Proteggere Il Db Di Domoticz
Proteggere il database dal download, Forum ASP: commenti, esempi e tutorial dalla community di HTML.it. MyDomoticz - Domoproxy login. “Come Proteggere il tuo Database dai Curiosi?”. Naturalmente vuoi che nessuno veda la struttura del tuo DB e che soprattutto nessuno vada ad alterare le tue impostazioni. L’Autore si riserva il diritto di esaminare il contenuto dei commenti e qualora questi fossero ritenuti non idonei alla pubblicazione verranno insindacabilmente.
Questo articolo fornisce una panoramica dell'utilizzo della crittografia in Microsoft Azure.This article provides an overview of how encryption is used in Microsoft Azure.Vengono illustrate le principali aree di crittografia, tra cui la crittografia di dati inattivi, la crittografia in-flight e la gestione delle chiavi con Key Vault.It covers the major areas of encryption, including encryption at rest, encryption in flight, and key management with Azure Key Vault.Ogni sezione include collegamenti a informazioni più dettagliate.Each section includes links to more detailed information.
Crittografia dei dati inattiviEncryption of data at rest
I dati inattivi includono informazioni presenti nell'archivio permanente su un supporto fisico, in qualsiasi formato digitale.Data at rest includes information that resides in persistent storage on physical media, in any digital format.I dati multimediali includono i file su supporto ottico o magnetico, i dati archiviati e i backup di dati.The media can include files on magnetic or optical media, archived data, and data backups.Microsoft Azure offre un'ampia gamma di soluzioni di archiviazione dati per soddisfare le diverse esigenze, tra cui l'archiviazione su file, disco, BLOB e tabella.Microsoft Azure offers a variety of data storage solutions to meet different needs, including file, disk, blob, and table storage.Microsoft include inoltre la crittografia per proteggere il database SQL di Azure, Azure Cosmos DB e Azure Data Lake.Microsoft also provides encryption to protect Azure SQL Database, Azure Cosmos DB, and Azure Data Lake.
La crittografia dei dati inattivi è disponibile per i servizi nei modelli cloud Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) e Infrastructure-as-a-Service (IaaS).Data encryption at rest is available for services across the software as a service (SaaS), platform as a service (PaaS), and infrastructure as a service (IaaS) cloud models.Questo articolo riepiloga e include le risorse utili per usare le opzioni di crittografia di Azure.This article summarizes and provides resources to help you use the Azure encryption options.
Per informazioni più dettagliate sulla crittografia di dati inattivi in Azure, vedere Crittografia dei dati inattivi di Azure.For a more detailed discussion of how data at rest is encrypted in Azure, see Azure Data Encryption-at-Rest.
Modelli di crittografia di AzureAzure encryption models
Azure supporta vari modelli di crittografia, tra cui la crittografia lato server che usa chiavi gestite dal servizio, chiavi gestite dal cliente in Azure Key Vault o chiavi gestite dal cliente sull'hardware controllato dal cliente.Azure supports various encryption models, including server-side encryption that uses service-managed keys, customer-managed keys in Key Vault, or customer-managed keys on customer-controlled hardware.La crittografia lato client consente di gestire e archiviare le chiavi in locale o in un'altra posizione protetta.With client-side encryption, you can manage and store keys on-premises or in another secure location.
crittografia lato clientClient-side encryption
La crittografia lato client viene eseguita all'esterno di Azure.Client-side encryption is performed outside of Azure.Sono inclusi:It includes:
- I dati crittografati da un'applicazione in esecuzione nel data center del cliente o da un'applicazione di servizio.Data encrypted by an application that’s running in the customer’s datacenter or by a service application.
- I dati sono già crittografati quando vengono ricevuti da Azure.Data that is already encrypted when it is received by Azure.
Con la crittografia lato client il provider di servizi cloud non ha accesso alle chiavi di crittografia e non può decrittografare questi dati.With client-side encryption, cloud service providers don’t have access to the encryption keys and cannot decrypt this data.Si mantiene il controllo completo delle chiavi.You maintain complete control of the keys.
Modello di crittografia lato serverServer-side encryption
I tre modelli di crittografia lato server offrono caratteristiche differenti di gestione delle chiavi che possono essere scelte in base ai requisiti:The three server-side encryption models offer different key management characteristics, which you can choose according to your requirements:
Chiavi gestite dal servizio: combinano controllo e comodità con un sovraccarico ridotto.Service-managed keys: Provides a combination of control and convenience with low overhead.
