Sicurezza e protezione dei dati di StorSimpleStorSimple security and data protection

PanoramicaOverview

La sicurezza è una delle principali preoccupazioni per chi ha intenzione di adottare una nuova tecnologia, soprattutto se usata con dati riservati o proprietari.Security is a major concern for anyone who is adopting a new technology, especially when the technology is used with confidential or proprietary data. Quando si valutano tecnologie diverse, è necessario tenere in considerazione l'aumento dei rischi e dei costi per la protezione dei dati.As you evaluate different technologies, you must consider increased risks and costs for data protection. Microsoft Azure StorSimple offre una soluzione sia di sicurezza che di privacy per la protezione dei dati, che aiuta a garantire:Microsoft Azure StorSimple provides both a security and privacy solution for data protection, helping to ensure:

  • Riservatezza – Solo le entità autorizzate possono visualizzare i dati.Confidentiality – Only authorized entities can view your data.
  • Integrità – Solo le entità autorizzate possono modificare o eliminare i dati.Integrity – Only authorized entities can modify or delete your data.

La soluzione Microsoft Azure StorSimple è costituita da quattro componenti principali che interagiscono tra loro:The Microsoft Azure StorSimple solution consists of four main components that interact with each other:

  • Servizio Gestione dispositivi StorSimple ospitato in Microsoft Azure – Servizio di gestione usato per la configurazione e il provisioning del dispositivo StorSimple.StorSimple Device Manager service hosted in Microsoft Azure – The management service that you use to configure and provision the StorSimple device.
  • Dispositivo StorSimple – Dispositivo fisico installato nel data center.StorSimple device – A physical device installed in your datacenter. Tutti gli host e i client che generano dati si connettono al dispositivo StorSimple e il dispositivo gestisce i dati e li sposta nel cloud Azure come necessario.All hosts and clients that generate data connect to the StorSimple device, and the device manages the data and moves it to the Azure cloud as appropriate.
  • Client/host connessi al dispositivo – Client nell'infrastruttura che si connettono al dispositivo StorSimple e generano i dati da proteggere.Clients/hosts connected to the device – The clients in your infrastructure that connect to the StorSimple device and generate data that needs to be protected.
  • Archiviazione cloud – Posizione nel cloud di Azure in cui vengono archiviati i dati.Cloud storage – The location in the Azure cloud where data is stored.

Le sezioni seguenti descrivono le funzionalità di sicurezza di StorSimple che consentono di proteggere i singoli componenti e i relativi dati archiviati.The following sections describe the StorSimple security features that help protect each of these components and the data stored on them. Include inoltre un elenco di domande e risposte relative alla sicurezza di Microsoft Azure StorSimple.It also includes a list of questions that you might have about Microsoft Azure StorSimple security, and the corresponding answers.

Protezione del servizio Gestione dispositivi StorSimpleStorSimple Device Manager service protection

Gestione dispositivi StorSimple è un servizio di gestione ospitato in Microsoft Azure che consente di gestire tutti i dispositivi StorSimple installati all'interno di un'organizzazione.The StorSimple Device Manager service is a management service hosted in Microsoft Azure and used to manage all StorSimple devices that your organization has procured. È possibile accedere al servizio Gestione dispositivi StorSimple usando le credenziali aziendali per accedere al portale di Azure da un Web browser.You can access the StorSimple Device Manager service by using your organizational credentials to log on to the Azure portal through a web browser.

Per accedere al servizio Gestione dispositivi StorSimple l'organizzazione deve avere una sottoscrizione di Azure in cui sia incluso StorSimple.Access to the StorSimple Device Manager service requires that your organization have an Azure subscription that includes StorSimple. La sottoscrizione determina le funzionalità a cui si può accedere nel portale di Azure.Your subscription governs the features that you can access in the Azure portal. Se l'organizzazione non dispone ancora di una sottoscrizione di Azure e si desidera ottenere informazioni al riguardo, vedere Iscrizione ad Azure come organizzazione.If your organization does not have an Azure subscription and you want to learn more about them, see Sign up for Azure as an organization.

Poiché il servizio Gestione dispositivi StorSimple è ospitato in Azure, viene protetto dalle funzionalità di sicurezza di Azure.Because the StorSimple Device Manager service is hosted in Azure, it is protected by the Azure security features. Per altre informazioni sulle funzionalità di sicurezza fornite da Microsoft Azure, andare in Centro protezione Microsoft Azure.For more information about the security features provided by Microsoft Azure, go to the Microsoft Azure Trust Center.

Protezione del dispositivo StorSimpleStorSimple device protection

Il dispositivo StorSimple è un dispositivo di archiviazione ibrido locale contenente unità SSD e unità disco rigido, oltre a controller ridondanti e funzionalità di failover automatico.The StorSimple device is an on-premises hybrid storage device that contains solid state drives (SSDs) and hard disk drives (HDDs), together with redundant controllers and automatic failover capabilities. I controller gestiscono la suddivisione in livelli dell'archiviazione, inserendo i dati attualmente usati (o hot data) nella risorsa di archiviazione locale (nel dispositivo StorSimple o nei server locali) e spostando nel cloud i dati usati meno di frequente.The controllers manage storage tiering, placing currently used (or hot) data on local storage (in the StorSimple device or on-premises servers), while moving less frequently used data to the cloud.

Solo i dispositivi StorSimple autorizzati possono essere aggiunti al servizio Gestione dispositivi StorSimple creato nella sottoscrizione di Azure.Only authorized StorSimple devices are allowed to join the StorSimple Device Manager service that you created in your Azure subscription. Per autorizzare un dispositivo, è necessario registrarlo con il servizio Gestione dispositivi StorSimple inserendo la chiave di registrazione del servizio.To authorize a device, you must register it with the StorSimple Device Manager service by providing the service registration key. La chiave di registrazione del servizio è un codice casuale a 128 bit generato nel portale di Azure.The service registration key is a 128-bit random key generated in the Azure portal.

Chiave di registrazione del servizio

Per informazioni su come ottenere una chiave di registrazione del servizio, vedere Passaggio 2: Ottenere la chiave di registrazione del servizio.To learn how get a service registration key, go to Step 2: Get the service registration key.

La chiave di registrazione del servizio è un codice lungo contenente più di 100 caratteri.The service registration key is a long key that contains 100+ characters. È possibile copiare la chiave e salvarla in un file di testo in un percorso sicuro per poterla usare per autorizzare altri dispositivi, se necessario.You can copy the key and save it in a text file in a secure location so that you can use it to authorize additional devices as necessary. Se si perde la chiave di registrazione del servizio dopo aver registrato il primo dispositivo, è possibile generare una nuova chiave dal servizio Gestione dispositivi StorSimple.If the service registration key is lost after you register your first device, you can generate a new key from the StorSimple Device Manager service. L'operazione non avrà effetto sul funzionamento dei dispositivi esistenti.This will not affect the operation of existing devices.

Un dispositivo, dopo essere stato registrato, usa i token per comunicare con Microsoft Azure.After a device is registered, it uses tokens to communicate with Microsoft Azure. La chiave di registrazione del servizio non viene usata dopo la registrazione del dispositivo.The service registration key is not used after device registration.

Nota

È consigliabile rigenerare la chiave di registrazione del servizio dopo ogni uso.We recommend that you regenerate the service registration key after every use.

Proteggere la soluzione StorSimple con le passwordProtect your StorSimple solution via passwords

Le password sono un componente importante della sicurezza dei computer e vengono usate di frequente nella soluzione StorSimple per garantire che i dati siano accessibili solo a utenti autorizzati.Passwords are an important aspect of computer security and are used extensively in the StorSimple solution to help ensure that your data is accessible to authorized users only. StorSimple consente di configurare le seguenti password:StorSimple allows you to configure the following passwords:

  • Password amministratore del dispositivo StorSimpleStorSimple device administrator password
  • Password di destinazione e iniziatore CHAP (Challenge Handshake Authentication Protocol)Challenge Handshake Authentication Protocol (CHAP) initiator and target passwords
  • Password di Gestione snapshot StorSimpleStorSimple Snapshot Manager password

Windows PowerShell per StorSimple e la password amministratore del dispositivo StorSimpleWindows PowerShell for StorSimple and the StorSimple device administrator password

Windows PowerShell per StorSimple è un'interfaccia della riga di comando che può essere usata per gestire il dispositivo StorSimple.Windows PowerShell for StorSimple is a command-line interface that you can use to manage the StorSimple device. Windows PowerShell per StorSimple include funzionalità che permettono di registrare il dispositivo, configurare l'interfaccia di rete nel dispositivo, installare determinati tipi di aggiornamento, risolvere i problemi del dispositivo tramite l'accesso alla sessione di supporto e modificare lo stato del dispositivo.Windows PowerShell for StorSimple has features that allow you to register your device, configure the network interface on your device, install certain types of updates, troubleshoot your device by accessing the support session, and change the device state. È possibile accedere a Windows PowerShell per StorSimple connettendosi alla console seriale sul dispositivo o usando la comunicazione remota di Windows PowerShell.You can access Windows PowerShell for StorSimple by connecting to the serial console on the device or by using Windows PowerShell remoting.

La comunicazione remota di PowerShell può essere stabilita su HTTPS o HTTP.PowerShell remoting can be done over HTTPS or HTTP. Se la gestione remota su HTTPS è abilitata, sarà necessario scaricare il certificato di gestione remota dal dispositivo e installarlo nel client remoto.If remote management over HTTPS is enabled, you will need to download the remote management certificate from the device and install it on the remote client. Per altre informazioni sulla comunicazione remota di PowerShell, vedere Connettersi in remoto al dispositivo StorSimple.For more information about PowerShell remoting, go to Connect remotely to your StorSimple device.

Dopo aver usato Windows PowerShell per StorSimple per connettersi al dispositivo, sarà necessario immettere la password amministratore per accedere al dispositivo.After you use Windows PowerShell for StorSimple to connect to the device, you will need to provide the device administrator password to log on to the device.

