Con sempre più preoccupazioni per la sicurezza dei dati, Azure Key Vault, il servizio cloud offerto da Microsoft per la gestione e protezione delle informazioni sensibili promette alle organizzazioni di semplificare la gestione delle credenziali e centralizzare e proteggere chiavi di crittografia, segreti e certificati utilizzati nelle loro applicazioni e servizi. In questo articolo vedremo meglio che cos’è, come funziona, come può aiutarci nella protezione dei nostri dati sensibili e a quale costo.
Al giorno d'oggi, la sicurezza dei dati è diventata molto più importante a causa di password rubate e siti hackerati e con l'aumento degli attacchi, sono aumentate le soluzioni sviluppate contro di essi. A questo punto, i prodotti di gestione delle chiavi sono uno dei metodi sviluppati come alternativa alla necessità di archiviazione di dati sensibili nelle applicazioni.
Questi prodotti creano livelli tra l'applicazione e i dati sensibili utilizzati all'interno dell'applicazione. Grazie a questi livelli, forniscono soluzioni per l'archiviazione dei dati e offrono una gestione sicura e centralizzata.
Microsoft Azure Key Vault è un servizio di sicurezza basato su cloud offerto come parte della piattaforma di Microsoft Azure. Fornisce una soluzione di archiviazione sicura e centralizzata per chiavi crittografiche e segreti, come password, certificati e chiavi utilizzate per la crittografia.
Azure Key Vault consente alle organizzazioni di archiviare e gestire in modo sicuro informazioni sensibili, come segreti delle applicazioni e chiavi crittografiche, in un modo facilmente accessibile agli utenti e alle applicazioni autorizzate. Questo permette alle organizzazioni di migliorare la loro sicurezza informatica e ridurre il rischio di violazioni dei dati.
Né le applicazioni né Microsoft hanno accesso diretto alle chiavi. Invece, gli utenti concedono permessi per le proprie applicazioni e per quelle di terze parti per utilizzare le chiavi secondo necessità.
Per capire come funziona Azure Key Vault è necessario capire cos’è un “vault” in prima battuta.
Questo non è altro che un contenitore sicuro progettato per gestire e proteggere informazioni sensibili come segreti, chiavi e certificati. Funziona come un'unità centrale che custodisce questi dati critici, offrendo una protezione avanzata e facilitando la loro gestione.
Il vault centralizza la gestione dei segreti, delle chiavi e dei certificati. Attraverso un'unica interfaccia, gli utenti possono aggiungere, aggiornare e configurare questi elementi, oltre a gestire le policy di accesso per determinare chi può visualizzare o modificare i dati.
Tutti i segreti in un vault sono archiviati in forma crittografata. Azure Key Vault cripta i segreti a riposo con una gerarchia di chiavi di crittografia, con tutte le chiavi in quella gerarchia protette da moduli conformi agli standard FIPS 140-2.
La crittografia è trasparente e non richiede alcuna azione da parte dell'utente e il servizio cripta i suoi segreti quando li aggiunge e li decripta automaticamente quando li legge.
Azure Key Vault accetta i dati, li cripta, archivia e gestisce i segreti come sequenze di ottetti (byte a 8 bit) e restituisce un identificatore del segreto (ID). L'identificatore può essere utilizzato per recuperare il segreto in un secondo momento.
Il controllo degli accessi per i segreti gestiti nel Key Vault è fornito a livello del Key Vault che contiene quei segreti. Gli utenti possono creare uno o più vault per contenere i segreti e sono tenuti a mantenere una segmentazione e una gestione appropriate ai vari scenari.
Azure Key Vault ha tre compiti principali che definiscono la base delle sue capacità di gestione sicura delle risorse crittografiche. Questi compiti sono la gestione delle chiavi, la gestione dei segreti e la gestione dei certificati. Ciascuno di essi svolge un ruolo nell'assicurare la riservatezza, l'integrità e la disponibilità dei dati crittografici critici all'interno dell'ambiente cloud di Azure.
Il termine "chiave" in Azure Key Vault si riferisce specificamente alle chiavi crittografiche utilizzate per la crittografia, la decrittografia e le firme digitali. Queste chiavi crittografiche sono cruciali per garantire la sicurezza e l'integrità dei dati all'interno dei servizi e delle applicazioni Azure e Azure Key Vault funge da repository sicuro e centralizzato, offrendo alle organizzazioni la possibilità di generarle, archiviarle e controllarle facilmente.
L'importanza della gestione delle chiavi risiede sta nella sua capacità di proteggere i dati sensibili attraverso la loro oculata amministrazione. Sia che si tratti di chiavi simmetriche o di chiavi asimmetriche costituite da coppie di chiavi pubbliche e private per operazioni crittografiche più complesse, Azure Key Vault si occupa della loro archiviazione e le protegge da accessi non autorizzati o potenziali minacce alla sicurezza.
Centralizzando la gestione delle chiavi, le organizzazioni possono semplificare efficacemente il processo di gestione del loro ciclo di vita, implementarne la rotazione, monitorarne l'uso e verificare le attività delle chiavi per garantire la conformità con gli standard e le normative del settore.
Inoltre, Azure Key Vault offre funzionalità di versioning e auditing delle chiavi, fornendo una visione completa dell'utilizzo e della cronologia degli accessi alle chiavi. Le organizzazioni possono tracciare le attività delle chiavi, monitorare le modifiche e ottenere informazioni sui modelli di utilizzo delle chiavi, migliorando la loro capacità di rilevare e rispondere efficacemente a potenziali incidenti di sicurezza.
I "segreti" sono informazioni sensibili che devono essere conservate in modo sicuro e accessibili solo agli utenti e alle applicazioni autorizzati. Queste informazioni possono essere di diversi tipi come ad esempio:
Azure Key Vault fornisce un repository sicuro e centralizzato per la gestione dei segreti, permettendo alle organizzazioni di archiviare i segreti in modo protetto e criptato. Invece di inserire direttamente i segreti nel codice dell'applicazione o nei file di configurazione, gli utenti possono recuperarli da Azure Key Vault durante l'esecuzione, riducendo il rischio di esposizione accidentale o accesso non autorizzato a informazioni sensibili.
I vantaggi principali di questo tipo di gestione sono due:
I certificati digitali svolgono un ruolo essenziale nell'assicurare l'autenticità, l'integrità e la riservatezza dei dati trasmessi su internet. Sono ampiamente utilizzati per proteggere i canali di comunicazione, abilitare la crittografia e verificare l'identità delle parti in vari scenari, come certificati per server web, certificati client e certificati di firma del codice.
In Azure Key Vault, le organizzazioni possono archiviare e gestire in modo sicuro i certificati X.509. Questi certificati possono essere generati direttamente all'interno di Key Vault o importati da fonti esterne. Azure Key Vault supporta sia i certificati autofirmati che i certificati firmati da autorità di certificazione attendibili, offrendo una soluzione flessibile per soddisfare diverse esigenze di certificazione.
Le organizzazioni possono facilmente creare, rinnovare e revocare i certificati secondo necessità, garantendo che rimangano aggiornati e validi e la natura centralizzata di Azure Key Vault permette alle organizzazioni di accedere e gestire i certificati tramite API o librerie client, semplificando l'integrazione dei certificati nelle applicazioni e nei servizi.
Inoltre, l'integrazione di Key Vault con i servizi di Azure, come Azure App Service e Azure Functions, consente un utilizzo senza soluzione di continuità dei certificati in varie applicazioni basate su Azure. Ad esempio, gli sviluppatori possono associare i certificati SSL/TLS archiviati in Azure Key Vault alle loro applicazioni web ospitate su Azure App Service, fornendo una comunicazione sicura e crittografata tra client e server.
Il controllo degli accessi in Azure Key Vault avviene su due piani distinti: il piano di gestione e il piano dei dati.
Il piano di gestione consente agli utenti di eseguire operazioni come l'eliminazione di Key Vault, l'aggiornamento delle policy di accesso e la visualizzazione delle proprietà. Questo piano è responsabile della gestione complessiva della risorsa cloud, come la configurazione e l'amministrazione dei Key Vault.
Tuttavia, gli utenti che hanno accesso a questo piano non possono accedere ai dati effettivi contenuti nel Key Vault stesso. In altre parole, anche se puoi gestire le impostazioni e le configurazioni del Key Vault, non hai la possibilità di visualizzare o manipolare i segreti, le chiavi e i certificati memorizzati all'interno.
D'altro canto, il piano dei dati è quello in cui avvengono le operazioni sui dati stessi all'interno del Key Vault. In questo piano, puoi aggiungere, eliminare e modificare gli oggetti del Key Vault come segreti, chiavi e certificati.
