Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra un insieme di procedure consigliate di sicurezza in Archiviazione di Azure per la protezione delle applicazioni PaaS Web e per applicazioni mobili. Le procedure consigliate si basano sull'esperienza di tecnici e clienti con Azure.
Azure consente di distribuire e usare le risorse di archiviazione in modi che non è facile ottenere in locale. Con archiviazione di Azure è possibile raggiungere livelli elevati di scalabilità e disponibilità con un lavoro richiesto minimo. Non solo Archiviazione di Azure è la base per le macchine virtuali di Azure con Windows o Linux, ma può supportare anche applicazioni distribuite di grandi dimensioni.
Archiviazione di Azure offre i quattro servizi seguenti: Archiviazione Blob, Archiviazione Tabelle, Archiviazione Code e Archiviazione File. Per altre informazioni, vedere Introduzione ad Archiviazione di Microsoft Azure.
In questo articolo vengono illustrate le seguenti procedure consigliate:
- Firme di accesso condiviso (SAS)
- Controllo degli accessi basato sui ruoli Azure
- Crittografia lato client per i dati di valore elevato
- Crittografia del servizio di archiviazione
Usare la firma di accesso condiviso anziché una chiave dell'account di archiviazione
Il controllo di accesso è fondamentale. Per aiutarti a controllare l'accesso ad Archiviazione di Azure, Azure genera due chiavi di 512 bit per l'account di archiviazione quando crei un account di archiviazione. Il livello di ridondanza delle chiavi consente di evitare le interruzioni del servizio durante la normale rotazione delle chiavi.
Le chiavi di accesso alle risorse di archiviazione sono segreti ad alta priorità e devono essere accessibili solo agli utenti responsabili del controllo di accesso alle risorse di archiviazione. Se le persone sbagliate ottengono l'accesso a queste chiavi, avranno il controllo completo dell'archiviazione e potrebbero sostituire, eliminare o aggiungere file alla risorsa di archiviazione. Sono inclusi il malware e altri tipi di contenuto che potrebbero compromettere l'organizzazione o i clienti.
È comunque necessario un modo per fornire l'accesso agli oggetti nella risorsa di archiviazione. Per fornire un accesso più granulare, è possibile sfruttare le firme di accesso condiviso. La SAS (Shared Access Signature) consente la condivisione di oggetti specifici nell'archiviazione per un intervallo di tempo predefinito e con autorizzazioni specifiche. Una firma di accesso condiviso consente di definire:
- L'intervallo di validità della SAS (firma di accesso condiviso), inclusi l'orario di inizio e quello di scadenza.
- Le autorizzazioni concesse dalla firma di accesso condiviso. Ad esempio, un SAS su un BLOB potrebbe concedere a un utente le autorizzazioni di lettura e di scrittura per quel BLOB, ma non le autorizzazioni di eliminazione.
- Un indirizzo IP o un intervallo facoltativo di indirizzi IP da cui Archiviazione di Azure accetta il SAS (firma di accesso condiviso). Ad esempio, è possibile specificare un intervallo di indirizzi IP appartenenti all'organizzazione. Fornisce un'altra misura di sicurezza per il tuo SAS.
- Il protocollo accettato da Archiviazione di Azure per il SAS (firma di accesso condiviso). È possibile usare questo parametro facoltativo per limitare l'accesso ai client tramite HTTPS.
SAS consente di condividere contenuti nel modo desiderato senza dover fornire le chiavi del proprio account di archiviazione. L'utilizzo costante di SAS nella tua applicazione rappresenta un metodo sicuro per condividere le risorse di archiviazione senza compromettere le chiavi dell'account di archiviazione.
