Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Sono disponibili diversi tipi di crittografia per i dischi gestiti, tra cui Crittografia dischi di Azure (ADE), Crittografia lato server (SSE) e crittografia a livello di host.
La crittografia lato server di Archiviazione su disco di Azure (detta anche crittografia dei dati inattivi o crittografia di Archiviazione di Azure) è sempre abilitata ed crittografa automaticamente i dati archiviati nei dischi gestiti di Azure (sistema operativo e dischi dati) quando si salvano in modo permanente nei cluster di archiviazione. Se configurato con un set di crittografia dischi, supporta anche chiavi gestite dal cliente. Non crittografa i dischi temporanei o le cache dei dischi. Per informazioni dettagliate vedere Crittografia lato server di Archiviazione su disco di Azure.
La crittografia a livello di host è un'opzione della macchina virtuale che migliora la crittografia lato server di Archiviazione su disco di Azure per garantire che tutti i dischi temporanei e le cache dei dischi vengano crittografati quando inattivi e trasmessi crittografati ai cluster di archiviazione. Per informazioni dettagliate vedere Crittografia a livello di host - Crittografia end-to-end per i dati della macchina virtuale.
Crittografia dischi riservati associa le chiavi di crittografia del disco al TPM della macchina virtuale e rendendo il contenuto del disco protetto accessibile solo alla macchina virtuale. Lo stato del TPM e lo della macchina virtuale guest sono sempre crittografati in codice attestato usando chiavi rilasciate da un protocollo sicuro che ignora l'hypervisor e il sistema operativo host. Attualmente è disponibile solo per il disco del sistema operativo; il supporto del disco temporaneo è disponibile in anteprima. La crittografia a livello di host può essere usata per altri dischi in una macchina virtuale riservata in aggiunta alla Crittografia dischi riservati. Per informazioni dettagliate vedere Macchine virtuali riservate serie DCasv5 e ECasv5.
Crittografia dischi di Azure consente di proteggere e salvaguardare i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Crittografia dischi di Azure (ADE) crittografa il sistema operativo e i dischi dati delle macchine virtuali di Azure all'interno delle macchine virtuali usando la funzionalità DM-Crypt di Linux o la funzionalità BitLocker di Windows. Crittografia dischi di Azure (ADE) è integrata con Azure Key Vault per consentire di controllare e gestire le chiavi e i segreti di crittografia del disco con l'opzione per crittografare con una chiave di crittografia della chiave (KEK). Per altre informazioni vedere Crittografia dischi di Azure per macchine virtuali Linux o Crittografia dischi di Azure per macchine virtuali Windows.
Importante
Crittografia dischi di Azure per le macchine virtuali e i set di scalabilità di macchine virtuali verranno ritirati il 15 settembre 2028. I nuovi clienti devono usare la crittografia nell'host per tutte le nuove macchine virtuali. I clienti esistenti devono pianificare la migrazione delle macchine virtuali abilitate per ADE correnti alla crittografia nell'host prima della data di ritiro per evitare interruzioni del servizio. Vedere Eseguire la migrazione da Crittografia dischi di Azure alla crittografia nell'host.
La crittografia fa parte di un approccio alla sicurezza strutturato su più livelli e deve essere usata insieme ad altre raccomandazioni per proteggere le macchine virtuali e i relativi dischi. Per informazioni dettagliate vedere Raccomandazioni sulla sicurezza per le macchine virtuali in Azure e Limitare l'accesso di importazione/esportazione ai dischi gestiti.
Confronto
Di seguito è riportato un confronto tra l'archiviazione su disco con Crittografia SSE (Crittografia lato server), ADE (Crittografia dischi di Azure), Crittografia a livello di host e Crittografia dischi riservati.
| Crittografia lato server di Archiviazione su disco di Azure | Crittografia a livello di host | Crittografia dischi di Azure | Crittografia dischi riservati (solo per il disco del sistema operativo) | |
|---|---|---|---|---|
| Crittografia dei dati inattivi (dischi dati e del sistema operativo) | ✅ | ✅ | ✅ | ✅ |
| Crittografia dei dischi temporanei | ❌ | ✅ Supportato solo con chiave gestita dalla piattaforma | ✅ | ✅ In anteprima |
| Crittografia delle cache | ❌ | ✅ | ✅ | ✅ |
| Flussi di dati crittografati tra risorse di calcolo e archiviazione | ❌ | ✅ | ✅ | ✅ |
| Controllo delle chiavi da parte del cliente | ✅ Quando configurato con DES | ✅ Quando configurato con DES | ✅ Se configurato con KEK | ✅ Quando configurato con DES |
| Supporto modulo di protezione hardware (HSM) | Azure Key Vault Premium e Modulo di protezione hardware gestito | Azure Key Vault Premium e Modulo di protezione hardware gestito | Azure Key Vault Premium | Azure Key Vault Premium e Modulo di protezione hardware gestito |
| Non usa la CPU della macchina virtuale | ✅ | ✅ | ❌ | ❌ |
| Funziona per immagini personalizzate | ✅ | ✅ | ❌ Non funziona per immagini personalizzate Linux | ✅ |
| Protezione avanzata delle chiavi | ❌ | ❌ | ❌ | ✅ |
| Stato di crittografia del disco di Microsoft Defender per il Cloud* | Non salutare | Sano | Sano | Non applicabile |
Importante
Per la crittografia dischi riservati attualmente Microsoft Defender per il Cloud non ha raccomandazioni applicabili.
* Microsoft Defender per il Cloud offre le raccomandazioni seguenti sulla crittografia del disco:
- Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere abilitata la crittografia a livello di host (viene rilevata solo la crittografia a livello di host)
- Le macchine virtuali devono crittografare i dischi temporanei, le cache e i flussi di dati tra risorse di calcolo e di archiviazione (viene rilevata solo la Crittografia dischi di Azure)
- Le macchine virtuali Windows devono abilitare la Crittografia dischi di Azure o EncryptionAtHost (viene rilevata sia la Crittografia dischi di Azure che EncryptionAtHost)
- Le macchine virtuali Linux devono abilitare la Crittografia dischi di Azure o EncryptionAtHost (viene rilevata sia la Crittografia dischi di Azure che EncryptionAtHost)
Passaggi successivi
- Crittografia dischi di Azure per macchine virtuali Linux
- Crittografia dischi di Azure per macchine virtuali Windows
- Crittografia lato server di Archiviazione su disco di Azure
- Crittografia a livello di host
- Eseguire la migrazione da Crittografia dischi di Azure alla crittografia lato server
- Macchine virtuali riservate serie DCasv5 e ECasv5.
- Nozioni di base sulla sicurezza di Azure - Panoramica della Crittografia di Azure