Panoramica della sicurezza di Archiviazione di AzureAzure Storage security overview

Archiviazione di Azure è la soluzione di archiviazione cloud per le applicazioni moderne basate su durata, disponibilità e scalabilità per soddisfare le esigenze dei clienti.Azure Storage is the cloud storage solution for modern applications that rely on durability, availability, and scalability to meet the needs of their customers. Archiviazione di Azure offre un set completo di funzionalità di sicurezza.Azure Storage provides a comprehensive set of security capabilities. È possibile:You can:

  • Proteggere l'account di archiviazione con il controllo degli accessi in base al ruolo (RBAC) e Azure Active Directory.Secure the storage account by using Role-Based Access Control (RBAC) and Azure Active Directory.
  • Proteggere i dati in transito tra un'applicazione e Azure usando la crittografia lato client, HTTPS o SMB 3.0.Secure data in transit between an application and Azure by using client-side encryption, HTTPS, or SMB 3.0.
  • Impostare i dati per la crittografia automatica quando vengono scritti in Archiviazione di Azure con la crittografia del servizio di archiviazione di Azure.Set data to be automatically encrypted when it's written to Azure Storage by using Storage Service Encryption.
  • Impostare i dischi dei dati e del sistema operativo usati dalle macchine virtuali (VM) per la crittografia con Crittografia dischi di Azure.Set OS and data disks used by virtual machines (VMs) to be encrypted by using Azure Disk Encryption.
  • Concedere l'accesso delegato agli oggetti dati nell'archiviazione di Azure usando le firme di accesso condiviso (SAS).Grant delegated access to the data objects in Azure Storage by using shared access signatures (SASs).
  • Usare l'analisi per rilevare il metodo di autenticazione usato da un utente durante l'accesso ad Archiviazione di Azure.Use analytics to track the authentication method that someone is using when they access Storage.

Per un'analisi più approfondita della sicurezza in Archiviazione di Azure, vedere la Guida alla sicurezza di Archiviazione di Azure.For a more detailed look at security in Azure Storage, see the Azure Storage security guide. Questa guida fornisce un approfondimento sulle funzionalità di sicurezza dell'Archiviazione di Azure.This guide provides a deep dive into the security features of Azure Storage. Queste funzionalità includono chiavi di account di archiviazione, la crittografia dei dati in transito e inattivi e analisi di archiviazione.These features include storage account keys, data encryption in transit and at rest, and storage analytics.

Questo articolo fornisce informazioni generali sulle funzionalità di sicurezza di Azure che possono essere usate con Archiviazione di Azure.This article provides an overview of Azure security features that you can use with Azure Storage. I collegamenti agli articoli forniscono informazioni dettagliate su ogni funzionalità.Links to articles give details of each feature so you can learn more.

Controllo degli accessi in base al ruoloRole-Based Access Control

È possibile proteggere l'account di archiviazione con il controllo degli accessi in base al ruolo.You can help secure your storage account by using Role-Based Access Control. Per le organizzazioni che intendono applicare criteri di sicurezza per l'accesso ai dati è fondamentale limitare l'accesso in base a principi di riservatezza e privilegi minimi.Restricting access based on the need to know and least privilege security principles is imperative for organizations that want to enforce security policies for data access. Questi diritti di accesso vengono concessi assegnando il ruolo di controllo degli accessi appropriato a gruppi e applicazioni in un ambito specifico.These access rights are granted by assigning the appropriate RBAC role to groups and applications at a certain scope. È possibile usare i ruoli predefiniti del controllo degli accessi in base al ruolo, ad esempio Collaboratore Account di archiviazione, per assegnare privilegi agli utenti.You can use built-in RBAC roles, such as Storage Account Contributor, to assign privileges to users.

Altre informazioni:Learn more:

Accesso delegato agli oggetti di archiviazioneDelegated access to storage objects

Una firma di accesso condiviso fornisce accesso delegato controllato alle risorse dell'account di archiviazione.A shared access signature provides delegated access to resources in your storage account. La firma di accesso condiviso consente di concedere a un client autorizzazioni limitate per gli oggetti nell'account di archiviazione per un periodo di tempo e con un set di autorizzazioni specificati.The SAS means that you can grant a client limited permissions to objects in your storage account for a specified period and with a specified set of permissions. È possibile concedere queste autorizzazioni limitate senza la necessità di condividere le chiavi di accesso all'account.You can grant these limited permissions without having to share your account access keys.

La firma di accesso condiviso è un URI che racchiude nei parametri di query tutte le informazioni necessarie per l'accesso autenticato a una risorsa di archiviazione.The SAS is a URI that encompasses in its query parameters all the information necessary for authenticated access to a storage resource. Per accedere alle risorse di archiviazione con la firma di accesso condiviso, il client deve solo passare la firma al costruttore o al metodo appropriato.To access storage resources with the SAS, the client only needs to provide the SAS to the appropriate constructor or method.

Altre informazioni:Learn more:

Crittografia in transitoEncryption in transit

La crittografia in transito è un meccanismo di protezione dei dati durante la trasmissione tra le reti.Encryption in transit is a mechanism of protecting data when it's transmitted across networks. Con Archiviazione di Azure è possibile proteggere i dati con:With Azure Storage, you can secure data by using:

  • Crittografia a livello di trasporto, ad esempio HTTPS quando si trasferiscono dati all'interno o all'esterno di Archiviazione di Azure.Transport-level encryption, such as HTTPS, when you transfer data into or out of Azure Storage.
  • Crittografia di rete, ad esempio la crittografia SMB 3.0 per le condivisioni file di Azure.Wire encryption, such as SMB 3.0 encryption, for Azure file shares.
  • Crittografia lato client, per crittografare i dati prima che siano trasferiti nella risorsa di archiviazione e decrittografarli dopo il trasferimento dalla risorsa di archiviazione.Client-side encryption, to encrypt the data before it's transferred into Storage and to decrypt the data after it is transferred out of Storage.

Altre informazioni sulla crittografia lato client:Learn more about client-side encryption:

Crittografia di dati inattiviEncryption at rest

Per molte organizzazioni, la crittografia dei dati inattivi è un passaggio obbligatorio per assicurare la privacy dei dati, la conformità e la sovranità dei dati.For many organizations, data encryption at rest is a mandatory step toward data privacy, compliance, and data sovereignty. Tre funzionalità di Azure consentono di crittografare dati inattivi:Three Azure features provide encryption of data that's at rest:

Altre informazioni su Crittografia del servizio di archiviazione:Learn more about Storage Service Encryption:

Azure Disk EncryptionAzure Disk Encryption

Crittografia dischi di Azure per le macchine virtuali consente di soddisfare i requisiti di sicurezza e conformità dell'organizzazione.Azure Disk Encryption for virtual machines helps you address organizational security and compliance requirements. Esegue la crittografia dei dischi delle macchine virtuali, inclusi i dischi di avvio e di dati, tramite chiavi e criteri che è possibile controllare in Azure Key Vault.It encrypts your VM disks (including boot and data disks) by using keys and policies that you control in Azure Key Vault.

Crittografia dischi per le macchine virtuali funziona con sistemi operativi sia Linux, sia Windows.Disk Encryption for VMs works for Linux and Windows operating systems. Usa l'insieme di credenziali delle chiavi per proteggere, gestire e controllare l'uso delle chiavi di crittografia dei dischi.It also uses Key Vault to help you safeguard, manage, and audit use of your disk encryption keys. Tutti i dati nei dischi delle macchine virtuali vengono crittografati mentre sono inattivi, usando una tecnologia di crittografia standard del settore negli account di archiviazione di Azure.All the data in your VM disks is encrypted at rest by using industry-standard encryption technology in your Azure storage accounts. La soluzione Crittografia dischi per Windows è basata su Crittografia unità BitLocker di Microsoft e la soluzione Linux è basata su dm-crypt.The Disk Encryption solution for Windows is based on Microsoft BitLocker Drive Encryption, and the Linux solution is based on dm-crypt.

Altre informazioni:Learn more:

Azure Key VaultAzure Key Vault

Crittografia dischi di Azure usa Azure Key Vault per semplificare il controllo e la gestione dei segreti e delle chiavi di crittografia dei dischi nella sottoscrizione dell'insieme di credenziali delle chiavi.Azure Disk Encryption uses Azure Key Vault to help you control and manage disk encryption keys and secrets in your key vault subscription. Questa soluzione assicura anche che tutti i dati nei dischi delle macchine virtuali vengano crittografati quando inattivi in Archiviazione di Azure.It also ensures that all data in the virtual machine disks are encrypted at rest in Azure Storage. È opportuno usare l'insieme di credenziali delle chiavi per controllare le chiavi e l'utilizzo di criteri.You should use Key Vault to audit keys and policy usage.

Altre informazioni:Learn more: