Titkosítás az Azure Backupban

Cikk
06/01/2023

Azure Backup automatikusan titkosítja az összes biztonsági mentési adatot, miközben a felhőben tárolja az Azure Storage-titkosítást, ami segít a biztonsági és megfelelőségi kötelezettségek teljesítésében. Ezek az inaktív adatok titkosítása 256 bites AES-titkosítással történik (az egyik legerősebb, fips 140-2 szabványnak megfelelő blokktitkosítás). Emellett az összes átvitt biztonsági mentési adat HTTPS-en keresztül lesz átadva. Mindig az Azure gerinchálózatán marad.

Ez a cikk a biztonsági mentési adatok védelmét segítő Azure Backup titkosítási szintjeit ismerteti.

Titkosítási szintek

Azure Backup két szinten tartalmazza a titkosítást:

Titkosítási szint	Description
Adatok titkosítása a Recovery Services-tárolóban	- Platform által felügyelt kulcsok használata: Alapértelmezés szerint minden adat platform által felügyelt kulcsokkal van titkosítva. A titkosítás engedélyezéséhez nem kell explicit műveletet végeznie a végétől. Ez az összes olyan számítási feladatra vonatkozik, amelyről biztonsági másolatot készít a Recovery Services-tárolóba. - Ügyfél által kezelt kulcsok használata: Az Azure-Virtual Machines biztonsági mentésekor dönthet úgy, hogy az Ön tulajdonában lévő és felügyelt titkosítási kulcsokkal titkosítja az adatokat. Azure Backup lehetővé teszi az Azure Key Vault-ben tárolt RSA-kulcsok használatát a biztonsági másolatok titkosításához. A biztonsági másolatok titkosításához használt titkosítási kulcs eltérhet a forráshoz használt kulcstól. Az adatok védelme egy AES 256-alapú adattitkosítási kulccsal (DEK) történik, amely viszont a kulcsokkal van védve. Így teljes mértékben szabályozhatja az adatokat és a kulcsokat. A titkosítás engedélyezéséhez hozzáférést kell adnia a Recovery Services-tárolónak az Azure Key Vault titkosítási kulcsához. Szükség esetén letilthatja a kulcsot, vagy visszavonhatja a hozzáférést. A kulcsok használatával azonban engedélyeznie kell a titkosítást, mielőtt megkísérli védeni az elemeket a tárolóban. További információt itt talál. - Infrastruktúraszintű titkosítás: A helyreállítási tárban lévő adatok ügyfél által felügyelt kulcsokkal történő titkosítása mellett dönthet úgy is, hogy egy további titkosítási réteget is konfigurál a tárolási infrastruktúrán. Ezt az infrastruktúra-titkosítást a platform kezeli. Az inaktív adatok ügyfél által felügyelt kulcsokkal történő titkosításával együtt lehetővé teszi a biztonsági mentési adatok kétrétegű titkosítását. Az infrastruktúra-titkosítás csak akkor konfigurálható, ha először saját kulcsokat használ az inaktív titkosításhoz. Az infrastruktúra-titkosítás platform által felügyelt kulcsokat használ az adatok titkosításához.
A biztonsági mentés alatt álló számítási feladatra jellemző titkosítás	- Azure-beli virtuális gépek biztonsági mentése: Azure Backup támogatja a platform által felügyelt kulcsokkal titkosított lemezekkel rendelkező virtuális gépek biztonsági mentését, valamint az Ön tulajdonában lévő és felügyelt ügyfél által kezelt kulcsokat. Emellett biztonsági másolatot készíthet azokról az Azure-beli virtuális gépekről is, amelyek operációs rendszere vagy adatlemezei az Azure Disk Encryption használatával vannak titkosítva. Az ADE a BitLockert windowsos virtuális gépekhez, a linuxos virtuális gépekhez pedig DM-Crypt használja a vendégen belüli titkosítás végrehajtásához. - TDE – az adatbázis biztonsági mentése támogatott. Ha egy TDE-titkosítású adatbázist egy másik SQL Server szeretne visszaállítani, először vissza kell állítania a tanúsítványt a célkiszolgálóra. A TDE-kompatibilis adatbázisok biztonsági mentési tömörítése a 2016-SQL Server és az újabb verziókhoz elérhető, de alacsonyabb átviteli méretben, az itt leírtak szerint.

Titkosítási szint

Description

Adatok titkosítása a Recovery Services-tárolóban

- Platform által felügyelt kulcsok használata: Alapértelmezés szerint minden adat platform által felügyelt kulcsokkal van titkosítva. A titkosítás engedélyezéséhez nem kell explicit műveletet végeznie a végétől. Ez az összes olyan számítási feladatra vonatkozik, amelyről biztonsági másolatot készít a Recovery Services-tárolóba.

- Ügyfél által kezelt kulcsok használata: Az Azure-Virtual Machines biztonsági mentésekor dönthet úgy, hogy az Ön tulajdonában lévő és felügyelt titkosítási kulcsokkal titkosítja az adatokat. Azure Backup lehetővé teszi az Azure Key Vault-ben tárolt RSA-kulcsok használatát a biztonsági másolatok titkosításához. A biztonsági másolatok titkosításához használt titkosítási kulcs eltérhet a forráshoz használt kulcstól. Az adatok védelme egy AES 256-alapú adattitkosítási kulccsal (DEK) történik, amely viszont a kulcsokkal van védve. Így teljes mértékben szabályozhatja az adatokat és a kulcsokat. A titkosítás engedélyezéséhez hozzáférést kell adnia a Recovery Services-tárolónak az Azure Key Vault titkosítási kulcsához. Szükség esetén letilthatja a kulcsot, vagy visszavonhatja a hozzáférést. A kulcsok használatával azonban engedélyeznie kell a titkosítást, mielőtt megkísérli védeni az elemeket a tárolóban. További információt itt talál.

- Infrastruktúraszintű titkosítás: A helyreállítási tárban lévő adatok ügyfél által felügyelt kulcsokkal történő titkosítása mellett dönthet úgy is, hogy egy további titkosítási réteget is konfigurál a tárolási infrastruktúrán. Ezt az infrastruktúra-titkosítást a platform kezeli. Az inaktív adatok ügyfél által felügyelt kulcsokkal történő titkosításával együtt lehetővé teszi a biztonsági mentési adatok kétrétegű titkosítását. Az infrastruktúra-titkosítás csak akkor konfigurálható, ha először saját kulcsokat használ az inaktív titkosításhoz. Az infrastruktúra-titkosítás platform által felügyelt kulcsokat használ az adatok titkosításához.

A biztonsági mentés alatt álló számítási feladatra jellemző titkosítás

- Azure-beli virtuális gépek biztonsági mentése: Azure Backup támogatja a platform által felügyelt kulcsokkal titkosított lemezekkel rendelkező virtuális gépek biztonsági mentését, valamint az Ön tulajdonában lévő és felügyelt ügyfél által kezelt kulcsokat. Emellett biztonsági másolatot készíthet azokról az Azure-beli virtuális gépekről is, amelyek operációs rendszere vagy adatlemezei az Azure Disk Encryption használatával vannak titkosítva. Az ADE a BitLockert windowsos virtuális gépekhez, a linuxos virtuális gépekhez pedig DM-Crypt használja a vendégen belüli titkosítás végrehajtásához.

- TDE – az adatbázis biztonsági mentése támogatott. Ha egy TDE-titkosítású adatbázist egy másik SQL Server szeretne visszaállítani, először vissza kell állítania a tanúsítványt a célkiszolgálóra. A TDE-kompatibilis adatbázisok biztonsági mentési tömörítése a 2016-SQL Server és az újabb verziókhoz elérhető, de alacsonyabb átviteli méretben, az itt leírtak szerint.

Következő lépések

Inaktív adatok Azure Storage-titkosítása
Azure Backup titkosítással kapcsolatos kérdésekre vonatkozó gyakori kérdések

Titkosítás az Azure Backupban

Titkosítási szintek

Következő lépések

További források