Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Key Vault è un servizio cloud per l'archiviazione e l'accesso ai segreti in modo sicuro. Un segreto è qualsiasi elemento a cui si vuole controllare rigorosamente l'accesso, ad esempio chiavi API, password, certificati o chiavi crittografiche. Il servizio Key Vault supporta due tipi di contenitori: cassaforti e pool di moduli di sicurezza hardware gestiti (HSM). I vault supportano la memorizzazione di chiavi, segreti e certificati supportati da software e HSM. I pool di HSM gestiti supportano solo le chiavi supportate da HSM. Per informazioni dettagliate, vedere Panoramica dell'API REST di Azure Key Vault.
Altri termini importanti sono riportati di seguito:
Tenant: un tenant è l'organizzazione che possiede e gestisce una specifica istanza dei servizi cloud Microsoft. Viene spesso usato per fare riferimento al set di servizi di Azure e Microsoft 365 per l’organizzazione.
Proprietario della cassaforte: Un proprietario della cassaforte può creare una cassaforte delle chiavi e ottenere pieno accesso e controllo su di essa. Il proprietario dell'insieme di credenziali può anche configurare il controllo per registrare chi accede a segreti e chiavi. Gli amministratori possono controllare il ciclo di vita delle chiavi. Possono passare a una nuova versione della chiave, eseguirne il backup e svolgere attività correlate.
Utente del vault: Un utente del vault può eseguire azioni sugli asset all'interno del portachiavi quando il proprietario del vault concede all'utente l'accesso. Le azioni disponibili dipendono dalle autorizzazioni concesse.
Amministratori di HSM gestito: gli utenti a cui è assegnato il ruolo di amministratore hanno il controllo completo su un pool HSM gestito. Possono creare più assegnazioni di ruolo per delegare l'accesso controllato ad altri utenti.
Utente/Ufficiale Crypto di HSM gestito: Ruoli predefiniti solitamente assegnati a utenti o principi di servizio che eseguiranno operazioni crittografiche utilizzando le chiavi in HSM gestito. L'utente della crittografia può creare nuove chiavi, ma non può eliminarle.
Utente di crittografia del servizio di crittografia di HSM gestito: ruolo predefinito assegnato in genere a un'identità del servizio gestita di un account del servizio (ad esempio, account di archiviazione) per la crittografia dei dati inattivi con la chiave gestita dal cliente.
Risorsa: una risorsa è un elemento gestibile disponibile tramite Azure. Esempi comuni sono la macchina virtuale, l'account di archiviazione, l'app Web, il database e la rete virtuale. Ne esistono molti altri.
Gruppo di risorse: un gruppo di risorse è un contenitore con risorse correlate per una soluzione di Azure. Il gruppo di risorse può includere tutte le risorse per la soluzione o solo le risorse che si desidera gestire come gruppo. L'utente decide come allocare le risorse ai gruppi di risorse nel modo più appropriato per l'organizzazione.
Entità di sicurezza: un'entità di sicurezza di Azure è un'identità di sicurezza usata da app, servizi e strumenti di automazione creati dall'utente per accedere a risorse di Azure specifiche. Può essere considerata come una "identità utente" (nome utente e password o certificato) con un ruolo specifico e autorizzazioni attentamente controllate. A differenza di un'identità utente generica, un'entità di sicurezza dovrà eseguire solo operazioni specifiche. Se le viene concesso solo il livello minimo di autorizzazioni necessarie per eseguire le attività di gestione, migliora la sicurezza. Un'entità di sicurezza usata con un'applicazione o un servizio è denominata entità servizio.
Microsoft Entra ID: Microsoft Entra ID è il servizio Active Directory per un tenant. Ogni directory dispone di uno o più domini. A una directory possono essere associate molte sottoscrizioni, ma un solo tenant.
ID tenant di Azure: un ID tenant è un modo univoco per identificare un'istanza di Microsoft Entra all'interno di una sottoscrizione di Azure.
Identità gestite: Azure Key Vault consente di archiviare in modo sicuro le credenziali e altre chiavi e segreti, ma è necessario autenticare il codice in Key Vault per recuperarli. L'uso di un'identità gestita semplifica la soluzione di questo problema, fornendo ai servizi Azure un'identità gestita automaticamente in Microsoft Entra ID. È possibile usare questa identità per l’autenticazione di Key Vault o a qualsiasi servizio che supporti l'autenticazione di Microsoft Entra, senza dover inserire alcuna credenziale nel codice. Per altre informazioni, vedere l'immagine seguente e la panoramica delle identità gestite per le risorse di Azure.
Autenticazione
Per eseguire qualsiasi operazione con Key Vault, è prima necessario eseguire l'autenticazione. Esistono tre modi per eseguire l'autenticazione in Key Vault:
- Identità gestite per le risorse di Azure: quando si distribuisce un'app in una macchina virtuale in Azure, è possibile assegnare un'identità alla macchina virtuale che ha accesso a Key Vault. È anche possibile assegnare identità ad altre risorse di Azure. Il vantaggio di questo approccio è che l'app o il servizio non gestisce la rotazione del primo segreto. È Azure a eseguire automaticamente la rotazione dell'identità. È consigliabile adottare questo approccio come procedura consigliata.
- Entità servizio e certificato: è possibile usare un'entità servizio e un certificato associato che abbia accesso a Key Vault. Questo approccio non è consigliato perché il proprietario o lo sviluppatore dell'applicazione deve ruotare il certificato.
