di condividere le chiavi di accesso all'account.You can grant these limited permissions without having to share your account access keys. La firma di accesso condiviso è un URI che racchiude nei parametri di query tutte le informazioni necessarie per l'accesso autenticato a una risorsa di archiviazione.The SAS is a URI that encompasses in its query parameters all the information necessary for authenticated access to a storage resource. Per accedere alle risorse di archiviazione con la firma di accesso condiviso, il client deve solo passare la firma al costruttore o al metodo appropriato.To access storage resources with the SAS, the client only needs to provide the SAS to the appropriate constructor or method.

Altre informazioni:Learn more:

Crittografia in transitoEncryption in transit

La crittografia in transito è un meccanismo di protezione dei dati durante la trasmissione tra le reti.Encryption in transit is a mechanism of protecting data when it is transmitted across networks. Con Archiviazione di Azure è possibile proteggere i dati con:With Azure Storage you can secure data using:

  • Crittografia a livello di trasporto, ad esempio HTTPS quando si trasferiscono dati all'interno o all'esterno di Archiviazione di Azure.Transport-level encryption, such as HTTPS when you transfer data into or out of Azure Storage.
  • Crittografia di rete, ad esempio la crittografia SMB 3.0 per le condivisioni file di Azure.Wire encryption, such as SMB 3.0 encryption for Azure File shares.
  • Crittografia lato client, per crittografare i dati prima che siano trasferiti nella risorsa di archiviazione e decrittografarli dopo il trasferimento dalla risorsa di archiviazione.Client-side encryption, to encrypt the data before it is transferred into storage and to decrypt the data after it is transferred out of storage.

Altre informazioni sulla crittografia lato client:Learn more about client-side encryption:

Crittografia di dati inattiviEncryption at rest

Per molte organizzazioni, la crittografia dei dati inattivi è un passaggio obbligatorio per assicurare la privacy dei dati, la conformità e la sovranità dei dati.For many organizations, data encryption at rest is a mandatory step towards data privacy, compliance, and data sovereignty. Esistono tre funzionalità di Azure che consentono di crittografare dati inattivi:There are three Azure features that provide encryption of data that is “at rest”:

Altre informazioni su Crittografia del servizio di archiviazione:Learn more about Storage Service Encryption:

Azure Disk EncryptionAzure Disk Encryption

Crittografia dischi di Azure per le macchine virtuali consente di soddisfare i requisiti di conformità e sicurezza dell'organizzazione, grazie alla possibilità di crittografare i dischi delle macchine virtuali, inclusi i dischi di avvio e di dati, con chiavi e criteri gestiti in Insieme di credenziali delle chiavi di Azure.Azure Disk Encryption for virtual machines (VMs) helps you address organizational security and compliance requirements by encrypting your VM disks (including boot and data disks) with keys and policies you control in Azure Key Vault.

Crittografia dischi per le macchine virtuali funziona con sistemi operativi sia Linux, sia Windows.Disk Encryption for VMs works for Linux and Windows operating systems. Usa l'insieme di credenziali delle chiavi per proteggere, gestire e controllare l'uso delle chiavi di crittografia dei dischi.It also uses Key Vault to help you safeguard, manage, and audit use of your disk encryption keys. Tutti i dati nei dischi delle macchine virtuali vengono crittografati mentre sono inattivi, usando una tecnologia di crittografia standard del settore negli account di archiviazione di Azure.All the data in your VM disks is encrypted at rest by using industry-standard encryption technology in your Azure Storage accounts. La soluzione Crittografia dischi per Windows è basata su Crittografia unità BitLocker di Microsoft e la soluzione Linux è basata su dm-crypt.The Disk Encryption solution for Windows is based on Microsoft BitLocker Drive Encryption, and the Linux solution is based on dm-crypt.

Altre informazioni:Learn more:

Insieme di credenziali chiave AzureAzure Key Vault

Crittografia dischi di Azure usa Insieme di credenziali delle chiavi di Azure per facilitare il controllo e la gestione delle chiavi di crittografia dei dischi e dei segreti nella sottoscrizione dell'insieme di credenziali delle chiavi, assicurando al tempo stesso che tutti i dati nei dischi delle macchine virtuali siano crittografati quando inattivi in Archiviazione di Azure.Azure Disk Encryption uses Azure Key Vault to help you control and manage disk encryption keys and secrets in your key vault subscription, while ensuring that all data in the virtual machine disks are encrypted at rest in your Azure Storage. È opportuno usare l'insieme di credenziali delle chiavi per controllare le chiavi e l'utilizzo di criteri.You should use Key Vault to audit keys and policy usage.

Altre informazioni:Learn more: