Sicurezza in Azure Esplora dati

Questo articolo offre un'introduzione alla sicurezza in Azure Esplora dati per proteggere i dati e le risorse nel cloud e soddisfare le esigenze di sicurezza dell'azienda. È importante proteggere i cluster. La protezione dei cluster include una o più funzionalità di Azure che includono l'accesso sicuro e l'archiviazione. Questo articolo fornisce informazioni utili per proteggere il cluster.

Per altre risorse relative alla conformità per l'azienda o l'organizzazione, vedere la documentazione sulla conformità di Azure.

Sicurezza di rete

La sicurezza di rete è un requisito condiviso da molti dei nostri clienti aziendali consapevoli della sicurezza. Lo scopo è isolare il traffico di rete e limitare la superficie di attacco per Azure Esplora dati e le comunicazioni corrispondenti. È quindi possibile bloccare il traffico proveniente da segmenti di rete non azure Esplora dati e assicurarsi che solo il traffico proveniente da origini note raggiunga Azure Esplora dati endpoint. Ciò include il traffico che ha origine in locale o all'esterno di Azure, con una destinazione di Azure e viceversa. Azure Esplora dati supporta le funzionalità seguenti per raggiungere questo obiettivo:

• Endpoint privato (scelta consigliata)
• Inserimento della rete virtuale

È consigliabile usare endpoint privati per proteggere l'accesso alla rete al cluster. Questa opzione offre molti vantaggi rispetto all'inserimento di reti virtuali che comportano un sovraccarico di manutenzione inferiore, tra cui un processo di distribuzione più semplice e più affidabile per le modifiche alla rete virtuale.

Identità e controllo di accesso

Controllo degli accessi in base al ruolo

Usare il controllo degli accessi in base al ruolo per separare i compiti e concedere solo l'accesso necessario agli utenti del cluster. Anziché concedere a tutti autorizzazioni senza restrizioni nel cluster, è possibile consentire solo agli utenti assegnati a ruoli specifici di eseguire determinate azioni. È possibile configurare il controllo di accesso per i database nel portale di Azure, usando l'interfaccia della riga di comando di Azure o Azure PowerShell.

Identità gestite per le risorse di Azure

Una sfida comune quando si compilano applicazioni cloud è la gestione delle credenziali nel codice per l'autenticazione ai servizi cloud. Garantire la sicurezza delle credenziali è fondamentale. Le credenziali non devono essere archiviate nelle workstation per sviluppatori o archiviate nel controllo del codice sorgente. Azure Key Vault consente di archiviare in modo sicuro le credenziali, i segreti e altre chiavi, ma è necessario autenticare il codice in Key Vault per recuperarle.

La funzionalità delle identità gestite di Microsoft Entra per le risorse di Azure risolve questo problema. Questa funzionalità offre servizi di Azure con un'identità gestita automaticamente in Microsoft Entra ID. È possibile usare l'identità per eseguire l'autenticazione a qualsiasi servizio che supporta l'autenticazione di Microsoft Entra, incluso Key Vault, senza credenziali nel codice. Per altre informazioni su questo servizio, vedere la pagina di panoramica delle identità gestite per le risorse di Azure.

Protezione dei dati

Crittografia dischi di Azure

Crittografia dischi di Azure consente di proteggere e salvaguardare i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Fornisce la crittografia del volume per il sistema operativo e i dischi dati delle macchine virtuali del cluster. Crittografia dischi di Azure si integra anche con Azure Key Vault, che consente di controllare e gestire le chiavi e i segreti di crittografia del disco e assicurarsi che tutti i dati nei dischi delle macchine virtuali siano crittografati.

Chiavi gestite dal cliente con Azure Key Vault

Per impostazione predefinita, i dati vengono crittografati con chiavi gestite da Microsoft. Per un maggiore controllo sulle chiavi di crittografia, è possibile fornire chiavi gestite dal cliente da usare per la crittografia dei dati. È possibile gestire la crittografia dei dati a livello di archiviazione con le proprie chiavi. Una chiave gestita dal cliente viene usata per proteggere e controllare l'accesso alla chiave di crittografia radice, che viene usata per crittografare e decrittografare tutti i dati. Le chiavi gestite dal cliente offrono maggiore flessibilità per creare, ruotare, disabilitare e revocare i controlli di accesso. È anche possibile controllare le chiavi di crittografia usate per proteggere i dati.

Usare Azure Key Vault per archiviare le chiavi gestite dal cliente. È possibile creare chiavi personalizzate e archiviarle in un insieme di credenziali delle chiavi oppure usare un'API di Azure Key Vault per generare le chiavi. Il cluster di Azure Esplora dati e Azure Key Vault devono trovarsi nella stessa area, ma possono trovarsi in sottoscrizioni diverse. Per altre informazioni su Azure Key Vault, vedere Informazioni su Azure Key Vault. Per una spiegazione dettagliata sulle chiavi gestite dal cliente, vedere Chiavi gestite dal cliente con Azure Key Vault. Configurare le chiavi gestite dal cliente nel cluster di Azure Esplora dati usando il portale, C#, il modello di Azure Resource Manager, l'interfaccia della riga di comando o PowerShell.

Archiviare le chiavi gestite dal cliente in Azure Key Vault

Per abilitare le chiavi gestite dal cliente in un cluster, usare un insieme di credenziali delle chiavi di Azure per archiviare le chiavi. È necessario abilitare entrambe le proprietà Eliminazione temporanea e Protezione dall'eliminazione nell'insieme di credenziali delle chiavi. L'insieme di credenziali delle chiavi deve trovarsi nella stessa area del cluster. Azure Esplora dati usa le identità gestite per le risorse di Azure per l'autenticazione nell'insieme di credenziali delle chiavi per le operazioni di crittografia e decrittografia. Le identità gestite non supportano scenari tra directory.

Ruotare le chiavi gestite dal cliente

È possibile ruotare una chiave gestita dal cliente in Azure Key Vault in base ai criteri di conformità. Per ruotare una chiave, in Azure Key Vault aggiornare la versione della chiave o creare una nuova chiave e quindi aggiornare il cluster per crittografare i dati usando il nuovo URI della chiave. È possibile eseguire questi passaggi usando l'interfaccia della riga di comando di Azure o nel portale. La rotazione della chiave non attiva la ricrittografazione dei dati esistenti nel cluster.

Quando si ruota una chiave, in genere si specifica la stessa identità usata durante la creazione del cluster. Facoltativamente, configurare una nuova identità assegnata dall'utente per l'accesso alle chiavi o abilitare e specificare l'identità assegnata dal sistema del cluster.

Aggiornare la versione della chiave

Uno scenario comune consiste nell'aggiornare la versione della chiave usata come chiave gestita dal cliente. A seconda della configurazione della crittografia del cluster, la chiave gestita dal cliente nel cluster viene aggiornata automaticamente o deve essere aggiornata manualmente.

Revocare l'accesso alle chiavi gestite dal cliente

Per revocare l'accesso alle chiavi gestite dal cliente, usare PowerShell o l'interfaccia della riga di comando di Azure. Per altre informazioni, vedere PowerShell per Azure Key Vault o Interfaccia della riga di comando per Azure Key Vault. La revoca dell'accesso blocca l'accesso a tutti i dati nel livello di archiviazione del cluster, poiché la chiave di crittografia è di conseguenza inaccessibile da Azure Esplora dati.

Contenuto correlato

• Baseline di sicurezza di Azure per Azure Esplora dati
• Proteggere il cluster usando Crittografia dischi abilitando la crittografia dei dati inattivi.
• Configurare le identità gestite per il cluster
• Configurare chiavi gestite dal cliente
• Documentazione sulla conformità in Azure