Esplorare le funzionalità di sicurezza di Archiviazione di Azure

Completato

L'attività di Contoso si basa principalmente su grandi quantità di dati in Archiviazione di Azure. Numerose applicazioni usano i BLOB, l'archiviazione tabelle non strutturate, Azure Data Lake e le condivisioni di file basate su SMB (Server Message Block).

Dopo una violazione dei dati subita da un concorrente, Contoso richiede all'amministratore di rete di verificare la sicurezza dei dati dell'organizzazione. Come consulente dati di Contoso, si garantisce all'amministratore di rete che gli account di Archiviazione di Azure offrono diverse opzioni di sicurezza di alto livello per i dati nel cloud:

  • Protezione dei dati inattivi
  • Protezione dei dati in transito
  • Supporto dell'accesso tra domini del browser
  • Controllo degli utenti che accedono ai dati
  • Controllo dell'accesso alle risorse di archiviazione

Crittografia dei dati inattivi

Tutti i dati scritti in Archiviazione di Azure vengono crittografati automaticamente tramite la funzionalità di crittografia del servizio di archiviazione con crittografia AES (Advanced Encryption Standard) a 256 bit e in modo conforme a FIPS 140-2. La crittografia del servizio di archiviazione crittografa automaticamente i dati quando vengono scritti in Archiviazione di Azure. Durante la lettura dei dati da Archiviazione di Azure, Archiviazione di Azure decrittografa i dati prima di restituirli. Questo processo non comporta costi aggiuntivi e non influisce negativamente sulle prestazioni. Non può essere disabilitato.

Per le macchine virtuali, Azure consente di crittografare i dischi rigidi virtuali (VHD) con Crittografia dischi di Azure. Questo tipo di crittografia usa BitLocker per le immagini di Windows e dm-crypt per Linux.

Le chiavi vengono memorizzate automaticamente in Azure Key Vault per consentire il controllo e la gestione dei segreti e delle chiavi di crittografia dei dischi. Pertanto, anche se un utente malintenzionato riesce ad accedere all'immagine del disco rigido virtuale e la scarica, l'utente non potrà accedere ai dati sul disco rigido virtuale.

Crittografia dei dati in transito

È possibile proteggere i dati abilitando la sicurezza a livello di trasporto tra Azure e il client. Usare sempre HTTPS per proteggere le comunicazioni sulla rete Internet pubblica. Quando si chiamano le API REST per accedere a oggetti negli account di archiviazione, è possibile imporre l'uso del protocollo HTTPS rendendo obbligatorio il trasferimento sicuro per l'account di archiviazione. Dopo aver abilitato il trasferimento sicuro, le connessioni che usano HTTP verranno rifiutate. Questo flag impone anche il trasferimento sicuro via SMB rendendo obbligatorio l'uso di SMB 3.0 per tutte le condivisioni di file montate.

Supporto CORS

Contoso archivia diversi tipi di asset di sito Web in Archiviazione di Azure. Questi tipi includono immagini e video. Per proteggere le app del browser, Contoso blocca le richieste GET fino a domini specifici.

Archiviazione di Azure supporta l'accesso tra domini attraverso la condivisione di risorse tra le origini (CORS). CORS usa le intestazioni HTTP per consentire a un'applicazione Web in un dominio di accedere alle risorse da un server di un altro dominio. Usando CORS le app Web caricano solo contenuti autorizzati di origini autorizzate.

Il supporto per CORS è un flag facoltativo che è possibile abilitare negli account di archiviazione. Il flag aggiunge le intestazioni appropriate quando si usano richieste GET HTTP per recuperare le risorse dall'account di archiviazione.

Controllo degli accessi in base al ruolo

Per accedere ai dati in un account di archiviazione, il client effettua una richiesta via HTTP o HTTPS. Tutte le richieste a una risorsa protetta devono essere autorizzate. Il servizio assicura che il client abbia le autorizzazioni necessarie per accedere ai dati. È possibile scegliere tra diverse opzioni di accesso. L'opzione più flessibile è probabilmente l'accesso basato sui ruoli.

Archiviazione di Azure supporta Microsoft Entra ID e il controllo degli accessi in base al ruolo sia per le operazioni di gestione delle risorse che per le operazioni sui dati. Per le entità di sicurezza, è possibile assegnare i ruoli Controllo degli accessi in base al ruolo che hanno come ambito l'account di archiviazione. È possibile usare Active Directory per autorizzare le operazioni di gestione delle risorse, ad esempio la configurazione. Active Directory è supportato per le operazioni sui dati nell'archiviazione BLOB e nell'archiviazione code.

È possibile assegnare ruoli del controllo degli accessi in base al ruolo a un'entità di sicurezza o un'identità gestita per le risorse di Azure con ambito impostato su una sottoscrizione, un gruppo di risorse, un account di archiviazione o un singolo contenitore o coda.

Controllo dell'accesso

Il controllo è un'altra parte del controllo degli accessi. È possibile controllare l'accesso di Archiviazione di Azure usando il servizio Analisi archiviazione incorporato.

Analisi archiviazione registra ogni operazione in tempo reale ed è possibile eseguire ricerche di richieste specifiche nei log di Analisi archiviazione. È possibile filtrare in base al meccanismo di autenticazione, all'esito positivo dell'operazione o alla risorsa cui è stato eseguito l'accesso.