Crittografia lato server di archiviazione su disco di Azure

Applica a: ✔️ macchine virtuali Linux ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili ✔️ set di scalabilità uniformi

La maggior parte dei dischi gestiti Azure viene crittografata con la crittografia Archiviazione di Azure, che usa la crittografia lato server (SSE) per proteggere i dati e per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Archiviazione di Azure crittografa automaticamente i dati inattivi archiviati su dischi gestiti di Azure (sistemi operativi e dischi dati) per impostazione predefinita quando vengono memorizzati definitivamente nel cloud. I dischi con crittografia abilitata per l'host, tuttavia, non vengono crittografati tramite Archiviazione di Azure. Per i dischi con crittografia abilitata per l'host, il server che ospita la macchina virtuale fornisce la crittografia per i dati e i dati crittografati vengono trasmessi in Archiviazione di Azure.

I dati nei dischi gestiti Azure vengono crittografati in modo trasparente usando la crittografia a 256 bit AES, una delle crittografie a blocchi più complesse disponibili ed è conforme a FIPS 140-2. Per altre informazioni sui moduli crittografici sottostanti i dischi gestiti di Azure, vedere Cryptography API: Next Generation

Archiviazione di Azure crittografia non influisce sulle prestazioni dei dischi gestiti e non sono previsti costi aggiuntivi. Per altre informazioni sulla crittografia Archiviazione di Azure, vedere crittografia Archiviazione di Azure.

Importante

I dischi temporanei non sono dischi gestiti e non vengono crittografati dalla crittografia del servizio di archiviazione, a meno che non si abiliti la crittografia nell'host.

Le macchine virtuali di Azure versione 5 e successive (ad esempio Dsv5 o Dsv6) crittografano automaticamente i dischi temporanei e, se in uso, i dischi temporanei del sistema operativo con crittografia dei dati inattivi.

Informazioni sulla gestione delle chiavi di crittografia

È possibile basarsi sulle chiavi gestite dalla piattaforma per la crittografia del disco gestito oppure è possibile gestire la crittografia usando le proprie chiavi. Se si sceglie di gestire la crittografia con le proprie chiavi, è possibile specificare una chiave gestita dal cliente da usare per crittografare e decrittografare tutti i dati nei dischi gestiti.

Le sezioni seguenti descrivono in modo più dettagliato tutte le opzioni per la gestione delle chiavi.

Chiavi gestite dalla piattaforma

Per impostazione predefinita, i dischi gestiti usano chiavi di crittografia gestite dalla piattaforma. Tutti i dischi gestiti, gli snapshot, le immagini e i dati scritti in dischi gestiti esistenti vengono crittografati automaticamente inattivi con chiavi gestite dalla piattaforma. Le chiavi gestite dalla piattaforma vengono gestite da Microsoft.

Chiavi gestite dal cliente

È possibile scegliere di gestire la crittografia a livello di ogni disco gestito, con le proprie chiavi. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per gestire i controlli di accesso.

Per archiviare le chiavi gestite dal cliente, è necessario usare uno dei seguenti archivi chiavi Azure:

È possibile importare le chiavi RSA nel Key Vault o generare nuove chiavi RSA in Azure Key Vault. Azure managed disks gestisce la crittografia e la decrittografia in modo completamente trasparente usando la crittografia envelope. Crittografa i dati usando una chiave DEK (Data Encryption Key) basata su AES 256, che a sua volta è protetta usando le chiavi. Il servizio di archiviazione genera chiavi di crittografia dei dati e le crittografa con le chiavi gestite dal cliente usando la crittografia RSA. La crittografia envelope consente di ruotare (cambiare) periodicamente le chiavi in base ai criteri di conformità senza influire sulle macchine virtuali. Quando si ruotano le chiavi, il servizio di archiviazione riavvolge le chiavi di crittografia dei dati con la nuova versione della chiave gestita dal cliente. I dati del disco sottostanti non vengono crittografati nuovamente. Sia le versioni precedenti delle chiavi che le nuove devono rimanere abilitate fino al completamento del re-wrapping.

I dischi gestiti e i Key Vault o il modulo di protezione hardware gestito devono trovarsi nella stessa area Azure, ma possono trovarsi in sottoscrizioni diverse. Devono anche trovarsi nello stesso tenant di Microsoft Entra, a meno che non si utilizzi la crittografia dei dischi gestiti con chiavi gestite dal cliente tra più tenant.

Controllo completo delle chiavi

È necessario concedere l'accesso ai dischi gestiti nel tuo Key Vault o HSM gestito per utilizzare le chiavi per crittografare e decrittografare il DEK. Ciò consente di avere il controllo completo di dati e chiavi. È possibile disabilitare le chiavi o revocare l'accesso ai dischi gestiti in qualsiasi momento. È anche possibile controllare l'utilizzo della chiave di crittografia con il monitoraggio Azure Key Vault per assicurarsi che solo i dischi gestiti o altri servizi di Azure attendibili accedano alle chiavi.

Importante

Quando una chiave è disabilitata, eliminata o scaduta, tutte le macchine virtuali con il sistema operativo o i dischi dati che usano tale chiave verranno arrestate automaticamente. Dopo l'arresto automatico, le macchine virtuali non verranno avviati finché la chiave non viene nuovamente abilitata o si assegna una nuova chiave.

In genere, le I/O (operazioni di lettura o scrittura) del disco iniziano ad avere esito negativo un'ora dopo che una chiave è disabilitata, eliminata o scaduta.

Il diagramma seguente illustra come i dischi gestiti usano Microsoft Entra ID e Azure Key Vault per effettuare richieste usando la chiave gestita dal cliente:

Diagramma del flusso di lavoro dei dischi gestiti e delle chiavi gestite dal cliente. Un amministratore crea un Azure Key Vault, quindi crea un set di crittografia del disco e configura il set di crittografia del disco. Il set è associato a una macchina virtuale, che consente al disco di usare Microsoft Entra ID per autenticare.

L'elenco seguente illustra il diagramma in maggiore dettaglio:

  1. Un amministratore dell'Azure Key Vault crea risorse del Key Vault.
  2. L'amministratore key vault importa le chiavi RSA in Key Vault o genera nuove chiavi RSA in Key Vault.
  3. L'amministratore crea un'istanza della risorsa del set di crittografia dischi, specificando un ID di Azure Key Vault e un URL della chiave. Il set di crittografia dischi è una nuova risorsa introdotta per semplificare la gestione delle chiavi per i dischi gestiti.
  4. Quando viene creato un set di crittografia del disco, viene creata un'identità gestita assegnata dal sistema viene creata in Microsoft Entra ID e associata al set di crittografia del disco.
  5. L'amministratore dell'Azure Key Vault concede quindi all'identità gestita l'autorizzazione per eseguire operazioni nel Key Vault.
  6. Un utente della macchina virtuale crea dischi associandoli al set di crittografia dischi. L'utente della macchina virtuale può anche abilitare la crittografia lato server con chiavi gestite dal cliente per le risorse esistenti associandole al set di crittografia dischi.
  7. I dischi gestiti usano l'identità gestita per inviare richieste al Azure Key Vault.
  8. Per la lettura o la scrittura di dati, i dischi gestiti inviano richieste a Azure Key Vault per crittografare (eseguire il wrapping) e decrittografare (annullare il wrapping) della chiave di crittografia dei dati per eseguire la crittografia e la decrittografia dei dati.

Per revocare l'accesso alle chiavi gestite dal cliente, vedere Azure Key Vault PowerShell e Azure Key Vault cli. La revoca dell'accesso blocca in modo efficace l'accesso a tutti i dati nell'account di archiviazione, perché la chiave di crittografia non è accessibile da Archiviazione di Azure.

Rotazione automatica delle chiavi gestite dal cliente

In genere, se si usano chiavi gestite dal cliente, è consigliabile abilitare la rotazione automatica delle chiavi alla versione più recente della chiave. La rotazione automatica delle chiavi garantisce la sicurezza delle chiavi. Un disco fa riferimento a una chiave tramite il set di crittografia del disco. Quando si abilita la rotazione automatica per un set di crittografia del disco, il sistema aggiornerà automaticamente tutti i dischi gestiti, gli snapshot e le immagini che fanno riferimento alla crittografia del disco impostata per usare la nuova versione della chiave entro un'ora. Per informazioni su come abilitare le chiavi gestite dal cliente con rotazione automatica delle chiavi, vedere Impostare un Azure Key Vault e DiskEncryptionSet con rotazione automatica delle chiavi.

Note

Macchine virtuali non vengono riavviati durante la rotazione automatica delle chiavi.

Se non è possibile abilitare la rotazione automatica delle chiavi, è possibile usare altri metodi per avvisare l'utente prima della scadenza delle chiavi. In questo modo, è possibile assicurarsi di ruotare le chiavi prima della scadenza e mantenere la continuità aziendale. È possibile usare un Criteri di Azure o Griglia di eventi di Azure per inviare una notifica alla scadenza di una chiave.

Restrizioni

Per il momento, le chiavi gestite dal cliente presentano le restrizioni seguenti:

  • Se questa funzionalità è abilitata per un disco con snapshot incrementali, non può essere disabilitata su tale disco o sui relativi snapshot. Per risolvere questo problema, copiare tutti i dati in un disco gestito completamente diverso che non usa chiavi gestite dal cliente. A tale scopo, è possibile usare il modulo interfaccia della riga di comando di Azure o il modulo Azure PowerShell.
  • Un disco e tutti gli snapshot incrementali associati devono avere lo stesso set di crittografia del disco.
  • Sono supportate solo chiavi RSA software e HSM di dimensioni a 2.048 bit, a 3.072 bit e a 4.096 bit, senza altre chiavi o dimensioni.
    • Le chiavi HSM richiedono il livello Premium degli insiemi di credenziali delle chiavi di Azure.
  • Solo per Dischi Ultra e dischi SSD Premium v2:
    • (Anteprima) Le identità gestite assegnate dall'utente sono disponibili per dischi Ultra e dischi SSD Premium v2 crittografati con chiavi gestite dal cliente.
  • La maggior parte delle risorse correlate alle chiavi gestite dal cliente (set di crittografia dischi, macchine virtuali, dischi e snapshot) deve trovarsi nella stessa sottoscrizione e nella stessa area.
  • I dischi crittografati con chiavi gestite dal cliente possono passare a un altro gruppo di risorse solo se la macchina virtuale a cui sono collegati è deallocata.
  • Non è possibile spostare dischi, snapshot e immagini crittografati con chiavi gestite dal cliente tra sottoscrizioni.
  • I dischi gestiti attualmente o precedentemente crittografati con Crittografia dischi di Azure non possono essere crittografati usando chiavi gestite dal cliente.
  • È possibile creare fino a 5000 set di crittografia dischi per area per sottoscrizione.
  • Per informazioni sull'uso di chiavi gestite dal cliente con raccolte di immagini condivise, vedere Anteprima: Usare chiavi gestite dal cliente per crittografare le immagini.

Aree supportate

Le chiavi gestite dal cliente sono disponibili in tutte le aree disponibili per i dischi gestiti.

Importante

Le chiavi gestite dal cliente si basano sulle identità gestite per le risorse Azure, una funzionalità di Microsoft Entra ID. Quando si configurano le chiavi gestite dal cliente, un'identità gestita viene assegnata automaticamente alle risorse dietro le quinte. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o il disco gestito da una directory Microsoft Entra a un'altra, l'identità gestita associata ai dischi gestiti non viene trasferita al nuovo tenant, quindi le chiavi gestite dal cliente potrebbero non funzionare più. Per ulteriori informazioni, vedere Trasferimento di un abbonamento tra directory Microsoft Entra.

Per abilitare le chiavi gestite dal cliente per i dischi gestiti, vedere gli articoli su come abilitarlo con il modulo Azure PowerShell, il interfaccia della riga di comando di Azure o il portale Azure.

Per un esempio di codice, vedere Creare un disco gestito da uno snapshot con l'interfaccia della riga di comando .

Crittografia nell'host - Crittografia end-to-end per i dati della macchina virtuale

Quando si abilita la crittografia nell'host, tale crittografia viene avviata nell'host della macchina virtuale stessa, il server Azure a cui viene allocata la macchina virtuale. I dati per il disco temporaneo e le cache del disco dati/del sistema operativo vengono archiviati nell'host della macchina virtuale. Dopo aver abilitato la crittografia nell'host, tutti questi dati vengono crittografati inattivi e vengono crittografati nel servizio di archiviazione, in cui sono persistenti. Essenzialmente, la crittografia nell'host crittografa i dati da end-to-end. La crittografia nell'host non usa la CPU della macchina virtuale e non influisce sulle prestazioni della macchina virtuale.