Password amministratore del dispositivo

Tenere presenti le procedure consigliate seguenti:Keep the following best practices in mind:

  • La gestione remota è disattivata per impostazione predefinita.Remote management is turned off by default. Per abilitarla, è possibile usare il servizio Gestione dispositivi StorSimple.You can use the StorSimple Device Manager service to enable it. Come procedura consigliata per la sicurezza, è opportuno abilitare l'accesso remoto solo per il periodo di tempo in cui è effettivamente necessario.As a security best practice, remote access should be enabled only during the time period that it is actually needed.
  • Se si cambia la password, assicurarsi di notificarlo a tutti gli utenti di accesso remoto per evitare una perdita imprevista della connettività.If you change the password, be sure to notify all remote access users so that they do not experience an unexpected connectivity loss.
  • Il servizio Gestione dispositivi StorSimple non può recuperare le password esistenti, ma solo reimpostarle.The StorSimple Device Manager service cannot retrieve existing passwords: it can only reset them. È consigliabile archiviare tutte le password in un luogo sicuro per non dover reimpostare una password nel caso la si dimentichi.We recommend that you store all passwords in a secure place so that you do not have to reset a password if it is forgotten. Se è necessario reimpostare una password, assicurarsi di notificarlo a tutti gli utenti prima di reimpostarla.If you do need to reset a password, be sure to notify all users before you reset it.

È possibile accedere all'interfaccia di Windows PowerShell usando una connessione seriale al dispositivo.You can access the Windows PowerShell interface by using a serial connection to the device. È anche possibile accedervi in modalità remota usando HTTP o HTTPS, che offrono una maggiore sicurezza.You can also access it remotely by using either HTTP or HTTPS, which provide additional security. HTTPS offre un livello più elevato di sicurezza rispetto a una connessione seriale o HTTP.HTTPS provides a higher level of security than either a serial or HTTP connection. Per usare HTTPS, tuttavia, prima è necessario installare un certificato nel computer client che accederà al dispositivo.However, to use HTTPS, you must first install a certificate on the client computer that will access the device. È possibile scaricare il certificato di accesso remoto dalla pagina di configurazione del dispositivo nel servizio Gestione dispositivi StorSimple.You can download the remote access certificate from the device configuration page in the StorSimple Device Manager service. Se il certificato per l'accesso remoto viene perso, è necessario scaricare un nuovo certificato e propagarlo a tutti i client autorizzati a usare la gestione remota.If the certificate for remote access is lost, you must download a new certificate and propagate it to all clients that are authorized to use remote management.

Password di destinazione e iniziatore CHAP (Challenge Handshake Authentication Protocol)Challenge Handshake Authentication Protocol (CHAP) initiator and target passwords

CHAP è uno schema di autenticazione usato dal dispositivo StorSimple per convalidare l'identità dei client remoti.CHAP is an authentication scheme used by the StorSimple device to validate the identity of remote clients. La verifica si basa su una password condivisa.The verification is based on a shared password. CHAP può essere unidirezionale o bidirezionale (reciproco).CHAP can be one-way (unidirectional) or mutual (bidirectional). Con CHAP unidirezionale, la destinazione (il dispositivo StorSimple) autentica un iniziatore (host).With one-way CHAP, the target (the StorSimple device) authenticates an initiator (host). Per l'autenticazione CHAP reciproca è necessario che la destinazione autentichi l'iniziatore e viceversa.Mutual or reverse CHAP requires that the target authenticate the initiator and then the initiator authenticate the target. Azure StorSimple può essere configurato per l'utilizzo di entrambi i metodi.Your StorSimple can be configured to use either method.

Quando si configura l'autenticazione CHAP, tenere presente quanto segue:Be aware of the following when you configure CHAP:

  • Il nome dell'utente CHAP deve contenere meno di 233 caratteri.The CHAP user name must contain fewer than 233 characters.
  • La password CHAP deve essere compresa tra 12 e 16 caratteri.The CHAP password must be between 12 and 16 characters. Se si prova a usare un nome utente o una password più lunga, si verificherà un errore di autenticazione sull'host Windows.Attempting to use a longer user name or password will result in an authentication failure on the Windows host.
  • Non è possibile usare la stessa password sia per l'iniziatore CHAP che per la destinazione CHAP.You cannot use the same password for both the CHAP initiator and the CHAP target.
  • Dopo aver impostato la password, è possibile cambiarla, ma non recuperarla.After you set the password, it can be changed but it cannot be retrieved. Se la password viene cambiata, assicurarsi di notificarlo a tutti gli utenti di accesso remoto in modo che riescano a connettersi al dispositivo StorSimple.If the password is changed, be sure to notify all remote access users so that they can successfully connect to the StorSimple device.

Per altre informazioni sull'autenticazione CHAP e su come configurarla per la soluzione StorSimple, vedere Configurare CHAP per il dispositivo StorSimple.For more information about CHAP and how to configure it for your StorSimple solution, go to Configure CHAP for your StorSimple device.

Password di Gestione snapshot StorSimpleStorSimple Snapshot Manager password

Gestione snapshot StorSimple è uno snap-in MMC (Microsoft Management Console) che usa gruppi di volumi e il Servizio Copia shadow del volume di Windows per generare backup coerenti con l'applicazione.StorSimple Snapshot Manager is a Microsoft Management Console (MMC) snap-in that uses volume groups and the Windows Volume Shadow Copy Service to generate application-consistent backups. È possibile usare Gestione snapshot StorSimple anche per creare pianificazioni di backup e clonare o ripristinare volumi.In addition, you can use StorSimple Snapshot Manager to create backup schedules and clone or restore volumes.

