Šifrování ve službě Azure Backup
Azure Backup automaticky šifruje všechna zálohovaná data při ukládání v cloudu pomocí šifrování Azure Storage, které vám pomůže splnit vaše závazky v oblasti zabezpečení a dodržování předpisů. Tato neaktivní uložená data se šifrují pomocí 256bitového šifrování AES (jedna z nejsilnějších dostupných blokových šifer, která je kompatibilní se standardem FIPS 140-2). Kromě toho se všechna přenášená zálohovaná data přenášejí přes protokol HTTPS. Vždy zůstává v páteřní síti Azure.
Tento článek popisuje úrovně šifrování v Azure Backup, které pomáhají chránit zálohovaná data.
Úrovně šifrování
Azure Backup zahrnuje šifrování na dvou úrovních:
| Úroveň šifrování | Popis |
|---|---|
| Šifrování dat v trezoru služby Recovery Services | - Použití klíčů spravovaných platformou: Ve výchozím nastavení se všechna vaše data šifrují pomocí klíčů spravovaných platformou. Abyste toto šifrování povolili, nemusíte na své straně provádět žádné explicitní akce. Platí pro všechny úlohy zálohované do trezoru služby Recovery Services. - Použití klíčů spravovaných zákazníkem: Při zálohování azure Virtual Machines můžete zvolit šifrování dat pomocí šifrovacích klíčů, které vlastníte a spravujete vy. Azure Backup umožňuje používat klíče RSA uložené v azure Key Vault k šifrování záloh. Šifrovací klíč používaný k šifrování záloh se může lišit od šifrovacího klíče použitého pro zdroj. Data jsou chráněná pomocí šifrovacího klíče (DEK) založeného na AES 256, který je chráněný pomocí vašich klíčů. Získáte tak plnou kontrolu nad daty a klíči. Pokud chcete povolit šifrování, musíte trezoru služby Recovery Services udělit přístup k šifrovacímu klíči v azure Key Vault. Kdykoli je to potřeba, můžete klíč zakázat nebo přístup odvolat. Před pokusem o ochranu položek v trezoru je však nutné povolit šifrování pomocí klíčů. Další informace najdete tady. - Šifrování na úrovni infrastruktury: Kromě šifrování dat v trezoru služby Recovery Services pomocí klíčů spravovaných zákazníkem můžete také zvolit konfiguraci další vrstvy šifrování v infrastruktuře úložiště. Toto šifrování infrastruktury spravuje platforma. Společně s šifrováním neaktivních uložených dat pomocí klíčů spravovaných zákazníkem umožňuje dvouvrstvé šifrování zálohovaných dat. Šifrování infrastruktury se dá nakonfigurovat jenom v případě, že se nejdřív rozhodnete použít k šifrování neaktivních uložených uložených klíčů vlastní klíče. Šifrování infrastruktury používá k šifrování dat klíče spravované platformou. |
| Šifrování specifické pro zálohovanou úlohu | - Zálohování virtuálních počítačů Azure: Azure Backup podporuje zálohování virtuálních počítačů s disky šifrovanými pomocí klíčů spravovaných platformou a také klíčů spravovaných zákazníkem, které vlastníte a spravujete vy. Kromě toho můžete také zálohovat virtuální počítače Azure, které mají své disky s operačním systémem nebo datové disky šifrované pomocí služby Azure Disk Encryption. ADE používá BitLocker pro virtuální počítače s Windows a DM-Crypt pro virtuální počítače s Linuxem k šifrování hosta. - Transparentní šifrování dat – podporuje se povolené zálohování databáze. Pokud chcete obnovit databázi šifrovanou transparentním šifrováním dat do jiného SQL Server, musíte nejprve obnovit certifikát na cílovém serveru. Komprese záloh pro databáze s povoleným transparentním šifrováním dat pro SQL Server 2016 a novější verze je k dispozici, ale s nižší velikostí přenosu, jak je vysvětleno tady. |