Per altre informazioni sulle firme di accesso condiviso vedere Uso delle firme di accesso condiviso.
usare il controllo degli accessi in base al ruolo di Azure
Un altro modo per gestire l'accesso consiste nell'usare il controllo degli accessi in base al ruolo di Azure. Con il controllo degli accessi in base al ruolo di Azure, ci si concentra sul fornire ai dipendenti le autorizzazioni esatte necessarie, in base al principio del bisogno di sapere e ai principi di sicurezza del minimo privilegio. un numero eccessivo di autorizzazioni può esporre un account agli attacchi. Un numero di autorizzazioni insufficiente ostacola l'efficienza del lavoro dei dipendenti. Il controllo degli accessi in base al ruolo di Azure consente di risolvere questo problema offrendo una gestione degli accessi molto granulare per Azure. Il controllo di accesso è fondamentale per le organizzazioni che vogliono applicare criteri di sicurezza per l'accesso ai dati.
È possibile usare i ruoli predefiniti di Azure in Azure per assegnare privilegi agli utenti. Si consiglia di usare Collaboratore Account di archiviazione per gli operatori cloud che devono gestire gli account di archiviazione e il ruolo Collaboratore Account di archiviazione classico per gestire gli account di archiviazione classici. Per gli operatori cloud che devono gestire le macchine virtuali ma non la rete virtuale o l'account di archiviazione a cui sono connessi, è possibile aggiungerle al ruolo Collaboratore macchina virtuale.
Le organizzazioni che non applicano il controllo dell'accesso ai dati usando funzionalità come Azure RBAC (controllo degli accessi in base al ruolo) possono concedere agli utenti più privilegi del necessario. Più privilegi del necessario possono causare la compromissione dei dati consentendo ad alcuni utenti di accedere ai dati che non dovrebbero avere al primo posto.
Per ulteriori informazioni su Azure RBAC (Controllo degli Accessi in base al Ruolo), consultare:
- Assegnare ruoli di Azure usando il portale di Azure
- Ruoli predefiniti di Azure
- Raccomandazioni di sicurezza per l'archiviazione BLOB
Usare la crittografia lato client per i dati di valore elevato
La crittografia lato client consente di crittografare i dati in transito a livello di codice prima di caricarli in Archiviazione di Azure e decrittografarli a livello di codice quando vengono recuperati. La crittografia lato client fornisce la crittografia dei dati in transito, ma fornisce anche la crittografia dei dati inattivi. La crittografia dei dati lato client è il metodo più sicuro, ma richiede modifiche all'applicazione a livello di codice e l'implementazione della gestione delle chiavi.
La crittografia lato client consente anche il controllo esclusivo delle chiavi di crittografia. È possibile generare e gestire chiavi di crittografia personalizzate. Usa una tecnica di crittografia a busta in cui la libreria client di archiviazione di Azure genera una chiave di crittografia del contenuto (CEK) che viene quindi avvolta (crittografata) utilizzando la chiave di crittografia della chiave (KEK). La KEK è identificata da un identificatore di chiave e può essere una coppia di chiavi asimmetriche o una chiave simmetrica e può essere gestita localmente o archiviata in Azure Key Vault.
La crittografia lato client è incorporata nelle librerie client di archiviazione .NET e Java. Vedere Crittografia lato client e Azure Key Vault per Archiviazione di Microsoft Azure per informazioni sulla crittografia dei dati all'interno di applicazioni client e la generazione e gestione di chiavi di crittografia personalizzate.
Attivare la crittografia del servizio di archiviazione di Azure per dati inattivi
Quando è abilitata la crittografia del servizio di archiviazione per archiviazione file, i dati vengono crittografati automaticamente usando l'algoritmo AES-256. Microsoft gestisce interamente la crittografia, la decrittografia e la gestione delle chiavi. Questa funzionalità è disponibile per i tipi di ridondanza LRS e GRS.
Passaggi successivi
Questo articolo ti ha presentato una raccolta di procedure consigliate per la sicurezza di Archiviazione di Azure, volte a proteggere le tue applicazioni Web e mobili PaaS. Per ulteriori informazioni sulla protezione delle distribuzioni PaaS, vedere: