Crittografia in Backup di Azure

Articolo
10/16/2024

Backup di Azure crittografa automaticamente tutti i dati di cui è stato eseguito il backup durante l'archiviazione nel cloud usando la crittografia Archiviazione di Azure, che consente di soddisfare gli impegni di sicurezza e conformità. Questi dati inattivi vengono crittografati usando la crittografia AES a 256 bit (una delle crittografie a blocchi più complesse disponibili che è conforme a FIPS 140-2). Inoltre, tutti i dati di backup in transito vengono trasferiti tramite HTTPS. Rimane sempre nella rete backbone di Azure.

Questo articolo descrive i livelli di crittografia in Backup di Azure che consente di proteggere i dati di cui è stato eseguito il backup.

Livelli di crittografia

Backup di Azure include la crittografia su due livelli:

Livello di crittografia	Descrizione
Crittografia dei dati nell'insieme di credenziali di Servizi di ripristino	- Uso delle chiavi gestite dalla piattaforma: per impostazione predefinita, tutti i dati vengono crittografati usando chiavi gestite dalla piattaforma. Non è necessario eseguire alcuna azione esplicita dalla fine per abilitare questa crittografia. Si applica a tutti i carichi di lavoro sottoposti a backup nell'insieme di credenziali di Servizi di ripristino. - Uso delle chiavi gestite dal cliente: quando si esegue il backup di Azure Macchine virtuali, è possibile scegliere di crittografare i dati usando chiavi di crittografia di proprietà e gestite dall'utente. Backup di Azure consente di usare le chiavi RSA archiviate in Azure Key Vault per crittografare i backup. La chiave di crittografia usata per crittografare i backup può essere diversa da quella usata per l'origine. I dati vengono protetti usando una chiave DEK (Data Encryption Key) basata su AES 256, che a sua volta è protetta con le chiavi. In questo modo è possibile controllare completamente i dati e le chiavi. Per consentire la crittografia, è necessario concedere all'insieme di credenziali di Servizi di ripristino l'accesso alla chiave di crittografia in Azure Key Vault. È possibile disabilitare la chiave o revocare l'accesso quando necessario. Tuttavia, è necessario abilitare la crittografia usando le chiavi prima di tentare di proteggere gli elementi nell'insieme di credenziali. Fare clic qui per altre informazioni. - Crittografia a livello di infrastruttura: oltre a crittografare i dati nell'insieme di credenziali di Servizi di ripristino usando chiavi gestite dal cliente, è anche possibile scegliere di configurare un livello di crittografia aggiuntivo nell'infrastruttura di archiviazione. Questa crittografia dell'infrastruttura viene gestita dalla piattaforma. Insieme alla crittografia dei dati inattivi usando chiavi gestite dal cliente, consente la crittografia a due livelli dei dati di backup. La crittografia dell'infrastruttura può essere configurata solo se si sceglie prima di tutto di usare chiavi personalizzate per la crittografia dei dati inattivi. La crittografia dell'infrastruttura usa chiavi gestite dalla piattaforma per crittografare i dati.
Crittografia specifica del carico di lavoro sottoposto a backup	- Backup di macchine virtuali di Azure: Backup di Azure supporta il backup di macchine virtuali con dischi crittografati tramite chiavi gestite dalla piattaforma, nonché chiavi gestite dal cliente di proprietà e gestite dall'utente. È anche possibile eseguire il backup delle macchine virtuali di Azure con il sistema operativo o i dischi dati crittografati usando Crittografia dischi di Azure. AdE usa BitLocker per le macchine virtuali Windows e DM-Crypt per le macchine virtuali Linux per eseguire la crittografia in-guest. - TDE: è supportato il backup del database abilitato. Per ripristinare in un altro SQL Server un database con crittografia TDE, innanzitutto occorre ripristinare il certificato nel server di destinazione. La compressione dei backup per i database abilitati per TDE per SQL Server 2016 e versioni più recenti è disponibile, ma con dimensioni di trasferimento inferiori, come illustrato qui.

Livello di crittografia

Descrizione

Crittografia dei dati nell'insieme di credenziali di Servizi di ripristino

- Uso delle chiavi gestite dalla piattaforma: per impostazione predefinita, tutti i dati vengono crittografati usando chiavi gestite dalla piattaforma. Non è necessario eseguire alcuna azione esplicita dalla fine per abilitare questa crittografia. Si applica a tutti i carichi di lavoro sottoposti a backup nell'insieme di credenziali di Servizi di ripristino.

- Uso delle chiavi gestite dal cliente: quando si esegue il backup di Azure Macchine virtuali, è possibile scegliere di crittografare i dati usando chiavi di crittografia di proprietà e gestite dall'utente. Backup di Azure consente di usare le chiavi RSA archiviate in Azure Key Vault per crittografare i backup. La chiave di crittografia usata per crittografare i backup può essere diversa da quella usata per l'origine. I dati vengono protetti usando una chiave DEK (Data Encryption Key) basata su AES 256, che a sua volta è protetta con le chiavi. In questo modo è possibile controllare completamente i dati e le chiavi. Per consentire la crittografia, è necessario concedere all'insieme di credenziali di Servizi di ripristino l'accesso alla chiave di crittografia in Azure Key Vault. È possibile disabilitare la chiave o revocare l'accesso quando necessario. Tuttavia, è necessario abilitare la crittografia usando le chiavi prima di tentare di proteggere gli elementi nell'insieme di credenziali. Fare clic qui per altre informazioni.

- Crittografia a livello di infrastruttura: oltre a crittografare i dati nell'insieme di credenziali di Servizi di ripristino usando chiavi gestite dal cliente, è anche possibile scegliere di configurare un livello di crittografia aggiuntivo nell'infrastruttura di archiviazione. Questa crittografia dell'infrastruttura viene gestita dalla piattaforma. Insieme alla crittografia dei dati inattivi usando chiavi gestite dal cliente, consente la crittografia a due livelli dei dati di backup. La crittografia dell'infrastruttura può essere configurata solo se si sceglie prima di tutto di usare chiavi personalizzate per la crittografia dei dati inattivi. La crittografia dell'infrastruttura usa chiavi gestite dalla piattaforma per crittografare i dati.

Crittografia specifica del carico di lavoro sottoposto a backup

- Backup di macchine virtuali di Azure: Backup di Azure supporta il backup di macchine virtuali con dischi crittografati tramite chiavi gestite dalla piattaforma, nonché chiavi gestite dal cliente di proprietà e gestite dall'utente. È anche possibile eseguire il backup delle macchine virtuali di Azure con il sistema operativo o i dischi dati crittografati usando Crittografia dischi di Azure. AdE usa BitLocker per le macchine virtuali Windows e DM-Crypt per le macchine virtuali Linux per eseguire la crittografia in-guest.

- TDE: è supportato il backup del database abilitato. Per ripristinare in un altro SQL Server un database con crittografia TDE, innanzitutto occorre ripristinare il certificato nel server di destinazione. La compressione dei backup per i database abilitati per TDE per SQL Server 2016 e versioni più recenti è disponibile, ma con dimensioni di trasferimento inferiori, come illustrato qui.

Passaggi successivi

Crittografia del servizio di archiviazione di Azure per dati inattivi
Backup di Azure domande frequenti per eventuali domande sulla crittografia

Condividi tramite

Crittografia in Backup di Azure

Livelli di crittografia

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive