Strumenti di protezione dei dati di Microsoft e di Azure
Man mano che Contoso sposta più dati nel cloud, vuole essere certa di non correr rischi di sicurezza o conformità. Avrà bisogno di un partner di protezione durante le varie modifiche all'ambiente e all'azienda. Microsoft può fornire strumenti, servizi e piani per aiutare Contoso a soddisfare i propri obiettivi di conformità e protezione dei dati.
Microsoft è sottoposta a controlli regolari e invia valutazioni autocertificate a revisori di terze parti in relazione ai propri servizi cloud, ad esempio Microsoft Azure, Microsoft 365 e Microsoft Dynamics 365. Questo processo aiuta Microsoft a garantire il rispetto di tutti i requisiti di sicurezza e conformità applicabili nel proprio ruolo di provider di servizi cloud.
Microsoft collabora inoltre in modo proattivo con leader del settore ed enti governativi in tutto il mondo per prevedere i requisiti di conformità futuri che potrebbero influire su Microsoft o sui suoi clienti. Microsoft è spesso il primo provider di servizi cloud globale ad adottare nuovi framework e standard.
Risorse di conformità Microsoft
Gli organismi normativi globali aggiornano di frequente le leggi e le regole e può essere difficile per le organizzazioni determinare gli impatti di queste modifiche. Il personale addetto alla conformità deve collaborare diligentemente per soddisfare i requisiti in evoluzione. Microsoft aiuta i clienti a rimanere aggiornati sugli obblighi di conformità fornendo strumenti, indicazioni e documentazione completa.
Centro protezione Microsoft
Il Centro protezione di Microsoft contiene informazioni dettagliate sui suoi impegni relativi a sicurezza, privacy, conformità e trasparenza per i prodotti e i servizi cloud offerti. Il Centro protezione include informazioni su tutte le certificazioni, le attestazioni e altre offerte di conformità correnti per i servizi cloud Microsoft.
Portale Service Trust
Service Trust Portal ha informazioni dettagliate sugli standard e sulle normative comuni del settore. I report di controllo, il servizio di sicurezza Azure Blueprints e i documenti sull’affidabilità possono aiutare a comprendere le funzionalità cloud e a confrontare i requisiti tecnici di conformità e controllo. Linee guida e strumenti aggiuntivi consentono ad Azure e ad altri clienti del servizio cloud Microsoft di soddisfare le esigenze di sicurezza, conformità e privacy.
Protezione dati in Azure
Azure usa la separazione, la crittografia, la ridondanza e la distruzione dei dati per proteggere i dati dei clienti in applicazioni, piattaforme, sistemi e archiviazione.
Separazione dei dati
Azure è un servizio multi-tenant che usa l'isolamento logico per separare i dati di ogni cliente dai dati di altri clienti. Tale separazione contribuisce a garantire che i dati di un cliente non vengano combinati con quelli di altri clienti e non siano accessibili da parte di altri clienti.
Crittografia dei dati
Azure offre un'ampia gamma di funzionalità di crittografia e opzioni per la crittografia dei dati inattivi e in transito. Azure supporta diversi modelli di crittografia, tra cui la crittografia lato client e lato server, e supporta chiavi di crittografia gestite da Microsoft e dal cliente. Per i dati inattivi, Azure offre diverse opzioni di crittografia flessibili.
- Crittografia dischi di Azure usa la funzionalità standard del settore BitLocker di Windows o la funzionalità DM-Crypt di Linux per eseguire la crittografia del volume per i dischi dati e il sistema operativo.
- Transparent Data Encryption consente di proteggere i database di Azure SQL.
- Azure Key Vault consente di semplificare in modo comodo e facile la gestione delle chiavi di crittografia mantenendo il controllo di quelle con dati che vengono usate dalle applicazioni e dai servizi cloud.
Protocolli di comunicazione
Azure usa protocolli di trasporto standard del settore per i dati in transito, tra cui Transport-Layer Security (TLS) 1.2+ all'interno dei data center Microsoft e tra dispositivi e data center. È anche possibile abilitare la crittografia per il traffico tra macchine virtuali e utenti.
Per le macchine virtuali Windows Server 2012 o versioni successive, è possibile proteggere i trasferimenti di dati usando Server Message Block (SMB) 3.0 per crittografare i dati in transito nelle reti virtuali di Azure. Gli amministratori di rete possono abilitare la crittografia SMB per un intero server o per condivisioni specifiche. È possibile usare Secure Shell (SSH), un protocollo di connessione crittografato che consente di accedere in modo sicuro tramite una connessione non protetta, per connettersi alle macchine virtuali Linux in Azure.
La crittografia VPN di Azure crea un tunnel protetto e crittografato che consente di proteggere i dati inviati attraverso una rete. La rete VPN da sito a sito usa IPsec per la crittografia del trasporto. È possibile configurare il gateway VPN di Azure in modo da usare un criterio IPsec/Internet Key Exchange personalizzato con algoritmi di crittografia e forze delle chiavi specifici. Le VPN da punto a sito usano Secure Socket Tunneling Protocol (SSTP) per creare un tunnel VPN che consente ai singoli computer client di accedere a una rete virtuale di Azure.
Ridondanza dei dati
È possibile optare per l'archiviazione nazionale dei dati inattivi per soddisfare le considerazioni sulla conformità o sulla latenza. È anche possibile usare l'archiviazione internazionale a scopo di sicurezza o di ripristino di emergenza. I dati possono essere replicati, per ridondanza, più volte all'interno di un'area geografica selezionata. I dati presenti nell'account di Archiviazione di Azure vengono sempre replicati all’interno dell’area primaria per assicurarne la durabilità e la disponibilità elevata. Le opzioni di replica dell'area primaria e secondaria includono:
- Archiviazione con ridondanza locale
- Archiviazione con ridondanza della zona
- Archiviazione con ridondanza geografica
- Archiviazione con ridondanza della zona geografica
- Archiviazione con ridondanza geografica e accesso in lettura e archiviazione con ridondanza geografica della zona e accesso in lettura
Sicurezza dell'archiviazione dati
Azure offre diversi servizi per monitorare la sicurezza dell'archiviazione dei dati, tra cui Microsoft Defender per Archiviazione e Microsoft Defender per il database SQL.
Microsoft Defender per Archiviazione di Azure offre un livello di intelligence di sicurezza in grado di rilevare tentativi insoliti e potenzialmente dannosi di accesso o exploit degli account di archiviazione. Questo livello di protezione consente di affrontare le minacce senza dover essere esperti di sicurezza o gestire sistemi di monitoraggio della sicurezza. Microsoft Defender per Archiviazione di Azure rileva anomalie dell'attività e attiva avvisi di sicurezza che si integrano con Microsoft Defender per il cloud e vengono inviati tramite e-mail agli amministratori delle sottoscrizioni. Gli avvisi contengono informazioni dettagliate sulle attività sospette e consigli su come analizzare e correggere le minacce.
Microsoft Defender per SQL fa parte di un pacchetto unificato di sicurezza dei dati che offre funzionalità avanzate di sicurezza di Azure SQL. Microsoft Defender per SQL rileva e invia avvisi riguardo attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accesso o utilizzo improprio dei database. Questi avvisi consentono ai clienti di rilevare e rispondere alle potenziali minacce.
Eliminazione definitiva di dati
Quando si eliminano i dati o si lascia Azure, Microsoft segue i processi standard del settore per sovrascrivere le risorse di archiviazione prima del riutilizzo. Microsoft segue inoltre le linee guida dettate dalla National Institute of Standards and Technology Special Publication 800-88 per l’eliminazione definitiva dei supporti di archiviazione.