Crittografia del servizio di archiviazione di Azure per dati inattiviAzure Storage encryption for data at rest

Archiviazione di Azure crittografa automaticamente i dati quando vengono salvati in modo permanente nel cloud.Azure Storage automatically encrypts your data when it is persisted to the cloud. La crittografia di archiviazione di Azure protegge i tuoi dati e ti aiuta a soddisfare gli impegni di sicurezza e conformità dell'organizzazione.Azure Storage encryption protects your data and to help you to meet your organizational security and compliance commitments.

Informazioni sulla crittografia di archiviazione di AzureAbout Azure Storage encryption

I dati in archiviazione di Azure vengono crittografati e decrittografati in modo trasparente usando la crittografia AESa 256 bit, una delle crittografie a blocchi più solide disponibili ed è conforme a FIPS 140-2.Data in Azure Storage is encrypted and decrypted transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. La crittografia di archiviazione di Azure è simile alla crittografia BitLocker per Windows.Azure Storage encryption is similar to BitLocker encryption on Windows.

La crittografia di archiviazione di Azure è abilitata per tutti gli account di archiviazione, inclusi Gestione risorse e gli account di archiviazione classici.Azure Storage encryption is enabled for all storage accounts, including both Resource Manager and classic storage accounts. La crittografia di archiviazione di Azure non può essere disabilitata.Azure Storage encryption cannot be disabled. Poiché i dati sono protetti per impostazione predefinita, non è necessario modificare il codice o le applicazioni per sfruttare la crittografia di archiviazione di Azure.Because your data is secured by default, you don't need to modify your code or applications to take advantage of Azure Storage encryption.

I dati in un account di archiviazione vengono crittografati indipendentemente dal livello di prestazioni (standard o Premium), dal livello di accesso (ad accesso frequente o sporadico) o dal modello di distribuzione (Azure Resource Manager o classica).Data in a storage account is encrypted regardless of performance tier (standard or premium), access tier (hot or cool), or deployment model (Azure Resource Manager or classic). Vengono crittografati anche tutti i BLOB nel livello archivio.All blobs in the archive tier are also encrypted. Tutte le opzioni di ridondanza di archiviazione di Azure supportano la crittografia e tutti i dati nelle aree primaria e secondaria vengono crittografati quando la replica geografica è abilitata.All Azure Storage redundancy options support encryption, and all data in both the primary and secondary regions is encrypted when geo-replication is enabled. Tutte le risorse di archiviazione di Azure vengono crittografate, inclusi BLOB, dischi, file, code e tabelle.All Azure Storage resources are encrypted, including blobs, disks, files, queues, and tables. Vengono crittografati anche tutti i metadati degli oggetti.All object metadata is also encrypted. Non sono previsti costi aggiuntivi per la crittografia di archiviazione di Azure.There is no additional cost for Azure Storage encryption.

Ogni BLOB in blocchi, BLOB di accodamento o BLOB di pagine che è stato scritto in archiviazione di Azure dopo il 20 ottobre 2017 è crittografato.Every block blob, append blob, or page blob that was written to Azure Storage after October 20, 2017 is encrypted. I BLOB creati prima di questa data continuano a essere crittografati da un processo in background.Blobs created prior to this date continue to be encrypted by a background process. Per forzare la crittografia di un blob creato prima del 20 ottobre 2017, è possibile riscrivere il BLOB.To force the encryption of a blob that was created before October 20, 2017, you can rewrite the blob. Per informazioni su come controllare lo stato di crittografia di un BLOB, vedere controllare lo stato della crittografia di un BLOB.To learn how to check the encryption status of a blob, see Check the encryption status of a blob.

Per altre informazioni sui moduli di crittografia sottostanti la crittografia di archiviazione di Azure, vedere Cryptography API: Next Generation.For more information about the cryptographic modules underlying Azure Storage encryption, see Cryptography API: Next Generation.

Per informazioni sulla crittografia e la gestione delle chiavi per Azure Managed disks, vedere la pagina relativa alla crittografia lato server di Azure Managed disks per macchine virtuali Windows o la crittografia lato server di Azure Managed disks per macchine virtuali Linux.For information about encryption and key management for Azure managed disks, see Server-side encryption of Azure managed disks for Windows VMs or Server-side encryption of Azure managed disks for Linux VMs.

Informazioni sulla gestione delle chiavi di crittografiaAbout encryption key management

Per impostazione predefinita, i dati in un nuovo account di archiviazione vengono crittografati con chiavi gestite da Microsoft.Data in a new storage account is encrypted with Microsoft-managed keys by default. È possibile continuare a utilizzare le chiavi gestite da Microsoft per la crittografia dei dati oppure è possibile gestire la crittografia con le proprie chiavi.You can continue to rely on Microsoft-managed keys for the encryption of your data, or you can manage encryption with your own keys. Se si sceglie di gestire la crittografia con le proprie chiavi, sono disponibili due opzioni.If you choose to manage encryption with your own keys, you have two options. È possibile utilizzare entrambi i tipi di gestione delle chiavi o entrambi:You can use either type of key management, or both:

  • È possibile specificare una chiave gestita dal cliente da usare per crittografare e decrittografare i dati nell'archivio BLOB e in file di Azure. 1, 2 le chiavi gestite dal cliente devono essere archiviate in Azure Key Vault o Azure Key Vault modello di protezione hardware (HSM) gestito (anteprima).You can specify a customer-managed key to use for encrypting and decrypting data in Blob storage and in Azure Files.1,2 Customer-managed keys must be stored in Azure Key Vault or Azure Key Vault Managed Hardware Security Model (HSM) (preview). Per altre informazioni sulle chiavi gestite dal cliente, vedere usare chiavi gestite dal cliente per la crittografia di archiviazione di Azure.For more information about customer-managed keys, see Use customer-managed keys for Azure Storage encryption.
  • È possibile specificare una chiave fornita dal cliente per le operazioni di archiviazione BLOB.You can specify a customer-provided key on Blob storage operations. Un client che effettua una richiesta di lettura o scrittura sull'archiviazione BLOB può includere una chiave di crittografia sulla richiesta per un controllo granulare sulla modalità di crittografia e decrittografia dei dati BLOB.A client making a read or write request against Blob storage can include an encryption key on the request for granular control over how blob data is encrypted and decrypted. Per altre informazioni sulle chiavi fornite dal cliente, vedere fornire una chiave di crittografia per una richiesta all'archiviazione BLOB.For more information about customer-provided keys, see Provide an encryption key on a request to Blob storage.

La tabella seguente confronta le opzioni di gestione delle chiavi per la crittografia di archiviazione di Azure.The following table compares key management options for Azure Storage encryption.

Parametro di gestione delle chiaviKey management parameter chiavi gestite da MicrosoftMicrosoft-managed keys Chiavi gestite dal clienteCustomer-managed keys Chiavi fornite dal clienteCustomer-provided keys
Operazioni di crittografia/decrittografiaEncryption/decryption operations AzureAzure AzureAzure AzureAzure
Servizi di archiviazione di Azure supportatiAzure Storage services supported TuttiAll Archiviazione BLOB, File di Azure1, 2Blob storage, Azure Files1,2 Archiviazione BLOBBlob storage
Archiviazione chiaviKey storage Archivio chiavi MicrosoftMicrosoft key store Azure Key Vault o Key Vault HSMAzure Key Vault or Key Vault HSM Archivio chiavi personalizzato del clienteCustomer's own key store
Responsabilità della rotazione delle chiaviKey rotation responsibility MicrosoftMicrosoft CustomerCustomer CustomerCustomer
Controllo chiaveKey control MicrosoftMicrosoft CustomerCustomer CustomerCustomer

1 per informazioni sulla creazione di un account che supporta l'uso di chiavi gestite dal cliente con l'archiviazione code, vedere creare un account che supporta chiavi gestite dal cliente per le code.1 For information about creating an account that supports using customer-managed keys with Queue storage, see Create an account that supports customer-managed keys for queues.
2 per informazioni sulla creazione di un account che supporta l'uso di chiavi gestite dal cliente con l'archiviazione tabelle, vedere creare un account che supporta chiavi gestite dal cliente per le tabelle.2 For information about creating an account that supports using customer-managed keys with Table storage, see Create an account that supports customer-managed keys for tables.

Nota

Le chiavi gestite da Microsoft vengono ruotate in modo appropriato in base ai requisiti di conformità.Microsoft-managed keys are rotated appropriately per compliance requirements. Se si dispone di requisiti specifici per la rotazione delle chiavi, Microsoft consiglia di passare alle chiavi gestite dal cliente per poter gestire e controllare la rotazione autonomamente.If you have specific key rotation requirements, Microsoft recommends that you move to customer-managed keys so that you can manage and audit the rotation yourself.

Crittografare doppiamente i dati con la crittografia dell'infrastrutturaDoubly encrypt data with infrastructure encryption

I clienti che richiedono livelli elevati di garanzia che i dati sono sicuri possono anche abilitare la crittografia AES a 256 bit a livello di infrastruttura di archiviazione di Azure.Customers who require high levels of assurance that their data is secure can also enable 256-bit AES encryption at the Azure Storage infrastructure level. Quando è abilitata la crittografia dell'infrastruttura, i dati in un account di archiviazione vengono crittografati due volte — a livello di servizio e una volta a livello di infrastruttura — con due diversi algoritmi di crittografia e due chiavi diverse.When infrastructure encryption is enabled, data in a storage account is encrypted twice — once at the service level and once at the infrastructure level — with two different encryption algorithms and two different keys. La doppia crittografia dei dati di archiviazione di Azure protegge da uno scenario in cui uno degli algoritmi o delle chiavi di crittografia potrebbe essere compromesso.Double encryption of Azure Storage data protects against a scenario where one of the encryption algorithms or keys may be compromised. In questo scenario, il livello di crittografia aggiuntivo continua a proteggere i dati.In this scenario, the additional layer of encryption continues to protect your data.

La crittografia a livello di servizio supporta l'utilizzo di chiavi gestite da Microsoft o chiavi gestite dal cliente con Azure Key Vault.Service-level encryption supports the use of either Microsoft-managed keys or customer-managed keys with Azure Key Vault. La crittografia a livello di infrastruttura si basa su chiavi gestite da Microsoft e usa sempre una chiave separata.Infrastructure-level encryption relies on Microsoft-managed keys and always uses a separate key.

Per altre informazioni su come creare un account di archiviazione che Abilita la crittografia dell'infrastruttura, vedere creare un account di archiviazione con crittografia dell'infrastruttura abilitata per la doppia crittografia dei dati.For more information about how to create a storage account that enables infrastructure encryption, see Create a storage account with infrastructure encryption enabled for double encryption of data.

Ambiti di crittografia per l'archiviazione BLOB (anteprima)Encryption scopes for Blob storage (preview)

Per impostazione predefinita, un account di archiviazione viene crittografato con una chiave con ambito limitato all'account di archiviazione.By default, a storage account is encrypted with a key that is scoped to the storage account. È possibile scegliere di usare chiavi gestite da Microsoft o chiavi gestite dal cliente archiviate in Azure Key Vault per proteggere e controllare l'accesso alla chiave che crittografa i dati.You can choose to use either Microsoft-managed keys or customer-managed keys stored in Azure Key Vault to protect and control access to the key that encrypts your data.

Gli ambiti di crittografia consentono di gestire facoltativamente la crittografia a livello del contenitore o di un singolo BLOB.Encryption scopes enable you to optionally manage encryption at the level of the container or an individual blob. È possibile usare gli ambiti di crittografia per creare confini sicuri tra i dati che si trovano nello stesso account di archiviazione, ma appartenenti a clienti diversi.You can use encryption scopes to create secure boundaries between data that resides in the same storage account but belongs to different customers.

È possibile creare uno o più ambiti di crittografia per un account di archiviazione usando il provider di risorse di archiviazione di Azure.You can create one or more encryption scopes for a storage account using the Azure Storage resource provider. Quando si crea un ambito di crittografia, si specifica se l'ambito è protetto con una chiave gestita da Microsoft o con una chiave gestita dal cliente archiviata in Azure Key Vault.When you create an encryption scope, you specify whether the scope is protected with a Microsoft-managed key or with a customer-managed key that is stored in Azure Key Vault. Diversi ambiti di crittografia nello stesso account di archiviazione possono usare chiavi gestite da Microsoft o gestite dal cliente.Different encryption scopes on the same storage account can use either Microsoft-managed or customer-managed keys.

Dopo aver creato un ambito di crittografia, è possibile specificare tale ambito di crittografia per una richiesta di creazione di un contenitore o di un BLOB.After you have created an encryption scope, you can specify that encryption scope on a request to create a container or a blob. Per ulteriori informazioni su come creare un ambito di crittografia, vedere creare e gestire ambiti di crittografia (anteprima).For more information about how to create an encryption scope, see Create and manage encryption scopes (preview).

Nota

Gli ambiti di crittografia non sono supportati con l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e gli account di archiviazione con ridondanza geografica e accesso in lettura (RA-GZRS) durante la fase di anteprima.Encryption scopes are not supported with read-access geo-redundant storage (RA-GRS) and read-access geo-zone-redundant storage (RA-GZRS) accounts during preview.

Nota

Questa funzionalità non è ancora supportata negli account che dispongono di uno spazio dei nomi gerarchico (Azure Data Lake Storage Gen2).This feature is not yet supported in accounts that have a hierarchical namespace (Azure Data Lake Storage Gen2). Per altre informazioni, vedere funzionalità di archiviazione BLOB disponibili in Azure Data Lake storage Gen2.To learn more, see Blob storage features available in Azure Data Lake Storage Gen2.

Importante

L'anteprima degli ambiti di crittografia è destinata solo all'uso non in produzione.The encryption scopes preview is intended for non-production use only. I contratti di servizio (SLA) di produzione non sono al momento disponibili.Production service-level agreements (SLAs) are not currently available.

Per evitare costi imprevisti, assicurarsi di disabilitare gli ambiti di crittografia attualmente non necessari.To avoid unexpected costs, be sure to disable any encryption scopes that you do not currently need.

Creare un contenitore o un BLOB con un ambito di crittografiaCreate a container or blob with an encryption scope

I BLOB creati in un ambito di crittografia vengono crittografati con la chiave specificata per tale ambito.Blobs that are created under an encryption scope are encrypted with the key specified for that scope. È possibile specificare un ambito di crittografia per un singolo BLOB quando si crea il BLOB oppure è possibile specificare un ambito di crittografia predefinito quando si crea un contenitore.You can specify an encryption scope for an individual blob when you create the blob, or you can specify a default encryption scope when you create a container. Quando si specifica un ambito di crittografia predefinito al livello di un contenitore, tutti i BLOB in tale contenitore vengono crittografati con la chiave associata all'ambito predefinito.When a default encryption scope is specified at the level of a container, all blobs in that container are encrypted with the key associated with the default scope.

Quando si crea un BLOB in un contenitore con un ambito di crittografia predefinito, è possibile specificare un ambito di crittografia che esegue l'override dell'ambito di crittografia predefinito se il contenitore è configurato in modo da consentire le sostituzioni dell'ambito di crittografia predefinito.When you create a blob in a container that has a default encryption scope, you can specify an encryption scope that overrides the default encryption scope if the container is configured to allow overrides of the default encryption scope. Per impedire le sostituzioni dell'ambito di crittografia predefinito, configurare il contenitore per negare gli override per un singolo BLOB.To prevent overrides of the default encryption scope, configure the container to deny overrides for an individual blob.

Le operazioni di lettura su un BLOB che appartiene a un ambito di crittografia si verificano in modo trasparente, purché l'ambito di crittografia non sia disabilitato.Read operations on a blob that belongs to an encryption scope happen transparently, so long as the encryption scope is not disabled.

Disabilitare un ambito di crittografiaDisable an encryption scope

Quando si disabilita un ambito di crittografia, le operazioni di lettura o scrittura successive eseguite con l'ambito di crittografia avranno esito negativo con codice di errore HTTP 403 (accesso negato).When you disable an encryption scope, any subsequent read or write operations made with the encryption scope will fail with HTTP error code 403 (Forbidden). Se si riabilita l'ambito di crittografia, le operazioni di lettura e scrittura proseguiranno di nuovo normalmente.If you re-enable the encryption scope, read and write operations will proceed normally again.

Quando un ambito di crittografia è disabilitato, non viene più fatturato.When an encryption scope is disabled, you are no longer billed for it. Disabilitare gli ambiti di crittografia non necessari per evitare addebiti superflui.Disable any encryption scopes that are not needed to avoid unnecessary charges.

Se l'ambito di crittografia è protetto con chiavi gestite dal cliente per Azure Key Vault, è anche possibile eliminare la chiave associata nell'insieme di credenziali delle chiavi per disabilitare l'ambito di crittografia.If your encryption scope is protected with customer-managed keys for Azure Key Vault, then you can also delete the associated key in the key vault in order to disable the encryption scope. Tenere presente che le chiavi gestite dal cliente nel Azure Key Vault sono protette dalla protezione con eliminazione temporanea e ripulitura e una chiave eliminata è soggetta al comportamento definito da tali proprietà.Keep in mind that customer-managed keys in Azure Key Vault are protected by soft delete and purge protection, and a deleted key is subject to the behavior defined for by those properties. Per ulteriori informazioni, vedere uno degli argomenti seguenti nella documentazione di Azure Key Vault:For more information, see one of the following topics in the Azure Key Vault documentation:

Nota

Non è possibile eliminare un ambito di crittografia.It is not possible to delete an encryption scope.

Passaggi successiviNext steps