Consigli per la crittografia dei dati
Si applica alla raccomandazione della checklist di sicurezza ben architettata: Power Platform
| SE:06 | Crittografa i dati utilizzando metodi moderni e standard di settore per tutelare la riservatezza e l'integrità. Allinea l'ambito di crittografia con le classificazioni dei dati e dai priorità ai metodi di crittografia della piattaforma nativa. |
|---|
Se i tuoi dati non sono protetti, possono essere modificati in modo dannoso, con conseguente perdita di integrità e riservatezza.
Questa guida descrive i consigli per crittografare e proteggere i tuoi dati. La crittografia è il processo che utilizza algoritmi di crittografia per rendere i dati illeggibili e bloccarli con una chiave. Nello stato crittografato, i dati non possono essere decifrati. Possono essere decrittografati solo utilizzando una chiave accoppiata con la chiave di crittografia.
Definizioni
| Terms | Definizione |
|---|---|
| Certificati | File digitali che contengono le chiavi pubbliche per la crittografia o la decrittografia. |
| Decrittografia | Il processo in cui i dati crittografati vengono sbloccati con un codice segreto. |
| Crittografia | Il processo mediante il quale i dati vengono resi illeggibili e bloccati con un codice segreto. |
| Chiavi | Un codice segreto utilizzato per bloccare o sbloccare i dati crittografati. |
Strategie di progettazione chiave
Obblighi organizzativi o requisiti normativi potrebbero imporre meccanismi di crittografia. Ad esempio, potrebbe essere necessario che i dati rimangano solo nell'area selezionata e che le copie dei dati vengano conservate in tale area.
Questi requisiti rappresentano spesso il minimo di base. Cerca un livello di protezione più elevato. Sei responsabile della prevenzione contro le perdite di riservatezza e le manomissioni dei dati sensibili, siano essi dati di utenti esterni o dati di dipendenti.
I dati sono la risorsa più preziosa e insostituibile di un'organizzazione e la crittografia funge da ultima e più forte linea di difesa in una strategia di sicurezza dei dati a più livelli. I servizi e i prodotti cloud aziendali Microsoft utilizzano la crittografia per salvaguardare i dati dei clienti e aiutarti a mantenerne il controllo.
Scenari di crittografia
I meccanismi di crittografia probabilmente devono proteggere i dati in tre fasi:
I dati a riposo sono tutte le informazioni conservate in oggetti di archiviazione. Per impostazione predefinita, Microsoft archivia e gestisce le chiavi di crittografia degli ambienti utilizzando una chiave gestita da Microsoft. Tuttavia, Power Platform fornisce una chiave di crittografia gestita dal cliente (CMK) per un maggiore controllo della protezione dei dati, in cui è possibile gestire autonomamente la chiave di crittografia del database.
I dati in elaborazione sono dati che vengono utilizzati come parte di uno scenario interattivo o quando vengono toccati da un processo in background, come un aggiornamento. Power Platform carica i dati elaborati nello spazio di memoria di uno o più carichi di lavoro del servizio. Per facilitare la funzionalità del carico di lavoro, i dati archiviati in memoria non sono crittografati.
I dati in transito sono informazioni trasferite tra componenti, posizioni o programmi. Azure usa protocolli di trasporto standard del settore come TLS tra i dispositivi degli utenti e i data center Microsoft e nei data center stessi.
Meccanismi di crittografia nativi
Per impostazione predefinita, Microsoft archivia e gestisce le chiavi di crittografia degli ambienti utilizzando una chiave gestita da Microsoft. Tuttavia, Power Platform fornisce una chiave di crittografia gestita dal cliente (CMK) per un maggiore controllo della protezione dei dati, in cui è possibile gestire autonomamente la chiave di crittografia del database. La chiave di crittografia risiede in Azure Key Vault, che consente di ruotare o scambiare la chiave di crittografia su richiesta. Consente inoltre di impedire l'accesso di Microsoft ai dati dei clienti quando si revoca, in qualsiasi momento, l'accesso tramite chiave ai nostri servizi.
Chiavi di crittografia
Per impostazione predefinita, i servizi Power Platform utilizzano chiavi di crittografia gestite da Microsoft per crittografare e decrittografare i dati. Azure è responsabile della gestione delle chiavi.
Puoi scegliere le chiavi gestite dal cliente. Power Platform usa ancora le tue chiavi, ma sei responsabile delle operazioni con chiave.
Facilitazione di Power Platform
Le sezioni seguenti descrivono le caratteristiche e le funzionalità di Power Platform che puoi utilizzare per crittografare i tuoi dati.
Chiave gestita del cliente
Tutti i dati dei clienti archiviati in Power Platform vengono crittografati per impostazione predefinita utilizzando una chiave di crittografia avanzata gestita da Microsoft. Le organizzazioni con requisiti di privacy e conformità dei dati per proteggere i propri dati e gestire le proprie chiavi possono utilizzare la funzionalità della chiave gestita dal cliente. La chiave gestita dal cliente fornisce una protezione aggiuntiva dei dati grazie alla quale gestisci autonomamente la chiave di crittografia dei dati associata al tuo ambiente Dataverse. L'utilizzo di questa funzionalità consente di ruotare o scambiare le chiavi di crittografia su richiesta. Inoltre, impedisce a Microsoft di accedere ai tuoi dati quando revochi la chiave dal servizio. Per ulteriori informazioni, vedi Gestire la tua chiave di crittografia gestita dal cliente in .
Residenza dei dati
Un tenant Azure Active Directory (Azure AD) ospita le informazioni rilevanti per un'organizzazione e la sua sicurezza. Quando un tenant Azure AD si registra per i servizi Power Platform, il paese o l'area geografica selezionati dal tenant viene mappato all'area geografica di Azure più adatta in cui esiste la distribuzione Power Platform. Power Platform archivia i dati del cliente nell'area geografica di Azure assegnata al tenant oppure geografia principale, tranne nei casi in cui le organizzazioni distribuiscono servizi in più aree geografiche.
I servizi Power Platform sono disponibili in aree geografiche di Azure specifiche. Per altre informazioni su dove sono disponibili i servizi Power Platform, dove vengono archiviati i dati e su come vengono usati, vedi il Centro protezione Microsoft. Le direttive sulla posizione di archiviazione dei dati inattivi dei clienti sono specificate nelle Condizioni dell'elaborazione dati delle Condizioni dei servizi online Microsoft. Microsoft offre anche data center per entità sovrane.
L'accesso alle funzionalità di intelligenza artificiale generativa provenienti da regioni al di fuori degli Stati Uniti comporta lo spostamento di dati oltre i confini regionali. Copilot Studio Questo spostamento di dati può essere abilitato e disabilitato in Power Platform. Per saperne di più, consulta la sezione Regioni interessate dai copiloti e dalle funzionalità di intelligenza artificiale generativa. La residenza geografica dei dati in Microsoft Copilot Studio fornisce un framework solido per garantire la sicurezza dei dati e la conformità alle normative locali. Oltre alle sue funzionalità di sicurezza native, Copilot Studio sfrutta l'infrastruttura Azure per fornire opzioni di residenza dei dati sicure e conformi. Scopri di più sulla residenza dei dati e Copilot Studio in Residenza dei dati geografici in Copilot Studio e Sicurezza e residenza dei dati geografici in Copilot Studio.
Dati inattivi
Salvo diversa indicazione nella documentazione, i dati del cliente rimangono nella loro fonte originale (ad esempio, Dataverse o SharePoint). Tutti i dati memorizzati in modo permanente da Power Platform sono crittografati per impostazione predefinita utilizzando chiavi gestite da Microsoft.
Dati in elaborazione
I dati sono in elaborazione quando vengono utilizzati come parte di uno scenario interattivo o quando un processo in background come l'aggiornamento tocca questi dati. Power Platform carica i dati elaborati nello spazio di memoria di uno o più carichi di lavoro del servizio. Per facilitare la funzionalità del carico di lavoro, i dati archiviati in memoria non sono crittografati.
Dati in transito
Power Platform richiede che tutto il traffico HTTP in entrata sia crittografato utilizzando TLS 1.2 o versioni successive. Le richieste che tentano di utilizzare TLS 1.1 o versioni precedenti vengono rifiutate.
Per altre informazioni, vedi Informazioni sulla crittografia dei dati in Power Platform e Archiviazione e governance dei dati in Power Platform.
Informazioni correlate
- Informazioni sulla crittografia dei dati
- Archiviazione e governance dei dati in Power Platform
- Power Platform Domande frequenti sulla sicurezza
- Gestire la chiave di crittografia gestita dal cliente
Elenco di controllo della sicurezza
Fai riferimento alla serie completa di elementi consigliati.