- Entità servizio e segreto: anche se è possibile usare un'entità servizio e un segreto per l'autenticazione in Key Vault, non è consigliabile. È difficile ruotare automaticamente il segreto bootstrap usato per eseguire l'autenticazione in Key Vault.
Crittografia dei dati in transito
Azure Key Vault usa il protocollo Transport Layer Security (TLS) per proteggere i dati durante il trasferimento tra il servizio e i client. I client negoziano una connessione TLS con Azure Key Vault. TLS offre autenticazione avanzata, privacy dei messaggi e integrità (consentendo il rilevamento di manomissioni, intercettazioni e falsificazione dei messaggi), interoperabilità, flessibilità degli algoritmi e facilità di distribuzione e uso.
Perfect Forward Secrecy (PFS) protegge le connessioni tra i sistemi client dei clienti e i servizi cloud di Microsoft con chiavi univoche. Le connessioni usano anche lunghezze di chiave di crittografia a 2.048 bit basate su RSA. Questa combinazione rende difficile per qualcuno intercettare e accedere ai dati in transito.
Ruoli dell'insieme di credenziali delle chiavi
Usa la seguente tabella per capire meglio come Key Vault possa aiutare a soddisfare le esigenze degli sviluppatori e degli amministratori della sicurezza.
| Ruolo | Presentazione del problema | Risolto da Azure Key Vault |
|---|---|---|
| Sviluppatore di un'applicazione Azure | "Voglio scrivere un'applicazione per Azure che usi chiavi per la firma e la crittografia. Voglio che queste chiavi siano esterne all'applicazione, in modo che la soluzione sia adatta a un'applicazione geograficamente distribuita. Voglio che queste chiavi e questi segreti siano protetti, senza dover scrivere manualmente il codice, Voglio anche poter usare facilmente le chiavi e i segreti dalle mie applicazioni ottenendo prestazioni ottimali." |
√ Le chiavi vengono archiviate in un archivio sicuro e richiamate all'URI quando necessario. √ Le chiavi vengono protette da Azure con algoritmi standard del settore, lunghezze delle chiavi e moduli di protezione hardware. √ Le chiavi vengono elaborate in moduli di protezione hardware che risiedono negli stessi data center di Azure in cui si trovano le applicazioni. In questo modo si ottiene una migliore affidabilità e una latenza ridotta rispetto a chiavi che si trovano in una posizione diversa, ad esempio in locale. |
| Sviluppatore per software come servizio (SaaS) | "Non voglio essere in alcun modo responsabile delle chiavi e dei segreti dei tenant dei miei clienti. Voglio che siano i clienti a possedere e gestire le chiavi per potermi concentrare su ciò che so fare meglio, ovvero fornire le principali funzionalità del software." |
√ I clienti possono importare le loro chiavi in Azure e gestirle. Quando un'applicazione SaaS deve eseguire operazioni di crittografia usando le chiavi dei clienti, è Key Vault a eseguirle per conto dell'applicazione. L'applicazione non vede le chiavi dei clienti. |
| Responsabile della sicurezza | "Voglio sapere che le nostre applicazioni sono conformi ai moduli di protezione hardware FIPS 140 Livello 3 per la gestione sicura delle chiavi. Voglio assicurarmi che la mia organizzazione abbia il controllo del ciclo di vita delle chiavi e possa monitorare l'utilizzo delle chiavi. Anche se usiamo più servizi e risorse di Azure, voglio gestire le chiavi da una sola posizione in Azure." |
√ Scegliere insiemi di credenziali o HSM gestiti per HSM convalidati per FIPS 140. √ Scegli pool HSM gestiti per HSM convalidati secondo FIPS 140-2 Livello 3. √ Key Vault è progettato in modo che Microsoft non possa vedere o estrarre le chiavi. √ L'utilizzo delle chiavi viene registrato quasi in tempo reale. √ La cassaforte offre una singola interfaccia, indipendentemente dal numero di cassaforti disponibili in Azure, dalle regioni che supportano e dalle applicazioni che le utilizzano. |
Chiunque abbia un abbonamento Azure può creare e utilizzare Key Vault. Anche se Key Vault offre vantaggi agli sviluppatori e agli amministratori della sicurezza, può essere implementato e gestito dall'amministratore di un'organizzazione che gestisce altri servizi di Azure. Ad esempio, questo amministratore può accedere con una sottoscrizione di Azure, creare un insieme di credenziali per l'organizzazione in cui archiviare le chiavi e quindi essere responsabile di attività operative, come le seguenti:
- Creare o importare una chiave o un segreto
- Revocare o eliminare una chiave o un segreto
- Autorizzare gli utenti o le applicazioni ad accedere all'archivio di chiavi, in modo che possano gestire o utilizzare le sue chiavi e segreti.
- Configurare l'utilizzo delle chiavi (ad esempio, la firma o la crittografia)
- Monitorare l'utilizzo delle chiavi
L’amministratore fornisce quindi agli sviluppatori gli URI da chiamare dalle applicazioni. L'amministratore fornisce anche le informazioni di registrazione relative all'uso delle chiavi all'amministratore della sicurezza.
Gli sviluppatori possono gestire le chiavi anche direttamente, usando le API. Per altre informazioni, vedere la Guida per gli sviluppatori di Key Vault di Azure.
Passaggi successivi
- Leggere l'articolo Funzionalità di sicurezza di Azure Key Vault.
- Informazioni su come proteggere i pool di moduli di protezione hardware gestiti
L'insieme di credenziali delle chiavi di Azure è disponibile nella maggior parte delle aree. Per altre informazioni, vedere la pagina dei prezzi di Key Vault.