Chiavi gestite dal cliente: consentono di controllare le chiavi, inclusa la possibilità di usare chiavi personalizzate (BYOK) o di generarne di nuove.Customer-managed keys: Gives you control over the keys, including Bring Your Own Keys (BYOK) support, or allows you to generate new ones.
Chiavi gestite dal servizio in hardware controllato dal cliente: consentono di gestire le chiavi presenti nel repository proprietario fuori dal controllo di Microsoft.Service-managed keys in customer-controlled hardware: Enables you to manage keys in your proprietary repository, outside of Microsoft control.Questa caratteristica viene definita HYOK (Host Your Own Key).This characteristic is called Host Your Own Key (HYOK).Tuttavia, la configurazione è complessa e la maggior parte dei servizi di Azure non supporta questo modello.However, configuration is complex, and most Azure services don’t support this model.
Crittografia dischi di AzureAzure disk encryption
È possibile proteggere le macchine virtuali Linux e Windows usando Crittografia dischi di Azure che usa la tecnologia Windows BitLocker e Linux DM-Crypt per proteggere sia i dischi del sistema operativo sia i dischi di dati con la crittografia dell'intero volume.You can protect Windows and Linux virtual machines by using Azure disk encryption, which uses Windows BitLocker technology and Linux DM-Crypt to protect both operating system disks and data disks with full volume encryption.
Le chiavi e i segreti di crittografia vengono protetti nella sottoscrizione di Azure Key Vault.Encryption keys and secrets are safeguarded in your Azure Key Vault subscription.È possibile eseguire il backup e il ripristino delle macchine virtuali crittografate con configurazione KEK usando il servizio Backup di Microsoft Azure.By using the Azure Backup service, you can back up and restore encrypted virtual machines (VMs) that use Key Encryption Key (KEK) configuration.
Crittografia del servizio di archiviazione di AzureAzure Storage Service Encryption
I dati inattivi negli archivi BLOB di Azure e nelle condivisioni di file di Azure possono essere crittografati sia in scenari lato server che in quelli lato client.Data at rest in Azure Blob storage and Azure file shares can be encrypted in both server-side and client-side scenarios.
Il servizio Crittografia del servizio di archiviazione Azure (SSE) può crittografare automaticamente i dati prima che vengano archiviati e decrittografarli automaticamente in fase di ripristino.Azure Storage Service Encryption (SSE) can automatically encrypt data before it is stored, and it automatically decrypts the data when you retrieve it.Questo processo è completamente trasparente per gli utenti.The process is completely transparent to users.Crittografia del servizio di archiviazione usa la crittografia AES (Advanced Encryption Standard) a 256 bit, che è una delle crittografie a blocchi più avanzate disponibili.Storage Service Encryption uses 256-bit Advanced Encryption Standard (AES) encryption, which is one of the strongest block ciphers available.AES gestisce crittografia, decrittografia e gestione delle chiavi in modo trasparente.AES handles encryption, decryption, and key management transparently.
Crittografia lato client di BLOB di AzureClient-side encryption of Azure blobs
È possibile eseguire la crittografia lato client di BLOB di Azure in vari modi.You can perform client-side encryption of Azure blobs in various ways.
È possibile usare il pacchetto della Libreria client di archiviazione di Azure per .NET NuGet per crittografare i dati all'interno delle applicazioni client prima di caricarli in Archiviazione di Azure.You can use the Azure Storage Client Library for .NET NuGet package to encrypt data within your client applications prior to uploading it to your Azure storage.
Per altre informazioni sul pacchetto della Libreria client di archiviazione di Azure per .NET NuGet e su come scaricarlo, vedere Archiviazione di Microsoft Azure 8.3.0.To learn more about and download the Azure Storage Client Library for .NET NuGet package, see Windows Azure Storage 8.3.0.
Quando si usa la crittografia lato client con Key Vault, i dati vengono crittografati usando una chiave di crittografia del contenuto (CEK) simmetrica unica generata dall'SDK client di Archiviazione di Azure.When you use client-side encryption with Key Vault, your data is encrypted using a one-time symmetric Content Encryption Key (CEK) that is generated by the Azure Storage client SDK.La chiave di crittografia del contenuto viene crittografata usando una chiave di crittografia della chiave, che può essere una chiave simmetrica o una coppia di chiavi asimmetriche.The CEK is encrypted using a Key Encryption Key (KEK), which can be either a symmetric key or an asymmetric key pair.È possibile gestirla in locale o archiviarla in Key Vault.You can manage it locally or store it in Key Vault.I dati crittografati vengono quindi caricati nel servizio Archiviazione di Microsoft Azure.The encrypted data is then uploaded to Azure Storage.
Per altre informazioni sulla crittografia lato client con Key Vault e per iniziare con le istruzioni procedurali, vedere Esercitazione: Crittografare e decrittografare i BLOB in Archiviazione di Azure tramite Key Vault.To learn more about client-side encryption with Key Vault and get started with how-to instructions, see Tutorial: Encrypt and decrypt blobs in Azure Storage by using Key Vault.
Proteggere Il Db Di Domoticz 2
È infine possibile usare anche la Libreria client di archiviazione di Azure per Java per eseguire la crittografia lato client prima di caricare i dati in Archiviazione di Azure e decrittografare i dati durante il download nel client.Finally, you can also use the Azure Storage Client Library for Java to perform client-side encryption before you upload data to Azure Storage, and to decrypt the data when you download it to the client.Questa libreria supporta anche l'integrazione con Key Vault per la gestione delle chiavi dell'account di archiviazione.This library also supports integration with Key Vault for storage account key management.
Crittografia dei dati inattivi con il database SQL di AzureEncryption of data at rest with Azure SQL Database
Il database SQL di Azure è un servizio di database relazionale generico di Azure che supporta strutture come dati relazionali, JSON, dati spaziali e XML.Azure SQL Database is a general-purpose relational database service in Azure that supports structures such as relational data, JSON, spatial, and XML.Il database SQL supporta sia la crittografia lato server tramite la funzionalità Transparent Data Encryption (TDE) sia la crittografia lato client tramite la funzionalità Always Encrypted.SQL Database supports both server-side encryption via the Transparent Data Encryption (TDE) feature and client-side encryption via the Always Encrypted feature.
Transparent Data EncryptionTransparent Data Encryption
La tecnologia Transparent Data Encryption (TDE) viene usata per crittografare i file di dati di SQL Server, del database SQL di Azure e di Azure SQL Data Warehouse in tempo reale, usando una chiave di crittografia del database (DEK) archiviata nel record di avvio del database per assicurare la disponibilità durante il ripristino.TDE is used to encrypt SQL Server, Azure SQL Database, and Azure SQL Data Warehouse data files in real time, using a Database Encryption Key (DEK), which is stored in the database boot record for availability during recovery.
La tecnologia TDE protegge i file di dati e di log usando gli algoritmi di crittografia AES e 3DES (Triple Data Encryption Standard).TDE protects data and log files, using AES and Triple Data Encryption Standard (3DES) encryption algorithms.La crittografia del file di database viene eseguita a livello di pagina.Encryption of the database file is performed at the page level.Le pagine in un database crittografato vengono crittografate prima di essere scritte sul disco e decrittografate quando vengono lette in memoria.The pages in an encrypted database are encrypted before they are written to disk and are decrypted when they’re read into memory.La tecnologia Transparent Data Encryption è ora abilitata per impostazione predefinita nei nuovi database SQL di Azure.TDE is now enabled by default on newly created Azure SQL databases.
Funzionalità Always EncryptedAlways Encrypted feature
La funzionalità Always Encrypted consente di crittografare i dati all'interno delle applicazioni client prima di archiviarli nel database SQL di Azure.With the Always Encrypted feature in Azure SQL you can encrypt data within client applications prior to storing it in Azure SQL Database.Consente inoltre di abilitare la delega dell'amministrazione di database locale a terze parti e mantenere la separazione tra chi possiede e può visualizzare i dati e chi gestisce ma non deve avere accesso ad essi.You can also enable delegation of on-premises database administration to third parties and maintain separation between those who own and can view the data and those who manage it but should not have access to it.
Crittografia a livello di cella o a livello di colonnaCell-level or column-level encryption
Il database SQL di Azure consente di applicare la crittografia simmetrica a una colonna di dati tramite Transact-SQL.With Azure SQL Database, you can apply symmetric encryption to a column of data by using Transact-SQL.Questo approccio si chiama crittografia a livello di cella o a livello di colonna (CLE) poiché serve a crittografare colonne specifiche o persino celle di dati specifiche con chiavi di crittografia differenti.This approach is called cell-level encryption or column-level encryption (CLE), because you can use it to encrypt specific columns or even specific cells of data with different encryption keys.La crittografia risulta così più granulare rispetto alla crittografia Transparent Data Encryption che crittografa i dati in pagine.Doing so gives you more granular encryption capability than TDE, which encrypts data in pages.
La crittografia CLE include funzioni predefinite che consentono di crittografare i dati usando chiavi simmetriche o asimmetriche, la chiave pubblica di un certificato o una passphrase usando 3DES.CLE has built-in functions that you can use to encrypt data by using either symmetric or asymmetric keys, the public key of a certificate, or a passphrase using 3DES.
Proteggere Il Db Di Domoticz Youtube
Crittografia del database Cosmos DBCosmos DB database encryption
Azure Cosmos DB è il database multimodello distribuito a livello globale di Microsoft.Azure Cosmos DB is Microsoft's globally distributed, multi-model database.I dati utente archiviati in Cosmos DB nella memoria non volatile (unità SSD) vengono crittografati per impostazione predefinita.User data that's stored in Cosmos DB in non-volatile storage (solid-state drives) is encrypted by default.Non sono presenti controlli per attivare o disattivare la crittografia.There are no controls to turn it on or off.La crittografia dei dati inattivi viene implementata attraverso una serie di tecnologie di protezione, inclusi i sistemi di archiviazione protetta delle chiavi, le reti crittografate e le API di crittografia.Encryption at rest is implemented by using a number of security technologies, including secure key storage systems, encrypted networks, and cryptographic APIs.Le chiavi di crittografia vengono gestite da Microsoft e ruotate in base alle linee guida interne di Microsoft.Encryption keys are managed by Microsoft and are rotated per Microsoft internal guidelines.
Crittografia di dati inattivi in Data LakeAt-rest encryption in Data Lake
Azure Data Lake è un repository aziendale di ogni tipo di dati raccolti in un'unica posizione prima di qualsiasi definizione formale di schema o requisiti.Azure Data Lake is an enterprise-wide repository of every type of data collected in a single place prior to any formal definition of requirements or schema.Azure Data Lake Store supporta la crittografia trasparente dei dati inattivi 'per impostazione predefinita', configurata durante la creazione dell'account.Data Lake Store supports 'on by default,' transparent encryption of data at rest, which is set up during the creation of your account.Per impostazione predefinita, Azure Data Lake Store gestisce automaticamente le chiavi, ma è possibile gestirle manualmente.By default, Azure Data Lake Store manages the keys for you, but you have the option to manage them yourself.
Vengono usate tre tipi di chiavi per la crittografia e decrittografia dei dati: la chiave di crittografia principale (MEK), la chiave di crittografia dei dati (DEK) e la chiave di crittografia a blocchi (BEK).Three types of keys are used in encrypting and decrypting data: the Master Encryption Key (MEK), Data Encryption Key (DEK), and Block Encryption Key (BEK).La chiave di crittografia principale viene usata per crittografare la chiave di crittografia dei dati, che viene archiviata su un supporto permanente e la chiave di crittografia a blocchi deriva dalla chiave di crittografia dei dati e dal blocco di dati.The MEK is used to encrypt the DEK, which is stored on persistent media, and the BEK is derived from the DEK and the data block.Se si stanno gestendo chiavi personalizzate, è possibile ruotare la chiave di crittografia principale.If you are managing your own keys, you can rotate the MEK.
Crittografia dei dati in transitoEncryption of data in transit
Azure offre numerosi meccanismi per conservare i dati privati durante lo spostamento da una posizione a un'altra.Azure offers many mechanisms for keeping data private as it moves from one location to another.
Crittografia TLS/SSL in AzureTLS/SSL encryption in Azure
Microsoft usa il protocollo Transport Layer Security (TLS) per proteggere i dati durante il trasferimento tra i servizi cloud e i clienti.Microsoft uses the Transport Layer Security (TLS) protocol to protect data when it’s traveling between the cloud services and customers.I data center Microsoft negoziano una connessione TLS con i sistemi client che si connettono ai servizi di Azure.Microsoft datacenters negotiate a TLS connection with client systems that connect to Azure services.Il protocollo TLS offre autenticazione avanzata, riservatezza dei messaggi e integrità (abilitando il rilevamento di manomissioni, intercettazioni e falsificazioni di messaggi), interoperabilità, flessibilità degli algoritmi e facilità di distribuzione e di utilizzo.TLS provides strong authentication, message privacy, and integrity (enabling detection of message tampering, interception, and forgery), interoperability, algorithm flexibility, and ease of deployment and use.
Perfect Forward Secrecy (PFS) protegge le connessioni tra i sistemi client dei clienti e i servizi cloud di Microsoft con chiavi univoche.Perfect Forward Secrecy (PFS) protects connections between customers’ client systems and Microsoft cloud services by unique keys.Le connessioni usano anche lunghezze di chiavi di crittografia basate a 2.048 bit basate su RSA.Connections also use RSA-based 2,048-bit encryption key lengths.Questa combinazione rende difficile ad altri utenti intercettare e accedere ai dati in transito.This combination makes it difficult for someone to intercept and access data that is in transit.
Transazioni di archiviazione di AzureAzure Storage transactions
Quando si interagisce con Archiviazione di Azure tramite il portale di Azure, tutte le transazioni hanno luogo tramite HTTPS.When you interact with Azure Storage through the Azure portal, all transactions take place over HTTPS.È possibile anche usare l'API REST di archiviazione su HTTPS per interagire con Archiviazione di Azure.You can also use the Storage REST API over HTTPS to interact with Azure Storage.È possibile imporre l'uso del protocollo HTTPS quando si chiamano le API REST per accedere a oggetti negli account di archiviazione abilitando l'opzione Trasferimento sicuro obbligatorio per l'account di archiviazione.You can enforce the use of HTTPS when you call the REST APIs to access objects in storage accounts by enabling the secure transfer that's required for the storage account.
Le firme di accesso condiviso (SAS), che possono essere usate per delegare l'accesso agli oggetti di Archiviazione di Azure, includono la possibilità di specificare che quando si usano firme di accesso condiviso può essere usato solo il protocollo HTTPS.Shared Access Signatures (SAS), which can be used to delegate access to Azure Storage objects, include an option to specify that only the HTTPS protocol can be used when you use Shared Access Signatures.In questo modo si garantisce che chiunque invii collegamenti con token di firma di accesso condiviso usi il protocollo corretto.This approach ensures that anybody who sends links with SAS tokens uses the proper protocol.
Il protocollo SMB 3.0 usato per accedere alle condivisioni di File di Azure supporta la crittografia ed è disponibile in Windows Server 2012 R2, Windows 8, Windows 8.1 e Windows 10.SMB 3.0, which used to access Azure Files shares, supports encryption, and it's available in Windows Server 2012 R2, Windows 8, Windows 8.1, and Windows 10.Consente l'accesso tra più aree e anche al desktop.It allows cross-region access and even access on the desktop.
La crittografia lato client crittografa i dati prima che vengano inviati ad Archiviazione di Azure, in modo che durante il transito in rete siano crittografati.Client-side encryption encrypts the data before it’s sent to your Azure Storage instance, so that it’s encrypted as it travels across the network.
Crittografia SMB su reti virtuali di AzureSMB encryption over Azure virtual networks
Il protocollo SMB 3.0 nelle macchine virtuali che eseguono Windows Server 2012 o versione successiva offre la possibilità di rendere sicuri i trasferimenti di dati crittografando i dati in transito sulle reti virtuali di Azure.By using SMB 3.0 in VMs that are running Windows Server 2012 or later, you can make data transfers secure by encrypting data in transit over Azure Virtual Networks.La crittografia dei dati aiuta a evitare attacchi di intercettazione di dati e manomissioni.By encrypting data, you help protect against tampering and eavesdropping attacks.Gli amministratori possono abilitare la crittografia SMB per l'intero server o solo per condivisioni specifiche.Administrators can enable SMB encryption for the entire server, or just specific shares.
Per impostazione predefinita, dopo avere attivato la crittografia SMB per una condivisione o per un server, l'accesso alle condivisioni crittografate è consentito solo ai client SMB 3.0.By default, after SMB encryption is turned on for a share or server, only SMB 3.0 clients are allowed to access the encrypted shares.
Crittografia dei dati in transito nelle VMIn-transit encryption in VMs
I dati in transito da, verso o tra macchine virtuali che eseguono Windows vengono crittografati in diversi modi, a seconda della natura della connessione.Data in transit to, from, and between VMs that are running Windows is encrypted in a number of ways, depending on the nature of the connection.
Sessioni RDPRDP sessions
È possibile connettersi e accedere a una macchina virtuale usando Remote Desktop Protocol (RDP) da un computer client Windows o da un Mac con un client RDP installato.You can connect and sign in to a VM by using the Remote Desktop Protocol (RDP) from a Windows client computer, or from a Mac with an RDP client installed.I dati in transito sulla rete nelle sessioni RDP possono essere protetti dal protocollo TLS.Data in transit over the network in RDP sessions can be protected by TLS.
È possibile anche usare Desktop remoto per connettersi a una VM Linux di Azure.You can also use Remote Desktop to connect to a Linux VM in Azure.
Accesso sicuro alle macchine virtuali Linux con SSHSecure access to Linux VMs with SSH
È possibile usare Secure Shell (SSH) per connettersi alle macchine virtuali Linux in esecuzione in Azure per la gestione remota.For remote management, you can use Secure Shell (SSH) to connect to Linux VMs running in Azure.SSH è un protocollo per connessioni crittografate che consente accessi protetti su connessioni non sicure.SSH is an encrypted connection protocol that allows secure sign-ins over unsecured connections.È il protocollo di connessione predefinito per le VM Linux ospitate in Azure.It is the default connection protocol for Linux VMs hosted in Azure.L'utilizzo di chiavi SSH per l'autenticazione consente di eliminare la necessità di password per l'accesso.By using SSH keys for authentication, you eliminate the need for passwords to sign in.SSH usa una coppia di chiavi pubblica/privata (asimmetrica) per l'autenticazione.SSH uses a public/private key pair (asymmetric encryption) for authentication.
Crittografia VPN di AzureAzure VPN encryption
È possibile connettersi ad Azure tramite una rete privata virtuale che crea un tunnel sicuro per proteggere la privacy dei dati inviati attraverso la rete.You can connect to Azure through a virtual private network that creates a secure tunnel to protect the privacy of the data being sent across the network.
Gateway VPN di AzureAzure VPN gateways
Un gateway VPN di Azure può essere usato per inviare traffico crittografato tra la rete virtuale e la posizione locale attraverso una connessione pubblica o per inviare traffico tra reti virtuali.You can use an Azure VPN gateway to send encrypted traffic between your virtual network and your on-premises location across a public connection, or to send traffic between virtual networks.
La rete VPN da sito a sito usa IPsec per la crittografia del trasporto.Site-to-site VPNs use IPsec for transport encryption.I gateway VPN di Azure usano un insieme di proposte predefinite.Azure VPN gateways use a set of default proposals.È possibile configurare i gateway VPN di Azure in modo da usare criteri IPsec/IKE personalizzati con algoritmi di crittografia specifici e attendibilità delle chiavi, anziché set di criteri predefiniti di Azure.You can configure Azure VPN gateways to use a custom IPsec/IKE policy with specific cryptographic algorithms and key strengths, rather than the Azure default policy sets.
VPN da punto a sitoPoint-to-site VPNs
Le VPN da punto a sito consentono ai singoli computer client di accedere a una rete virtuale di Azure.Point-to-site VPNs allow individual client computers access to an Azure virtual network.Il protocollo Secure Socket Tunneling Protocol (SSTP) viene usato per creare il tunnel VPNThe Secure Socket Tunneling Protocol (SSTP) is used to create the VPN tunnel.e può attraversare i firewall (il tunnel viene visualizzato come una connessione HTTPS).It can traverse firewalls (the tunnel appears as an HTTPS connection).È possibile usare la CA radice della PKI interna per la connettività da punto a sito.You can use your own internal public key infrastructure (PKI) root certificate authority (CA) for point-to-site connectivity.
È possibile configurare una connessione VPN da punto a sito a una rete virtuale usando il portale di Azure con l'autenticazione del certificato o PowerShell.You can configure a point-to-site VPN connection to a virtual network by using the Azure portal with certificate authentication or PowerShell.
