Abilitare la crittografia dell'infrastruttura per la doppia crittografia dei dati
Articolo
Archiviazione di Azure crittografa automaticamente tutti i dati in un account di archiviazione a livello di servizio usando AES a 256 bit con la crittografia della modalità GCM, una delle crittografie a blocchi più complesse disponibili ed è conforme a FIPS 140-2. I clienti che richiedono livelli più elevati di garanzia che i dati siano sicuri possono anche abilitare AES a 256 bit con la crittografia CBC a livello di infrastruttura Archiviazione di Azure per la doppia crittografia. La doppia crittografia dei dati di Archiviazione di Azure protegge da uno scenario in cui uno degli algoritmi o delle chiavi di crittografia può essere compromesso. In questo scenario, il livello aggiuntivo di crittografia continua a proteggere i dati.
La crittografia dell'infrastruttura può essere abilitata per l'intero account di archiviazione o per un ambito di crittografia all'interno di un account. Una volta abilitata la crittografia dell'infrastruttura per un account di archiviazione o un ambito di crittografia, i dati vengono crittografati due volte: una volta a livello di servizio e una volta a livello di infrastruttura, con due algoritmi di crittografia e due chiavi diversi.
La crittografia a livello di servizio supporta l'uso di chiavi gestite da Microsoft o chiavi gestite dal cliente con Azure Key Vault o il modello di protezione hardware gestito di Key Vault. La crittografia a livello di infrastruttura si basa su chiavi gestite da Microsoft e usa sempre una chiave separata. Per altre informazioni sulla gestione delle chiavi con crittografia Archiviazione di Azure, vedere Informazioni sulla gestione delle chiavi di crittografia.
Per crittografare due volte i dati, è prima necessario creare un account di archiviazione o un ambito di crittografia configurato per la crittografia dell'infrastruttura. Questo articolo descrive come abilitare la crittografia dell'infrastruttura.
Importante
La crittografia dell'infrastruttura è consigliata per gli scenari in cui la crittografia doppia dei dati è necessaria per i requisiti di conformità. Per la maggior parte degli altri scenari, la crittografia di Archiviazione di Azure fornisce un algoritmo di crittografia sufficientemente potente ed è improbabile che l'uso della crittografia dell'infrastruttura sia vantaggioso.
Creare un account con la crittografia dell'infrastruttura abilitata
Per abilitare la crittografia dell'infrastruttura per un account di archiviazione, è necessario configurare un account di archiviazione per usare la crittografia dell'infrastruttura al momento della creazione dell'account. La crittografia dell'infrastruttura non può essere abilitata o disabilitata dopo la creazione dell'account. L'account di archiviazione deve essere di tipo per utilizzo generico v2, BLOB in blocchi Premium, BLOB di pagine Premium o condivisioni file Premium.
Per usare il portale di Azure per creare un account di archiviazione con la crittografia dell'infrastruttura abilitata, attenersi alla procedura seguente:
Nella portale di Azure passare alla pagina Account di archiviazione.
Scegliere il pulsante Aggiungi per aggiungere un nuovo account per utilizzo generico v2, BLOB in blocchi Premium, BLOB di pagine Premium o account di condivisione file Premium.
Nella scheda Crittografia, individuare Abilita crittografia dell'infrastruttura e selezionare Abilitato.
Selezionare Rivedi e crea per completare la creazione dell'account di archiviazione.
Per verificare che la crittografia dell'infrastruttura sia abilitata per un account di archiviazione tramite il portale di Azure, attenersi alla procedura seguente:
Passare all'account di archiviazione nel portale di Azure.
In Sicurezza e rete scegliere Crittografia.
Per usare PowerShell per creare un account di archiviazione con la crittografia dell'infrastruttura abilitata, assicurarsi di aver installato il modulo Az.Storage PowerShell versione 2.2.0 o successiva. Per altre informazioni, vedere Installare Azure PowerShell.
Creare quindi un account di archiviazione per utilizzo generico v2, BLOB in blocchi Premium, BLOB di pagine Premium o condivisione file Premium chiamando il comando New-AzStorageAccount . Includere l'opzione per abilitare la -RequireInfrastructureEncryption crittografia dell'infrastruttura.
L'esempio seguente illustra come creare un account di archiviazione per utilizzo generico v2 configurato per l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e la crittografia dell'infrastruttura è abilitata per la doppia crittografia dei dati. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori:
Per verificare che la crittografia dell'infrastruttura sia abilitata per un account di archiviazione, chiamare il comando Get-AzStorageAccount . Questo comando restituisce un set di proprietà dell'account di archiviazione e i relativi valori. Recuperare il RequireInfrastructureEncryption campo all'interno della Encryption proprietà e verificare che sia impostato su True.
Nell'esempio seguente viene recuperato il valore della RequireInfrastructureEncryption proprietà . Ricordarsi di sostituire i valori segnaposto tra parentesi angolari con i propri valori:
Per usare l'interfaccia della riga di comando di Azure per creare un account di archiviazione con crittografia dell'infrastruttura abilitata, assicurarsi di aver installato l'interfaccia della riga di comando di Azure versione 2.8.0 o successiva. Per altre informazioni, vedere Installare l'interfaccia della riga di comando di Azure.
Creare quindi un account per utilizzo generico v2, BLOB in blocchi Premium, BLOB di pagine Premium o condivisione file Premium chiamando il comando az storage account create e includere per abilitare la crittografia dell'infrastruttura --require-infrastructure-encryption option .
L'esempio seguente illustra come creare un account di archiviazione per utilizzo generico v2 configurato per l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e la crittografia dell'infrastruttura è abilitata per la doppia crittografia dei dati. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori:
Per verificare che la crittografia dell'infrastruttura sia abilitata per un account di archiviazione, chiamare il comando az storage account show . Questo comando restituisce un set di proprietà dell'account di archiviazione e i relativi valori. Cercare il requireInfrastructureEncryption campo all'interno della encryption proprietà e verificare che sia impostato su true.
Nell'esempio seguente viene recuperato il valore della requireInfrastructureEncryption proprietà . Ricordarsi di sostituire i valori segnaposto tra parentesi angolari con i propri valori:
az storage account show /
--name <storage-account> /
--resource-group <resource-group>
L'esempio JSON seguente crea un account di archiviazione per utilizzo generico v2 configurato per l'archiviazione con ridondanza geografica e accesso in lettura (RA-GRS) e la crittografia dell'infrastruttura è abilitata per la doppia crittografia dei dati. Ricordarsi di sostituire i valori segnaposto tra parentesi quadre con i propri valori:
Criteri di Azure fornisce criteri predefiniti per richiedere l'abilitazione della crittografia dell'infrastruttura per un account di archiviazione. Per altre informazioni, vedere la sezione Archiviazione in Definizioni del criterio predefinito di Criteri di Azure.
Creare un ambito di crittografia con la crittografia dell'infrastruttura abilitata
Se la crittografia dell'infrastruttura è abilitata per un account, qualsiasi ambito di crittografia creato in tale account usa automaticamente la crittografia dell'infrastruttura. Se la crittografia dell'infrastruttura non è abilitata a livello di account, è possibile abilitarla per un ambito di crittografia al momento della creazione dell'ambito. L'impostazione di crittografia dell'infrastruttura per un ambito di crittografia non può essere modificata dopo la creazione dell'ambito. Per altre informazioni, vedere Creare un ambito di crittografia.