Quando si configura un dispositivo per usare Gestione snapshot StorSimple, è necessario immettere la password di Gestione snapshot StorSimple.When you configure a device to use StorSimple Snapshot Manager, you will be required to provide the StorSimple Snapshot Manager password. Questa password viene impostata in Windows PowerShell per StorSimple durante la registrazione.This password is first set in Windows PowerShell for StorSimple during registration. La password può essere impostata e cambiata anche dal servizio Gestione dispositivi StorSimple.The password can also be set and changed from the StorSimple Device Manager service. Questa password autentica il dispositivo con Gestione snapshot StorSimple.This password authenticates the device with StorSimple Snapshot Manager.

Password di Gestione snapshot StorSimple

La password di Gestione snapshot StorSimple deve essere composta da 14 o 15 caratteri e contenere 3 o più elementi di una combinazione di lettere maiuscole, lettere minuscole, numeri e caratteri speciali.The StorSimple Snapshot Manager password must be 14 to 15 characters and must contain 3 or more of a combination of uppercase, lowercase, numeric, and special characters. Dopo aver impostato la password di Gestione snapshot StorSimple, è possibile cambiarla, ma non recuperarla.After you set the StorSimple Snapshot Manager password, it can be changed but it cannot be retrieved. Se si cambia la password, assicurarsi di notificarla a tutti gli utenti remoti.If you change the password, be sure to notify all remote users.

Per altre informazioni su Gestione snapshot StorSimple, vedere Che cos'è Gestione snapshot StorSimple?For more information about StorSimple Snapshot Manager, go to What is StorSimple Snapshot Manager?

Procedure consigliate per le passwordPassword best practices

È consigliabile usare le linee guida seguenti per assicurarsi che le password di StorSimple siano complesse e protette:We recommend that you use the following guidelines to help ensure that StorSimple passwords are strong and well-protected:

  • Cambiare le password ogni tre mesi.Change your passwords every three months. La modifica della password viene richiesta ogni anno.Changing the passwords is enforced annually.
  • Usare password complesse.Use strong passwords. Per altre informazioni, vedere Creare password più complesse e proteggerle.For more information, go to Create stronger passwords and protect them.
  • Usare sempre password diverse per ogni meccanismo di accesso. Ogni password specificata deve essere univoca.Always use different passwords for different access mechanisms; each of the passwords you specify should be unique.
  • Non condividere le password con nessuno che non sia autorizzato ad accedere al dispositivo StorSimple.Do not share passwords with anyone who is not authorized to access the StorSimple device.
  • Non parlare di una password davanti ad altri e non accennare al formato di una password.Do not speak about a password in front of others or hint at the format of a password.
  • Se si sospetta che un account o una password sia stata compromessa, segnalarlo al reparto sicurezza delle informazioni.If you suspect that an account or password has been compromised, report the incident to your information security department.
  • Considerare tutte le password come informazioni sensibili e riservate.Treat all passwords as sensitive, confidential information.

Protezione dei dati di StorSimpleStorSimple data protection

Questa sezione descrive le funzionalità di sicurezza di StorSimple per i dati archiviati e in transito.This section describes the StorSimple security features that protect data in transit and stored data.

Come descritto in altre sezioni, per autorizzare e autenticare gli utenti in modo da consentire loro l'accesso alla soluzione StorSimple è previsto l'uso di password.As described in other sections, passwords are used to authorize and authenticate users before they can gain access to your StorSimple solution. Un'altra considerazione sulla sicurezza riguarda la protezione dei dati dagli utenti non autorizzati durante il trasferimento da un sistema di archiviazione a un altro e durante l'archiviazione.Another security consideration is protecting data from unauthorized users while it is being transferred between storage systems and while it is being stored. Le sezioni seguenti descrivono le funzionalità di protezione dei dati offerte da StorSimple.The following sections describe the data protection features provided with StorSimple.

Nota

La deduplicazione fornisce una protezione aggiuntiva per i dati archiviati nel dispositivo StorSimple e nell'archiviazione di Microsoft Azure.Deduplication provides additional protection for data stored on the StorSimple device and in Microsoft Azure storage. Quando i dati vengono deduplicati, gli oggetti dati vengono archiviati separatamente dai metadati usati per la mappatura e l'accesso: non è disponibile un contesto a livello di archiviazione per ricostruire i dati in base alla struttura del volume, al file system o al nome file.When data is deduplicated, the data objects are stored separately from the metadata used to map and access them: there is no available storage-level context to reconstruct the data based on volume structure, file system, or file name.

Proteggere il flusso di dati attraverso il servizioProtect data flowing through the service

Lo scopo principale del servizio Gestione dispositivi StorSimple è gestire e configurare il dispositivo StorSimple.The primary purpose of the StorSimple Device Manager service is to manage and configure the StorSimple device. Il servizio Gestione dispositivi StorSimple viene eseguito in Microsoft Azure.The StorSimple Device Manager service runs in Microsoft Azure. Si usa il portale di Azure per immettere i dati di configurazione del dispositivo, quindi Microsoft Azure usa il servizio Gestione dispositivi StorSimple per inviare i dati al dispositivo.You use the Azure portal to enter device configuration data, and then Microsoft Azure uses the StorSimple Device Manager service to send the data to the device. StorSimple usa un sistema di coppie di chiavi asimmetriche per garantire che, nel caso in cui venga compromesso il servizio di Azure, non vengano compromesse anche le informazioni archiviate.StorSimple uses a system of asymmetric key pairs to help ensure that a compromise of the Azure service will not result in a compromise of stored information.

