Implementazione della crittografia dei dati inattivi in Archiviazione di Azure

Implementazione della crittografia dei dati inattivi in Archiviazione di Azure

01/03/2025

Questo articolo tecnico ed educativo ha lo scopo di guidare analisti della sicurezza, amministratori IT e ingegneri di sistema nell'implementazione e nella configurazione della crittografia dei dati inattivi in Archiviazione di Azure. La protezione dei dati archiviati è una misura di sicurezza fondamentale. Archiviazione di Azure offre crittografia avanzata per impostazione predefinita con Microsoft Managed Keys (MMK) e consente l'uso di Customer Managed Keys (CMK) tramite Azure Key Vault per un maggiore controllo [1].

Introduzione

La crittografia dei dati inattivi garantisce che i dati archiviati siano protetti da accessi non autorizzati. In Azure, tutti i dati in Archiviazione di Azure sono crittografati per impostazione predefinita [2]. Per le organizzazioni con severi requisiti di conformità, l'utilizzo di CMK è essenziale in quanto garantisce il pieno controllo sul ciclo di vita delle chiavi di crittografia (creazione, rotazione e revoca).

Questa guida riguarderà la configurazione di entrambi i modelli di crittografia, con particolare attenzione all'implementazione e alla convalida delle chiavi gestite dal cliente.

Perché la crittografia dei dati inattivi è fondamentale?

  • Protezione contro l'accesso non autorizzato: garantisce che i dati siano illeggibili senza la chiave di decrittografia.
  • Conformità normativa: aiuta a soddisfare normative come LGPD, GDPR, HIPAA, ecc.
  • Controllo delle chiavi: con CMK, le organizzazioni mantengono il pieno controllo sulle chiavi di crittografia.

Prerequisiti

  1. Abbonamento Azure attivo.
  2. Accesso amministrativo: autorizzazioni per gestire account di archiviazione e Key Vault.
  3. Account di archiviazione di Azure esistente (preferibilmente StorageV2).
  4. Azure Key Vault per archiviare CMK.

Passo dopo passo: configurazione della crittografia

1. Crittografia con chiavi gestite da Microsoft (impostazione predefinita)

Questa è l'impostazione predefinita e automatica. Per verificare:

  1. Passare al tuo Account di archiviazione nel portale di Azure.
  2. In "Sicurezza + Rete", seleziona Crittografia.
  3. Confermare che il "Tipo di crittografia" predefinito sia "Chiavi gestite da Microsoft".

2. Implementazione della crittografia con chiavi gestite dal cliente (CMK)

2.1. Creare un insieme di credenziali delle chiavi e una chiave di Azure

  1. Creare un nuovo Azure Key Vault. Importante: attiva la Protezione da eliminazione durante la creazione.
  2. All'interno di Key Vault passare a Chiavi e fare clic su Genera/Importa per creare una nuova chiave (ad esempio: storage-cmk-key).

2.2. Configura l'accesso all'account di archiviazione

  1. Passa al tuo Account di archiviazione.
  2. Vai su Crittografia e modifica il "Tipo di crittografia" in "Chiavi gestite dal cliente".
  3. Selezionare l'opzione per utilizzare una chiave da Key Vault. In questo caso, Azure ti chiederà di creare un'identità gestita per l'account di archiviazione. Permettere.
  4. Ora torna al Key Vault e vai a Criteri di accesso.
  5. Creare una nuova policy di accesso. Concedi le autorizzazioni per le chiavi "Get", "Wrap Key" e "Unwrap Key".
  6. Nel passaggio "Entità di sicurezza", cercare e selezionare l'identità gestita per il proprio account di archiviazione.
  7. Salvare la politica di accesso.

2.3. Configurare l'account di archiviazione per utilizzare CMK

  1. Torna alla pagina Crittografia per il tuo account di archiviazione.
  2. Selezionare Key Vault e la chiave creata.
  3. Salva le modifiche. D'ora in poi, tutti i dati registrati nell'account verranno crittografati con la tua chiave.

Convalida e test

1. Testare l'accesso ai dati

Dopo aver configurato la CMK, carica e scarica un file. L'operazione deve essere trasparente.

"bash."

Carica un file di prova

az storage blob upload --account-name -c -n "test.txt" -f "local/path/to/test.txt" --auth-mode login

Scarica il file di prova

download del BLOB di archiviazione az --account-name -c -n "test.txt" -f "local/path/to/downloaded.txt" --auth-mode login ```

2. Testare la revoca dell'accesso con chiave

Questo è il test più critico per CMK.

  1. In Key Vault, passare alla chiave in uso.
  2. Fare clic sulla versione della chiave corrente e modificare l'impostazione Abilitata su No.
  3. Attendi qualche minuto.
  4. Prova ad accedere ai dati nel tuo account di archiviazione (ad esempio, prova a scaricare nuovamente il BLOB).
  5. Risultato previsto: l'operazione dovrebbe fallire con un errore di accesso negato (403 Forbidden), dimostrando di avere il pieno controllo sull'accesso ai dati.
  6. Non dimenticare di riattivare la chiave per ripristinare l'accesso.

Rotazione dei tasti

La rotazione delle chiavi è una pratica di sicurezza essenziale. Con CMK hai due opzioni:

  • Rotazione manuale: creare una nuova versione della chiave in Key Vault e aggiornare la configurazione di crittografia nell'account di archiviazione in modo che punti alla nuova versione.
  • Rotazione automatica: quando si configura la CMK nell'account di archiviazione, non specificare una versione della chiave. L'account di archiviazione controllerà periodicamente Key Vault e utilizzerà automaticamente la versione più recente della chiave [3].

Migliori pratiche

  • Abilita la protezione dalla cancellazione e l'eliminazione temporanea nel Key Vault per proteggere le chiavi dall'eliminazione accidentale o dannosa.
  • Utilizzare identità gestite per consentire all'account di archiviazione di accedere a Key Vault. È più sicuro rispetto all'utilizzo di altri metodi.
  • Monitora l'attività di Key Vault: usa i log di diagnostica di Key Vault per verificare chi accede alle tue chiavi e quando.
  • Richiedi trasferimento sicuro (HTTPS): quando si configura l'account di archiviazione, richiedere sempre il trasferimento sicuro per crittografare i dati in transito.

Conclusione

La crittografia dei dati inattivi in Archiviazione di Azure è un livello di difesa fondamentale. Mentre le chiavi gestite da Microsoft forniscono sicurezza per impostazione predefinita senza alcuno sforzo, le chiavi gestite dal cliente (CMK) forniscono il livello di controllo e garanzia richiesto da molte organizzazioni per soddisfare rigorosi requisiti di sicurezza e conformità. Padroneggiando l'implementazione e la gestione di CMK, ti assicuri che i tuoi dati rimangano protetti e sotto il tuo controllo.

Riferimenti

[1]Microsoft. (2023). Panoramica sulla crittografia di Archiviazione di Azure. [2]Microsoft. (2023). Crittografia del servizio di archiviazione di Azure per i dati inattivi. [3]Microsoft. (2023). Chiavi gestite dal cliente per la crittografia di Archiviazione di Azure.