I dischi temporanei e i dischi del sistema operativo temporanei vengono crittografati inattivi con chiavi gestite dalla piattaforma quando si abilita la crittografia end-to-end. Le cache del sistema operativo e del disco dati vengono crittografate inattivi con chiavi gestite dal cliente o gestite dalla piattaforma, a seconda del tipo di crittografia del disco selezionato. Ad esempio, se un disco viene crittografato con chiavi gestite dal cliente, la cache per il disco viene crittografata con chiavi gestite dal cliente e se un disco viene crittografato con chiavi gestite dalla piattaforma, la cache per il disco viene crittografata con chiavi gestite dalla piattaforma.

Restrizioni

  • Non è possibile abilitarla su macchine virtuali o set di scalabilità di macchine virtuali su cui è o è stata abilitata la Crittografia dischi di Azure.
  • Crittografia dischi di Azure non è possibile abilitare nei dischi in cui è abilitata la crittografia nell'host.
  • La crittografia può essere abilitata nei set di scalabilità di macchine virtuali esistenti. Tuttavia, solo le nuove macchine virtuali create dopo l'abilitazione della crittografia vengono crittografate automaticamente.
  • Le macchine virtuali esistenti devono essere deallocate e riallocate per poter essere crittografate.

Le restrizioni seguenti si applicano solo ai dischi Ultra e alle unità SSD Premium v2:

  • I dischi con dimensioni del settore 512e devono essere creati dopo il 13/5/2023.

Dimensioni delle macchine virtuali supportate

È possibile eseguire il pull dell'elenco completo delle dimensioni delle macchine virtuali supportate a livello di codice. Per informazioni su come recuperarli a livello di codice, vedere la sezione ricerca delle dimensioni delle macchine virtuali supportate degli articoli Azure PowerShell modulo o interfaccia della riga di comando di Azure.

Per abilitare la crittografia end-to-end usando la crittografia nell'host, vedere gli articoli su come abilitarla con il modulo Azure PowerShell, il interfaccia della riga di comando di Azure o il portale Azure.

Doppia crittografia dei dati inattivi

I clienti sensibili alla sicurezza elevata interessati al rischio associato a qualsiasi algoritmo di crittografia, implementazione o chiave compromessa possono ora scegliere un livello aggiuntivo di crittografia usando un algoritmo/modalità di crittografia diverso a livello di infrastruttura usando chiavi di crittografia gestite dalla piattaforma. Questo nuovo livello può essere applicato a dischi dati e sistemi operativi persistenti, snapshot e immagini, tutti crittografati inattivi con doppia crittografia.

Restrizioni

La doppia crittografia dei dati inattivi non è attualmente supportata con dischi Ultra o SSD Premium v2.

Per abilitare la doppia crittografia dei dati inattivi per i dischi gestiti, vedere Abilitare la doppia crittografia dei dati inattivi per i dischi gestiti.

Crittografia nell'host rispetto alla crittografia del disco di Azure

Crittografia dischi di Azure sfrutta la funzionalità DM-Crypt di Linux o BitLocker di Windows per crittografare i dischi gestiti con chiavi gestite dal cliente all'interno della macchina virtuale guest. La crittografia lato server con crittografia nell'host migliora in ADE. Con la crittografia nell'host, i dati per il disco temporaneo e le cache del disco dati/sistema operativo vengono archiviati nell'host della macchina virtuale. Dopo aver abilitato la crittografia nell'host, tutti questi dati vengono crittografati inattivi e vengono crittografati nel servizio di archiviazione, in cui sono persistenti. Essenzialmente, la crittografia nell'host crittografa i dati da end-to-end. La crittografia nell'host non usa la CPU della macchina virtuale e non influisce sulle prestazioni della macchina virtuale.

Importante

Le chiavi gestite dal cliente si basano sulle identità gestite per le risorse Azure, una funzionalità di Microsoft Entra ID. Quando si configurano le chiavi gestite dal cliente, un'identità gestita viene assegnata automaticamente alle risorse dietro le quinte. Se successivamente si sposta la sottoscrizione, il gruppo di risorse o il disco gestito da una directory Microsoft Entra a un'altra, l'identità gestita associata ai dischi gestiti non viene trasferita al nuovo tenant, quindi le chiavi gestite dal cliente potrebbero non funzionare più. Per ulteriori informazioni, vedere Trasferimento di una sottoscrizione tra directory di Microsoft Entra.

Passaggi successivi

  • Last updated on