Crittografia in Backup di Azure

Articolo
06/01/2023

Backup di Azure crittografa automaticamente tutti i dati di cui è stato eseguito il backup durante l'archiviazione nel cloud usando la crittografia di Archiviazione di Azure, che consente di soddisfare gli impegni di sicurezza e conformità. Questi dati inattivi vengono crittografati usando la crittografia AES a 256 bit (una delle crittografia a blocchi più forti disponibili che è conforme a FIPS 140-2). Inoltre, tutti i dati di backup in transito vengono trasferiti tramite HTTPS. Rimane sempre nella rete backbone di Azure.

Questo articolo descrive i livelli di crittografia nei Backup di Azure che consentono di proteggere i dati di cui è stato eseguito il backup.

Livelli di crittografia

Backup di Azure include la crittografia su due livelli:

Livello di crittografia	Descrizione
Crittografia dei dati nell'insieme di credenziali di Servizi di ripristino	- Uso delle chiavi gestite dalla piattaforma: per impostazione predefinita, tutti i dati vengono crittografati usando chiavi gestite dalla piattaforma. Non è necessario eseguire alcuna azione esplicita dalla fine per abilitare questa crittografia. Si applica a tutti i carichi di lavoro sottoposti a backup nell'insieme di credenziali di Servizi di ripristino. - Uso delle chiavi gestite dal cliente: quando si esegue il backup dell'Macchine virtuali di Azure, è possibile scegliere di crittografare i dati usando chiavi di crittografia di proprietà e gestite dall'utente. Backup di Azure consente di usare le chiavi RSA archiviate nell'Key Vault di Azure per crittografare i backup. La chiave di crittografia usata per crittografare i backup può essere diversa da quella usata per l'origine. I dati vengono protetti usando una chiave DEK basata su AES 256, che è, a sua volta, protetta usando le chiavi. In questo modo viene fornito il controllo completo sui dati e sulle chiavi. Per consentire la crittografia, è necessario concedere all'insieme di credenziali di Servizi di ripristino l'accesso alla chiave di crittografia nel Key Vault di Azure. È possibile disabilitare la chiave o revocare l'accesso ogni volta che è necessario. Tuttavia, è necessario abilitare la crittografia usando le chiavi prima di tentare di proteggere tutti gli elementi nell'insieme di credenziali. Fare clic qui per altre informazioni. - Crittografia a livello di infrastruttura: oltre a crittografare i dati nell'insieme di credenziali di Servizi di ripristino usando chiavi gestite dal cliente, è anche possibile scegliere di avere un livello aggiuntivo di crittografia configurato nell'infrastruttura di archiviazione. Questa crittografia dell'infrastruttura viene gestita dalla piattaforma. Insieme alla crittografia inattiva usando chiavi gestite dal cliente, consente la crittografia a due livelli dei dati di backup. La crittografia dell'infrastruttura può essere configurata solo se si sceglie prima di tutto di usare le proprie chiavi per la crittografia inattivi. La crittografia dell'infrastruttura usa chiavi gestite dalla piattaforma per crittografare i dati.
Crittografia specifica del carico di lavoro sottoposto a backup	- Backup di macchine virtuali di Azure: Backup di Azure supporta il backup delle macchine virtuali con dischi crittografati usando chiavi gestite dalla piattaforma, nonché chiavi gestite dal cliente e gestite dall'utente. È anche possibile eseguire il backup delle macchine virtuali di Azure con il sistema operativo o i dischi dati crittografati usando Crittografia dischi di Azure. ADE usa BitLocker per le macchine virtuali Windows e DM-Crypt per le macchine virtuali Linux, per eseguire la crittografia in-guest. - TDE: è supportato il backup del database abilitato. Per ripristinare un database crittografato TDE in un'altra SQL Server, è necessario prima ripristinare il certificato nel server di destinazione. La compressione di backup per i database abilitati per TDE per SQL Server 2016 e versioni più recenti è disponibile, ma a dimensioni di trasferimento inferiori, come illustrato qui.

Livello di crittografia

Descrizione

Crittografia dei dati nell'insieme di credenziali di Servizi di ripristino

- Uso delle chiavi gestite dalla piattaforma: per impostazione predefinita, tutti i dati vengono crittografati usando chiavi gestite dalla piattaforma. Non è necessario eseguire alcuna azione esplicita dalla fine per abilitare questa crittografia. Si applica a tutti i carichi di lavoro sottoposti a backup nell'insieme di credenziali di Servizi di ripristino.

- Uso delle chiavi gestite dal cliente: quando si esegue il backup dell'Macchine virtuali di Azure, è possibile scegliere di crittografare i dati usando chiavi di crittografia di proprietà e gestite dall'utente. Backup di Azure consente di usare le chiavi RSA archiviate nell'Key Vault di Azure per crittografare i backup. La chiave di crittografia usata per crittografare i backup può essere diversa da quella usata per l'origine. I dati vengono protetti usando una chiave DEK basata su AES 256, che è, a sua volta, protetta usando le chiavi. In questo modo viene fornito il controllo completo sui dati e sulle chiavi. Per consentire la crittografia, è necessario concedere all'insieme di credenziali di Servizi di ripristino l'accesso alla chiave di crittografia nel Key Vault di Azure. È possibile disabilitare la chiave o revocare l'accesso ogni volta che è necessario. Tuttavia, è necessario abilitare la crittografia usando le chiavi prima di tentare di proteggere tutti gli elementi nell'insieme di credenziali. Fare clic qui per altre informazioni.

- Crittografia a livello di infrastruttura: oltre a crittografare i dati nell'insieme di credenziali di Servizi di ripristino usando chiavi gestite dal cliente, è anche possibile scegliere di avere un livello aggiuntivo di crittografia configurato nell'infrastruttura di archiviazione. Questa crittografia dell'infrastruttura viene gestita dalla piattaforma. Insieme alla crittografia inattiva usando chiavi gestite dal cliente, consente la crittografia a due livelli dei dati di backup. La crittografia dell'infrastruttura può essere configurata solo se si sceglie prima di tutto di usare le proprie chiavi per la crittografia inattivi. La crittografia dell'infrastruttura usa chiavi gestite dalla piattaforma per crittografare i dati.

Crittografia specifica del carico di lavoro sottoposto a backup

- Backup di macchine virtuali di Azure: Backup di Azure supporta il backup delle macchine virtuali con dischi crittografati usando chiavi gestite dalla piattaforma, nonché chiavi gestite dal cliente e gestite dall'utente. È anche possibile eseguire il backup delle macchine virtuali di Azure con il sistema operativo o i dischi dati crittografati usando Crittografia dischi di Azure. ADE usa BitLocker per le macchine virtuali Windows e DM-Crypt per le macchine virtuali Linux, per eseguire la crittografia in-guest.

- TDE: è supportato il backup del database abilitato. Per ripristinare un database crittografato TDE in un'altra SQL Server, è necessario prima ripristinare il certificato nel server di destinazione. La compressione di backup per i database abilitati per TDE per SQL Server 2016 e versioni più recenti è disponibile, ma a dimensioni di trasferimento inferiori, come illustrato qui.

Passaggi successivi

Crittografia del servizio di archiviazione di Azure per dati inattivi
Backup di Azure domande frequenti su eventuali domande sulla crittografia

Crittografia in Backup di Azure

Livelli di crittografia

Passaggi successivi

Risorse aggiuntive