Crittografia dei dati in esecuzione

Il sistema di chiavi asimmetriche aiuta a proteggere il flusso di dati attraverso il sistema come segue:The asymmetric key system helps protect the data that flows through the service as follows:

  1. Un certificato di crittografia dei dati che usa una coppia di chiavi pubblica e privata asimmetriche viene generato nel dispositivo e usato per proteggere i dati.A data encryption certificate that uses an asymmetric public and private key pair is generated on the device and is used to protect the data. Le chiavi vengono generate quando viene registrato il primo dispositivo.The keys are generated when the first device is registered.
  2. Le chiavi del certificato di crittografia dei dati vengono esportate in un file con estensione pfx (Personal Information Exchange) protetto dalla chiave DEK del servizio, che è una chiave a 128 bit complessa generata in modo casuale dal primo dispositivo durante la registrazione.The data encryption certificate keys are exported into a Personal Information Exchange (.pfx) file that is protected by the service data encryption key, which is a strong 128-bit key that is randomly generated by the first device during registration.
  3. La chiave pubblica del certificato è resa disponibile in modo sicuro per il servizio Gestione dispositivi StorSimple e la chiave privata rimane con il dispositivo.The public key of the certificate is securely made available to the StorSimple Device Manager service, and the private key remains with the device.
  4. L'immissione di dati nel servizio viene crittografata con la chiave pubblica e decrittografata con la chiave privata archiviata nel dispositivo, in modo che il servizio di Azure non riesca a decrittografare il flusso di dati verso il dispositivo.Data entering the service is encrypted using the public key and decrypted using the private key stored on the device, ensuring that the Azure service cannot decrypt the data flowing to the device.

La chiave DEK del servizio viene generata solo nel primo dispositivo registrato nel servizio.The service data encryption key is generated on only the first device registered with the service. Ogni altro dispositivo registrato in seguito con il servizio deve usare la stessa chiave DEK del servizio.All subsequent devices that are registered with the service must use the same service data encryption key.

Importante

È molto importante creare una copia di questa chiave e salvarla in una posizione sicura.It is very important to make a copy of the service data encryption key and save it in a secure location. Si consiglia di archiviare una copia della chiave DEK del servizio in modo che sia accessibile a una persona autorizzata e possa essere facilmente comunicata all'amministratore del dispositivo.A copy of the service data encryption key should be stored in such a way that it can be accessed by an authorized person and can be easily communicated to the device administrator.

Se si perde la chiave DEK del servizio, il personale di supporto Microsoft può aiutare a recuperarla purché almeno un dispositivo sia online.If the service data encryption key is lost, a Microsoft support person can help you to retrieve it provided that you have at least one device in an online state. È consigliabile modificare la chiave DEK del servizio dopo averla recuperata.We recommend that you change the service data encryption key after it is retrieved. Per istruzioni, vedere Modificare la chiave DEK del servizio.For instructions, go to Change the service data encryption key.

Per modificare la chiave DEK del servizio e il corrispondente certificato di crittografia dei dati, seguire la procedura in Modificare la chiave DEK del servizio per il servizio Gestione dispositivi di StorSimple.To change the service data encryption key and the corresponding data encryption certificate, follow the steps in Change the service data encryption key for your StorSimple Device Manager service. Per modificare le chiavi di crittografia, è necessario che ogni dispositivo venga aggiornato con la nuova chiave.Changing the encryption keys requires that all devices be updated with the new key. Quindi, è consigliabile modificare la chiave quando tutti i dispositivi sono online.Therefore, we recommend that you change the key when all devices are online. Se i dispositivi sono offline, le rispettive chiavi possono essere modificate in un altro momento.If devices are offline, their keys can be changed at a different time. I dispositivi con chiavi scadute potranno ancora eseguire i backup, ma non potranno ripristinare i dati finché le chiavi non verranno aggiornate.The devices with out-of-date keys will still be able to run backups, but they will not be able to restore data until the key is updated.

La chiave DEK del servizio e il certificato di crittografia dei dati non scadono.The service data encryption key and the data encryption certificate do not expire. Tuttavia, è consigliabile modificare regolarmente la chiave DEK del servizio per evitare che venga compromessa.However, we recommend that you change the service data encryption key annually to help prevent key compromise.

Proteggere i dati inattiviProtect data at rest

Il dispositivo StorSimple gestisce i dati archiviandoli in più livelli localmente e nel cloud, in base alla frequenza d'uso.The StorSimple device manages data by storing it in tiers locally and in the cloud, depending on frequency of use. Tutti i computer host connessi al dispositivo inviano dati al dispositivo, che li sposta quindi nel cloud, se necessario.All host machines that are connected to the device send data to the device, which then moves data to the cloud, as appropriate. I dati vengono trasferiti dal dispositivo al cloud in modo sicuro tramite Internet.Data is transferred from the device to the cloud securely over the Internet. Ogni dispositivo ha una destinazione iSCSI che copre tutti i volumi condivisi del dispositivo.Each device has one iSCSI target that surfaces all shared volumes on that device. Tutti i dati vengono crittografati prima di essere inviati all'archiviazione cloud.All data is encrypted before it is sent to cloud storage.

Chiave di crittografia di archiviazione cloud

Per garantire la sicurezza e l'integrità dei dati spostati nel cloud, StorSimple consente di definire le chiavi di crittografia per l'archiviazione cloud come segue:To help ensure the security and integrity of data moved to the cloud, StorSimple allows you to define cloud storage encryption keys as follows:

  • Si specifica la chiave di crittografia per l'archiviazione cloud quando si crea un contenitore dei volumi.You specify the cloud storage encryption key when you create a volume container. La chiave non può essere modificata o aggiunta in seguito.The key cannot be modified or added later.
  • Tutti i volumi in un contenitore condividono la stessa chiave di crittografia.All volumes in a volume container share the same encryption key. Se si vuole una formato di crittografia diverso per un volume specifico, è consigliabile creare un nuovo contenitore per ospitare tale volume.If you want a different form of encryption for a specific volume, we recommend that you create a new volume container to host that volume.
  • Quando si immette la chiave di crittografia per l'archiviazione cloud nel servizio Gestione dispositivi StorSimple, la chiave viene crittografata con la parte pubblica della chiave di crittografia dei dati del servizio e quindi inviata al dispositivo.When you enter the cloud storage encryption key in the StorSimple Device Manager service, the key is encrypted using the public portion of the service data encryption key and then sent to the device.
  • La chiave di crittografia per l'archiviazione cloud non viene archiviata nel servizio ed è nota solo al dispositivo.The cloud storage encryption key is not stored anywhere in the service and is known only to the device.
  • Specificare una chiave di crittografia per l'archiviazione cloud è facoltativo.Specifying a cloud storage encryption key is optional. È possibile inviare i dati crittografati nell'host al dispositivo.You can send data that has been encrypted at the host to the device.

Procedure di sicurezza aggiuntiveAdditional security best practices

  • Suddividere il traffico: isolare la rete SAN iSCSI dal traffico utente in una LAN aziendale distribuendo una rete completamente separata e utilizzando le VLAN dove l’isolamento fisico non è un'opzione.Split traffic: isolate your iSCSI SAN from user traffic on a corporate LAN by deploying a totally separated network and using VLANs where physical isolation is not an option. Una rete dedicata per l'archiviazione iSCSI garantisce sicurezza e prestazioni dei dati aziendali critici.A dedicated network for iSCSI storage will guarantee the safety and performance of your business-critical data. Combinare il traffico di archiviazione e il traffico utente su una rete LAN aziendale non è consigliato e può aumentare la latenza e causare errori di rete.Mixing storage and user traffic over a corporate LAN is not recommended and can increase latency and cause network failures.
  • Per la sicurezza di rete sul lato host, utilizzare le interfacce di rete che supportano il protocollo TCP/IP Offload Engine (TOE).For host-side network security, use network interfaces that support TCP/IP Offload Engine (TOE). Il TOE riduce il carico della CPU elaborando TCP nella scheda di rete.TOE reduces CPU load by processing TCP on the network adapter.

Proteggere i dati mediante gli account di archiviazioneProtect data via storage accounts

Ogni sottoscrizione di Microsoft Azure può creare uno o più account di archiviazione.Each Microsoft Azure subscription can create one or more storage accounts. Un account di archiviazione fornisce uno spazio dei nomi univoco per lavorare con i dati archiviati nel cloud di Azure. L'accesso a un account di archiviazione è controllato dalle chiavi di sottoscrizione e di accesso associate all'account di archiviazione.(A storage account provides a unique namespace for working with data stored in the Azure cloud.) Access to a storage account is controlled by the subscription and access keys associated with that storage account.

Quando si crea un account di archiviazione, Microsoft Azure genera due chiavi di accesso alle risorse di archiviazione da 512 bit, una delle quali viene usata per l'autenticazione quando il dispositivo StorSimple accede all'account di archiviazione.When you create a storage account, Microsoft Azure generates two 512-bit storage access keys, one of which is used for authentication when the StorSimple device accesses the storage account. Una sola di queste chiavi è in uso.Note that only one of these keys is in use. L'altra chiave è tenuta di riserva per far ruotare periodicamente le chiavi.The other key is held in reserve, allowing you to rotate the keys periodically. Per far ruotare le chiavi, si rende attiva la chiave secondaria e quindi si elimina la chiave primaria.To rotate keys, you make the secondary key active, and then delete the primary key. È quindi possibile creare una nuova chiave da usare durante la rotazione successiva.You can then create a new key for use during the next rotation. Per motivi di sicurezza, molti data center richiedono la rotazione delle chiavi.(For security reasons, many datacenters require key rotation.)

Per la rotazione delle chiavi, è opportuno seguire queste procedure consigliate:We recommend that you follow these best practices for key rotation:

  • Far ruotare regolarmente le chiavi dell'account di archiviazione per impedire a utenti non autorizzati di accedere all'account di archiviazione.You should rotate storage account keys regularly to help ensure that your storage account is not accessed by unauthorized users.
  • L'amministratore di Azure deve modificare o rigenerare periodicamente la chiave primaria o secondaria usando la sezione Archiviazione del portale di Azure per accedere direttamente all'account di archiviazione.Periodically, your Azure administrator should change or regenerate the primary or secondary key by using the Storage section of the Azure portal to directly access the storage account.