Per altre informazioni sulle connessioni VPN da punto a sito per reti virtuali di Azure, vedere:To learn more about point-to-site VPN connections to Azure virtual networks, see:
VPN da sito a sitoSite-to-site VPNs
È possibile usare una connessione gateway VPN da sito a sito per connettere la rete locale a una rete virtuale di Azure tramite un tunnel VPN IPsec/IKE (IKEv1 o IKEv2).You can use a site-to-site VPN gateway connection to connect your on-premises network to an Azure virtual network over an IPsec/IKE (IKEv1 or IKEv2) VPN tunnel.Questo tipo di connessione richiede un dispositivo VPN locale a cui sia assegnato un indirizzo IP pubblico esterno.This type of connection requires an on-premises VPN device that has an external-facing public IP address assigned to it.
È possibile configurare una connessione VPN da sito a sito a una rete virtuale usando il portale di Azure, PowerShell o l'interfaccia della riga di comando di Azure.You can configure a site-to-site VPN connection to a virtual network by using the Azure portal, PowerShell, or Azure CLI.
Per altre informazioni, vedere:For more information, see:
Crittografia di dati in transito in Data LakeIn-transit encryption in Data Lake
Anche i dati in transito (noti anche come dati in movimento) vengono sempre crittografati in Data Lake Store.Data in transit (also known as data in motion) is also always encrypted in Data Lake Store.Oltre a essere crittografati prima dell'archiviazione in supporti persistenti, i dati vengono sempre protetti anche mentre sono in transito usando HTTPS.In addition to encrypting data prior to storing it in persistent media, the data is also always secured in transit by using HTTPS.HTTPS è l'unico protocollo supportato per le interfacce REST di Data Lake Store.HTTPS is the only protocol that is supported for the Data Lake Store REST interfaces.
Per altre informazioni sulla crittografia dei dati in transito in Data Lake, vedere Crittografia dei dati in Data Lake Store.To learn more about encryption of data in transit in Data Lake, see Encryption of data in Data Lake Store.
Gestione delle chiavi con Key VaultKey management with Key Vault
Ssb4 rom 3ds. Senza protezione e gestione delle chiavi adeguate la crittografia è inutile.Without proper protection and management of the keys, encryption is rendered useless.Key Vault è la soluzione consigliata di Microsoft per la gestione e il controllo dell'accesso alle chiavi di crittografia usate dai servizi cloud.Key Vault is the Microsoft-recommended solution for managing and controlling access to encryption keys used by cloud services.È possibile assegnare autorizzazioni per le chiavi di accesso ai servizi o agli utenti tramite account di Azure Active Directory.Permissions to access keys can be assigned to services or to users through Azure Active Directory accounts.
Con Key Vault le organizzazioni non hanno più necessità di eseguire le operazioni di configurazione, applicazione di patch e gestione di moduli di protezione hardware e software di gestione delle chiavi.Key Vault relieves organizations of the need to configure, patch, and maintain hardware security modules (HSMs) and key management software.Quando si usa l'insieme di credenziali delle chiavi, il controllo è in mano all'utente.When you use Key Vault, you maintain control.Microsoft non vede mai le chiavi e le applicazioni non hanno accesso diretto ad esse.Microsoft never sees your keys, and applications don’t have direct access to them.È possibile anche importare o generare chiavi nei moduli di protezione hardware.You can also import or generate keys in HSMs.
Passaggi successiviNext steps
I'm not sure I'd want to use NFS for the day-to-day operation. That would mean the NFS server and the routers/switches would need to be on UPS which lasts as long as the Domoticz system. Even if we didn't have any other reliability concerns about NFS.
I would definitely want the system to be able to operate standalone.
What I was thinking was the short-term database in tmpfs and backed up over the network basically in real time (or every five minutes, at least). On a clean shutdown a 'final' backup would be triggered. On startup, we'd restore the short-term database from the server. Those operations could actually be handled by the initscripts, rather than Domoticz itself.
So the common case would be that it all just works and nothing is lost. On an unclean shutdown you might lose the last tiny bit of data — but that you expect anyway, and on SD cards you probably expect to lose a whole lot more on an unclean power failure.
Only if the server is actually absent when you power up, is the shortlog lost. And again, this is a deployment choice — nobody would be forced to put the shortlog in tmpfs. To support this, all we really need on the Domoticz side is to allow the flexibility for the user to deploy it in such a way.