Condividi tramite

Sicurezza e crittografia dei dati in Azure Data Manager per l'energia

  • Articolo

Questo articolo offre una panoramica delle funzionalità di sicurezza in Azure Data Manager per l'energia. Illustra le principali aree di crittografia dei dati inattivi, crittografia in transito, TLS, https, chiavi gestite da Microsoft e chiave gestita dal cliente.

Crittografare i dati inattivi

Azure Data Manager per l'energia usa diverse risorse di archiviazione per l'archiviazione di metadati, dati utente, dati in memoria e così via. La piattaforma usa la crittografia lato servizio per crittografare automaticamente tutti i dati quando vengono salvati in modo permanente nel cloud. La crittografia dei dati inattivi protegge i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Per impostazione predefinita, tutti i dati in Azure Data Manager for Energy vengono crittografati con chiavi gestite da Microsoft. Oltre alla chiave gestita da Microsoft, è possibile usare la propria chiave di crittografia per proteggere i dati in Azure Data Manager for Energy. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave gestita da Microsoft che crittografa i dati.

Crittografare i dati in movimento

Azure Data Manager per l'energia supporta il protocollo TLS 1.2 (Transport Layer Security) per proteggere i dati quando si spostano tra i servizi cloud e i clienti. TLS offre autenticazione avanzata, privacy dei messaggi e integrità (abilitazione del rilevamento di manomissioni, intercettazioni e falsità dei messaggi), interoperabilità e flessibilità degli algoritmi.

Oltre a TLS, quando si interagisce con Azure Data Manager per l'energia, tutte le transazioni avvengono tramite HTTPS.

Configurare chiavi gestite dal cliente (CMK) per l'istanza di Azure Data Manager per l'energia

Importante

Non è possibile modificare le impostazioni cmk dopo la creazione dell'istanza di Azure Data Manager per l'energia.

Prerequisiti

Passaggio 1: Configurare l'insieme di credenziali delle chiavi

  1. È possibile usare un insieme di credenziali delle chiavi nuovo o esistente per archiviare le chiavi gestite dal cliente. Per altre informazioni su Azure Key Vault, vedere Panoramica di Azure Key Vault e Informazioni su Azure Key Vault?

  2. L'uso di chiavi gestite dal cliente con Azure Data Manager per l'energia richiede che sia l'eliminazione temporanea che la protezione dall'eliminazione siano abilitate per l'insieme di credenziali delle chiavi. L'eliminazione temporanea è abilitata per impostazione predefinita quando si crea un nuovo insieme di credenziali delle chiavi e non può essere disabilitata. È possibile abilitare la protezione dall'eliminazione quando si crea l'insieme di credenziali delle chiavi o dopo la creazione.

  3. Per informazioni su come creare un insieme di credenziali delle chiavi con il portale di Azure, vedere Avvio rapido: Creare un'istanza dell’insieme di credenziali delle chiavi usando il portale di Azure. Quando si crea l'insieme di credenziali delle chiavi, selezionare Abilita ripulitura protezione.

    Screenshot dell'abilitazione della protezione dall'eliminazione temporanea e dell'eliminazione temporanea durante la creazione dell'insieme di credenziali delle chiavi

  4. Per abilitare la protezione dall'eliminazione in un insieme di credenziali delle chiavi esistente, seguire questa procedura:

    1. Passare all'insieme di credenziali delle chiavi nel portale di Azure.
    2. In Impostazioni, scegliere Proprietà.
    3. Nella sezione Ripulisci protezione scegliere Abilita protezione ripulitura.

Passaggio 2: Aggiungere una chiave

  1. Aggiungere quindi una chiave all'insieme di credenziali delle chiavi.
  2. Per informazioni su come aggiungere una chiave con il portale di Azure, vedere Avvio rapido: Impostare e recuperare una chiave da Azure Key Vault usando il portale di Azure.
  3. È consigliabile che la dimensione della chiave RSA sia 3072, vedere Configurare chiavi gestite dal cliente per l'account Azure Cosmos DB | Microsoft Learn.

Passaggio 3: Scegliere un'identità gestita per autorizzare l'accesso all'insieme di credenziali delle chiavi

  1. Quando si abilitano le chiavi gestite dal cliente per un'istanza di Azure Data Manager for Energy esistente, è necessario specificare un'identità gestita che verrà usata per autorizzare l'accesso all'insieme di credenziali delle chiavi che contiene la chiave. L'identità gestita deve disporre delle autorizzazioni per accedere alla chiave nell'insieme di credenziali delle chiavi.
  2. È possibile creare un'identità gestita assegnata dall'utente.

Configurare le chiavi gestite dal cliente per un account esistente

  1. Creare un'istanza di Azure Data Manager per l'energia .
  2. Selezionare la scheda Crittografia .

Screenshot della scheda Crittografia durante la creazione di Azure Data Manager per l'energia.

  1. Nella scheda crittografia selezionare Chiavi gestite dal cliente (CMK).

  2. Per usare la chiave gestita dal cliente, è necessario selezionare l'insieme di credenziali delle chiavi in cui è archiviata la chiave.

  3. Selezionare Chiave di crittografia come "Selezionare un insieme di credenziali delle chiavi e una chiave".

  4. Selezionare quindi "Selezionare un insieme di credenziali delle chiavi e una chiave".

  5. Selezionare quindi l'insieme di credenziali delle chiavi e la chiave.

    Screenshot che mostra la selezione della sottoscrizione, dell'insieme di credenziali delle chiavi e della chiave nel riquadro destro che si apre dopo aver scelto

  6. Selezionare quindi l'identità gestita assegnata dall'utente che verrà usata per autorizzare l'accesso all'insieme di credenziali delle chiavi che contiene la chiave.

  7. Selezionare "Selezionare un'identità utente". Selezionare l'identità gestita assegnata dall'utente creata nei prerequisiti.

Screenshot dell'insieme di credenziali delle chiavi, della chiave, dell'identità assegnata dall'utente e della chiave gestita dal cliente nella scheda crittografia

  1. L'identità assegnata dall'utente deve disporre delle autorizzazioni get key, list key, wrap key e unwrap key nell'insieme di credenziali delle chiavi . Per altre informazioni sull'assegnazione dei criteri di accesso di Azure Key Vault, vedere Assegnare criteri di accesso di Key Vault.

    Screenshot dei criteri di accesso get, list, wrap e upwrap key

  2. È anche possibile selezionare Chiave di crittografia come "Immetti chiave da Uri". È obbligatorio che la chiave abbia la protezione da eliminare e ripulire leggero per l'abilitazione. Sarà necessario confermare che selezionando la casella illustrata di seguito.

    Screenshot dell'URI dell'insieme di credenziali delle chiavi per la crittografia

  3. Selezionare quindi "Rivedi e crea" dopo aver completato altre schede.

  4. Selezionare il pulsante "Crea".

  5. Un'istanza di Azure Data Manager per l'energia viene creata con chiavi gestite dal cliente.

  6. Dopo l'abilitazione della chiave gestita dal cliente, lo stato verrà visualizzato nella schermata Panoramica .

    Screenshot della chiave gestita abilitata nella pagina panoramica di Gestione dati di Azure per l'energia.

  7. È possibile passare a Crittografia e vedere che cmk abilitato con l'identità gestita dall'utente.

    Screenshot delle impostazioni cmk disabilitate dopo l'installazione dell'istanza di Azure Data Manager per l'energia.

Passaggi successivi

Per altre informazioni sulle collegamento privato.

Come configurare i collegamenti privati