Tuttavia, non è possibile eseguire operazioni relative alla gestione delle policy di accesso o alle configurazioni del Key Vault in questo piano. Ad esempio, puoi eliminare una chiave specifica, ma non puoi eliminare il Key Vault stesso o modificare le policy di accesso.
Abbiamo creato il team Infra&Security, verticale sul cloud Azure, per rispondere alle esigenze dei clienti che ci coinvolgono nelle decisioni tecniche e strategiche. Oltre a configurare e gestire il loro tenant, ci occupiamo di:
Con Dev4Side, hai un partner affidabile in grado di supportarti sull'intero ecosistema applicativo di Microsoft.
Key Vault di Microsoft Azure offre due modelli principali per la gestione dell'accesso: Access Policies e Role-Based Access Control (RBAC). Entrambi i modelli permettono di controllare chi può accedere e gestire le chiavi, i segreti e i certificati all'interno di un Key Vault, ma utilizzano approcci diversi.
Il modello tradizionale, noto come Access Policies, è stato utilizzato a lungo da Azure Key Vault (ed è ancora utilizzabile) ma è oramai considerato obsoleto dalla maggioranza degli esperti di cybersecurity. Con le Access Policies, è possibile configurare permessi specifici per singoli utenti, gruppi o identità di servizio. Ogni policy definisce le operazioni che un’entità può eseguire su chiavi, segreti e certificati all'interno del Key Vault.
Ad esempio, una policy potrebbe permettere a un utente di leggere un segreto ma non di modificarlo. Questo modello è configurabile direttamente nella risorsa Key Vault stessa e offre un controllo molto dettagliato a livello di singola risorsa. Tuttavia, le Access Policies sono gestite in modo isolato rispetto ad altri sistemi di autorizzazione di Azure, il che può comportare una gestione più complessa in scenari di grande scala.
Il modello RBAC invece rappresenta un’evoluzione nel controllo degli accessi e si integra con il sistema di autorizzazione globale di Azure. Il modello assegna i diritti di accesso alle risorse basandosi sui ruoli definiti all'interno di un'organizzazione. In pratica gli utenti vengono associati a ruoli specifici, e ogni ruolo ha un insieme predeterminato di permessi che definiscono le azioni che gli utenti in quel ruolo possono eseguire su diverse risorse.
Per esempio, in un ambiente Azure, un amministratore può creare ruoli come "lettore", "autore" o "amministratore" e assegnarli a vari utenti o gruppi. Il ruolo di "lettore" potrebbe avere solo i permessi per visualizzare le risorse, mentre il ruolo di "autore" potrebbe includere anche la possibilità di modificare e creare risorse. Questo approccio centralizza la gestione delle autorizzazioni, rendendo più semplice e coerente l’amministrazione dei permessi su larga scala.
Il modello RBAC è ormai universalmente preferito dai developer e dagli amministratori per la gestione dell'accesso a Azure Key Vault rispetto al modello tradizionale per vari motivi che riflettono le esigenze moderne di gestione delle risorse e la complessità delle infrastrutture aziendali.
Prima di tutto si integra perfettamente con l'ecosistema Azure e fornisce un approccio centralizzato alla gestione delle autorizzazioni attraverso la piattaforma, semplificando l’amministrazione a livello di subscription e resource group.
Gli sviluppatori e gli amministratori possono utilizzare i ruoli predefiniti di Azure o crearne di personalizzati, rendendo più facile applicare le stesse politiche di accesso in modo uniforme su diverse risorse e servizi offerti dalla piattaforma cloud di Microsoft, consentendo una gestione più coerente delle autorizzazioni, riducendo il rischio di errori e semplificando le operazioni quotidiane degli amministratori.
Inoltre, RBAC offre una visibilità e un controllo migliori grazie alla sua integrazione con l'interfaccia di gestione Azure e le politiche di sicurezza a livello di subscription. Le modifiche ai ruoli e alle assegnazioni possono essere tracciate e gestite tramite i log di Azure Activity e Azure Monitor.
Un altro vantaggio di RBAC è la sua capacità di gestire autorizzazioni a un livello più granulare e modulare. In un contesto complesso, dove si hanno molteplici risorse e servizi, RBAC consente di definire e gestire permessi su larga scala senza dover configurare individualmente le autorizzazioni per ogni singolo Key Vault. Questo è particolarmente utile in ambienti di sviluppo e produzione che richiedono una gestione dettagliata e centralizzata.
Non solo dagli attacchi è necessario proteggersi e spesso la perdita o l’eliminazione accidentale di qualcosa può essere altrettanto disastrosa per le proprie infrastrutture digitali.
Per nostra fortuna, Azure Key Vault ha una funzionalità molto utile chiamata soft-delete. Questa funzione consente ai Key Vault e agli oggetti del Key Vault di rimanere recuperabili per un periodo che va da 7 a 90 giorni (se non viene specificato un periodo, il valore predefinito è impostato a 90 giorni). Quindi, se qualcuno elimina accidentalmente qualcosa, è ancora possibile recuperarlo entro questo intervallo di tempo.
Il soft-delete è abilitato per impostazione predefinita sui nuovi Key Vault, e se un Key Vault ha il soft-delete attivato, non può mai essere disabilitato. Per design, Azure Key Vault rende difficile per gli utenti perdere le loro chiavi.
Oltre al soft-delete, esiste anche la protezione da eliminazione definitiva (purge protection). Questa è un'altra funzionalità di sicurezza che va oltre il soft-delete, prevenendo l'eliminazione permanente accidentale. Se si desidera proteggere il proprio Key Vault dall'eliminazione mentre è nello stato di soft-delete, la protezione da eliminazione garantisce che nessuno possa eliminarlo prima che il periodo di soft-delete sia scaduto. Una volta abilitata la protezione da eliminazione, proprio come il soft-delete, non può essere disabilitata.
In poche parole: una volta eliminata una risorsa del Key Vault con l’opzione di soft-delete abilitata, essa entra nello stato di soft-delete per un periodo prestabilito. Se anche la protezione da eliminazione è abilitata, non è possibile forzare l'eliminazione prima che il periodo sia scaduto. È un modello di protezione a più livelli che obbliga a seguire più passaggi per eliminare una risorsa, rendendo il processo il più sicuro possibile.
Parlando invece di backup, Azure raccomanda di eseguire il backup solo dei segreti che sono critici per il business; a causa della natura dei Key Vault, gli oggetti memorizzati in essi hanno già garanzia di disponibilità: “Key Vault mantiene la disponibilità in scenari di disastro e inoltra automaticamente le richieste a una regione accoppiata senza alcun intervento da parte dell'utente”.
Non è possibile eseguire il backup del vault stesso. Questo può essere fastidioso, ma è necessario eseguire il backup di ciascun oggetto e poi ripristinarli uno per uno. Per fare ciò si deve scaricare un blob contenente il segreto in forma criptata, che è poi possibile caricare nuovamente nel proprio Azure Key Vault.
Uno strumento potente come Azure Key Vault può essere di estremo valore per la sicurezza dei propri dati ma da solo può fare poco se non lo si utilizza con intelligenza e buon senso.
Solo seguendo le giuste pratiche d’utilizzo le aziende possono trarre il massimo dell’efficienza e della sicurezza dal servizio e in questa sezione ci occuperemo di osservare un po’ più da vicino alcune di queste pratiche, elencate qui sotto:
Per quanto riguarda la struttura dei costi, i prezzi dell’utilizzo di Azure Key Vault variano a seconda del tipo di operazione e del piano scelto.
Il costo principale del servizio è dettato dalla quantità di operazioni e la quantità di risorse utilizzate. Le operazioni includono le richieste di accesso ai segreti, le operazioni di crittografia e decrittografia, e la gestione delle chiavi. Ogni tipo di operazione ha un costo specifico, e questi costi possono accumularsi in base alla frequenza con cui il servizio viene utilizzato.
Azure Key Vault offre agli utenti due diversi livelli di servizio che possono influenzare i costi: Standard e Premium.
Il piano Standard prevede costi associati alle operazioni di creazione, lettura, aggiornamento ed eliminazione di chiavi e segreti. Inoltre, c'è una tariffa per la memorizzazione di ciascun elemento, che si basa sul numero di chiavi e segreti conservati. Le operazioni di backup e ripristino, se necessarie, comportano ulteriori spese.
Il piano Premium, invece, include le stesse tipologie di tariffe per le operazioni del piano Standard, ma offre funzionalità avanzate come la protezione con chiavi hardware (HSM) e una maggiore scalabilità. Questo piano prevede anche tariffe per la memorizzazione di chiavi e segreti, con costi aggiuntivi associati a chiavi protette da HSM e a funzionalità avanzate come la gestione dei certificati e l'integrazione con altre risorse Azure.
Un’altra componente dei costi riguarda il numero di chiavi e certificati gestiti. Se utilizzi molte chiavi o certificati, questo può aumentare il costo complessivo. Ad esempio, gestire un numero elevato di certificati o chiavi in un piano premium potrebbe comportare spese aggiuntive rispetto a un piano standard.
Le tariffe specifiche possono variare e sono soggette a modifiche da parte di Microsoft, quindi è sempre una buona idea consultare la pagina ufficiale di Azure per le informazioni più aggiornate e dettagliate sui prezzi. Potete trovarla qui e con il comodo strumento messo a disposizione potrete calcolare il costo di utilizzo in base a regione e valuta utilizzata per i pagamenti.
La sicurezza dei dati è da sempre uno degli aspetti più importanti all’interno del settore tech e negli ultimi anni, dati i recenti sviluppi tecnologici e l’avvento del cloud, la sua importanza si è fatta centrale.
Secondo una ricerca statistica condotta tramite un sondaggio a cui hanno partecipato 300 CISO, la configurazione della sicurezza nell'ambiente cloud e le minacce legate alla gestione delle identità e degli accessi sono rimaste le preoccupazioni principali nel mondo della cybersecurity, rappresentando rispettivamente il 67% e il 61% dei voti dei professionisti CISO.
Azure Key Vault si propone, all’interno del complesso ecosistema di Azure, di rispondere a queste preoccupazioni, offrendo con le sue funzionalità un servizio di protezione dei dati sensibili dall’infrastruttura robusta e centralizzata, che dà la possibilità agli amministratori e agli esperti di cybersecurity di proteggere le informazioni più critiche e di controllare in maniera capillare il loro accesso da parte degli utenti senza compromettere la loro esperienza d’utilizzo.
Azure Key Vault è un servizio cloud di Microsoft che consente alle organizzazioni di centralizzare e proteggere informazioni sensibili come chiavi crittografiche, segreti e certificati utilizzati nelle loro applicazioni e servizi. Fornisce una gestione sicura e centralizzata, migliorando la sicurezza informatica e riducendo il rischio di violazioni dei dati.
Azure Key Vault utilizza "vault" come contenitori sicuri per gestire e proteggere informazioni sensibili. Questi vault permettono agli utenti di aggiungere, aggiornare e configurare segreti, chiavi e certificati attraverso un'unica interfaccia. Tutte le informazioni sono archiviate in forma crittografata, garantendo una protezione avanzata.
Azure Key Vault offre tre funzionalità principali: gestione delle chiavi, gestione dei segreti e gestione dei certificati. La gestione delle chiavi consente di creare e controllare chiavi crittografiche per la crittografia e decrittografia dei dati. La gestione dei segreti permette di archiviare e proteggere informazioni sensibili come password, stringhe di connessione e chiavi API. La gestione dei certificati supporta la gestione e il rinnovo di certificati SSL/TLS, con la possibilità di distribuirli automaticamente.
Gli accessi in Azure Key Vault sono controllati tramite politiche di accesso che definiscono chi può visualizzare o modificare i dati all'interno del vault. Gli utenti possono specificare permessi dettagliati per applicazioni e persone, assicurandosi che solo le entità autorizzate possano accedere alle informazioni sensibili.
Per garantire la massima sicurezza, è importante implementare politiche di accesso rigorose che definiscano chiaramente chi ha accesso a segreti e chiavi. È consigliabile utilizzare la funzionalità di soft-delete e purge protection per proteggere i dati da eliminazioni accidentali o malevole. Inoltre, effettuare backup regolari assicura la salvaguardia delle informazioni sensibili in caso di emergenze.
I costi di Azure Key Vault variano in base all’utilizzo del servizio, al numero di operazioni effettuate e alla quantità di dati archiviati. Microsoft offre diversi piani tariffari per soddisfare le esigenze delle organizzazioni. Per dettagli specifici, si consiglia di consultare la documentazione ufficiale o il sito di Dev4Side.
Il team Infra & Security è verticale sulla gestione ed evoluzione dei tenant Microsoft Azure dei nostri clienti. Oltre a configurare e gestire il tenant, si occupa della creazione dei deployment applicativi tramite le pipelines di DevOps, monitora e gestisce tutti gli aspetti di sicurezza del tenant, supportando i Security Operations Centers (SOC).