Proteggere i dati mediante la crittografiaProtect data via encryption

StorSimple usa i seguenti algoritmi di crittografia per proteggere i dati archiviati o trasmessi tra i vari componenti della soluzione StorSimple.StorSimple uses the following encryption algorithms to protect data stored in or traveling between the components of your StorSimple solution.

AlgoritmoAlgorithm Lunghezza chiaveKey length Protocolli/applicazioni/commentiProtocols/applications/comments
RSARSA 20482048 RSA PKCS 1 v1.5 viene usato dal portale di Azure per crittografare i dati di configurazione inviati al dispositivo: ad esempio, le credenziali dell'account di archiviazione, la configurazione del dispositivo StorSimple e le chiavi di crittografia per l'archiviazione cloud.RSA PKCS 1 v1.5 is used by the Azure portal to encrypt configuration data that is sent to the device: for example, storage account credentials, StorSimple device configuration, and cloud storage encryption keys.
AESAES 256256 AES con CBC viene usato per crittografare la parte pubblica della chiave di crittografia dei dati del servizio prima che venga inviata al portale di Azure dal dispositivo StorSimple.AES with CBC is used to encrypt the public portion of the service data encryption key before it is sent to the Azure portal from the StorSimple device. Viene usato anche dal dispositivo StorSimple per crittografare i dati prima che vengano inviati all'account di archiviazione cloud.It is also used by the StorSimple device to encrypt data before the data is sent to the cloud storage account.

Sicurezza dell'appliance cloud StorSimpleStorSimple Cloud Appliance security

Quando si utilizza il dispositivo virtuale StorSimple, tenere presenti le seguenti considerazioni sulla sicurezza:Keep the following security considerations in mind when you use the StorSimple virtual device:

  • La sottoscrizione a Microsoft Azure consente di proteggere il dispositivo virtuale.The virtual device is secured through your Microsoft Azure subscription. Ciò significa che se l'utente utilizza il dispositivo virtuale in presenza di una sottoscrizione ad Azure compromessa, anche i dati memorizzati nel dispositivo virtuale possono essere vulnerabili.This means that if you are using the virtual device and your Azure subscription is compromised, the data stored on your virtual device is also susceptible.
  • La chiave pubblica del certificato usato per crittografare i dati archiviati in Azure StorSimple viene resa disponibile per il portale di Azure classico e la chiave privata viene conservata nel dispositivo StorSimple.The public key of the certificate used to encrypt data stored in Azure StorSimple is securely made available to the Azure classic portal, and the private key is retained with the StorSimple device. Nel dispositivo virtuale StorSimple le chiavi pubbliche e private vengono archiviate entrambe in Azure.On the StorSimple virtual device, both the public and private keys are stored in Azure.
  • Il dispositivo virtuale è ospitato nel data center di Microsoft Azure.The virtual device is hosted in the Microsoft Azure datacenter.

Domande frequentiFrequently asked questions (FAQ)

Di seguito sono riportate alcune domande e risposte relative alla sicurezza e a Microsoft Azure StorSimple.The following are some questions and answers about security and Microsoft Azure StorSimple.

D: Il servizio è compromesso.Q: My service is compromised. Quali sono i passaggi successivi da eseguire?What should be my next steps?

R: È necessario modificare subito la chiave DEK del servizio e le chiavi dell'account di archiviazione per l'account usato per suddividere i dati in livelli.A: You should immediately change the service data encryption key and the storage account keys for the storage account that is being used for tiering data. Per istruzioni, vedere:For instructions, go to:

D: Ho un nuovo dispositivo StorSimple per cui viene richiesta la chiave di registrazione del servizio.Q: I have a new StorSimple device that is asking for the service registration key. Come posso ottenerla?How do I retrieve it?

R: Questa chiave è stata creata al momento della creazione del servizio Gestione dispositivi StorSimple.A: This key was created when you first created the StorSimple Device Manager service. Quando si usa il servizio Gestione dispositivi StorSimple per connettersi al dispositivo, è possibile usare la pagina di avvio rapido del servizio per visualizzare o rigenerare la chiave di registrazione del servizio.When you use the StorSimple Device Manager service to connect to the device, you can use the service quick start page to view or regenerate the service registration key. La generazione di una nuova chiave di registrazione del servizio non influirà sui dispositivi registrati esistenti.Generating a new service registration key will not affect the existing registered devices. Per istruzioni, vedere:For instructions, go to:

D: Ho perso la chiave DEK del servizio.Q: I lost my service data encryption key. Cosa devo fare?What do I do?

R: Contattare il supporto Microsoft.A: Contact Microsoft Support. Il personale può accedere a una sessione di supporto nel dispositivo e offrire assistenza per il recupero della chiave (ammesso che almeno un dispositivo sia online).They can log on to a support session on your device and help you retrieve the key (provided at least one device is online). Subito dopo aver ottenuto la chiave DEK del servizio, è consigliabile modificarla per garantire che la nuova chiave sia nota solo all'utente che la modifica.Immediately after you obtain the service data encryption key, you should change it to ensure that the new key is known only to you. Per istruzioni, vedere:For instructions, go to:

D: Ho autorizzato un dispositivo per la modifica della chiave DEK del servizio, ma il processo di modifica della chiave non è stato avviato.Q: I authorized a device for a service data encryption key change, but did not start the key change process. Cosa devo fare?What should I do?

R: Se il periodo di timeout è scaduto, sarà necessario autorizzare nuovamente il dispositivo per la modifica della chiave DEK del servizio e riavviare il processo.A: If the time-out period has expired, you will need to reauthorize the device for the service data encryption key change and start the process again.

D: Ho modificato la chiave DEK del servizio, ma non ho potuto aggiornare gli altri dispositivi entro 4 ore.Q: I changed the service data encryption key, but I was not able to update the other devices within 4 hours. Devo avviare nuovamente il processo?Do I have to start again?

R: Il periodo di tempo di 4 ore si riferisce solo all'avvio della modifica.A: The 4-hour time period is only for initiating the change. Dopo aver avviato il processo di aggiornamento sul dispositivo StorSimple autorizzato, l'autorizzazione è valida fino all'aggiornamento di tutti gli altri dispositivi.After you start the update process on the authorized StorSimple device, the authorization is valid until all devices are updated.

D: L'amministratore di StorSimple ha lasciato l'azienda.Q: Our StorSimple administrator has left the company. Cosa devo fare?What should I do?

R: Modificare e reimpostare le password che consentono di accedere al dispositivo StorSimple e modificare la chiave DEK del servizio per garantire che le nuove informazioni non siano note al personale non autorizzato.A: Change and reset the passwords that allow access to the StorSimple device, and change the service data encryption key to ensure that the new information is not known to unauthorized personnel. Per istruzioni, vedere:For instructions, go to:

D: Vorrei comunicare la password di Gestione snapshot StorSimple a un host che si connette al dispositivo StorSimple, ma la password non è disponibile.Q: I want to provide the StorSimple Snapshot Manager password to a host that is connecting to the StorSimple device, but the password is not available. In che modo è possibile risolvere questo problema?What can I do?

R: Se si dimentica la password, è necessario crearne una nuova.A: If you have forgotten the password, you should create a new one. Informare quindi tutti gli utenti esistenti che la password è stata modificata e che devono aggiornare i client per usare la nuova password.Then, be sure to inform all existing users that the password has been changed and that they should update their clients to use the new password. Per istruzioni, vedere:For instructions, go to:

D: Il certificato per l'accesso remoto a Windows PowerShell per StorSimple è stato modificato nel dispositivo.Q: The certificate for remote access to the Windows PowerShell for StorSimple has been changed on the device. Come posso aggiornare i client di accesso remoto?How do I update my remote access clients?

R: È possibile scaricare il nuovo certificato dal servizio Gestione dispositivi StorSimple, quindi inviarlo per l'installazione nell'archivio certificati dei client di accesso remoto.A: You can download the new certificate from the StorSimple Device Manager service, and then provide it to be installed in the certificate store of your remote access clients. Per istruzioni, vedere:For instructions, go to:

D: Se il servizio Gestione dispositivi StorSimple risulta compromesso, i miei dati sono protetti?Q: Is my data protected if the StorSimple Device Manager service is compromised?

R: I dati di configurazione del servizio sono sempre crittografati con la chiave pubblica quando vengono visualizzati in un Web browser.A: Service configuration data is always encrypted with your public key when you view it in a web browser. Poiché il servizio non ha accesso alla chiave privata, il servizio non sarà in grado di visualizzare i dati.Because the service doesn’t have access to the private key, the service will not be able to see any data. La compromissione del servizio Gestione dispositivi StorSimple non ha alcun impatto, perché non sono presenti chiavi archiviate nel servizio Gestione dispositivi StorSimple.If the StorSimple Device Manager service is compromised, there is no impact, as there are no keys stored in the StorSimple Device Manager service.

D: Se un utente riesce ad accedere al certificato di crittografia dei dati, i miei dati verranno compromessi?Q: If someone gains access to the data encryption certificate, will my data be compromised?

R: Microsoft Azure archivia la chiave di crittografia dei dati del cliente (file con estensione .pfx) in formato crittografato.A: Microsoft Azure stores the customer’s data encryption key (.pfx file) in an encrypted format. Dato che il file con estensione pfx è crittografato e il servizio StorSimple non ha la chiave DEK del servizio per decrittografarlo, il semplice accesso al file con estensione pfx non espone alcun dato segreto.Because the .pfx file is encrypted and the StorSimple service doesn’t have the service data encryption key to decrypt the .pfx file, simply getting access to the .pfx file will not expose any secrets.

D: Cosa accade se un ente pubblico chiede i miei dati a Microsoft?Q: What happens if a governmental entity asks Microsoft for my data?

R: Poiché tutti i dati sono crittografati nel servizio e la chiave privata è archiviata con il dispositivo, l'ente pubblico deve richiedere i dati al cliente.A: Because all of the data is encrypted on the service and the private key is kept with the device, the governmental entity must ask the customer for the data.

Passaggi successiviNext steps

Distribuire il dispositivo StorSimple.Deploy your StorSimple device.