Шифрование в Azure Backup
Azure Backup автоматически шифрует все резервные копии данных во время хранения в облаке с помощью шифрования служба хранилища Azure, что помогает выполнять обязательства по обеспечению безопасности и соответствия требованиям. Эти данные шифруются с помощью 256-разрядного шифрования AES (один из самых надежных шифров блоков, доступных в соответствии с FIPS 140-2). Кроме того, все передаваемые данные резервного копирования передаются по протоколу HTTPS. Эти данные всегда остаются в магистральной сети Azure.
В этой статье описываются уровни шифрования в Azure Backup, которые помогают защитить резервные копии данных.
Уровни шифрования
Azure Backup включает два уровня шифрования:
| Уровень шифрования | Description |
|---|---|
| Шифрование данных в хранилище Служб восстановления | - Использование ключей, управляемых платформой. По умолчанию все ваши данные шифруются с помощью ключей, управляемых платформой. Поэтому, чтобы включить такое шифрование, выполнять явные действия не нужно. Она применяется ко всем рабочим нагрузкам, которые резервируются в хранилище служб восстановления. - Использование ключей, управляемых клиентом. При резервном копировании виртуальных машин Azure вы можете выбрать шифрование данных с помощью собственных и управляемых вами ключей шифрования. Azure Backup дает возможность использовать ключи RSA, хранящиеся в службе Azure Key Vault, для шифрования резервных копий. Ключ шифрования, используемый для шифрования резервных копий, может отличаться от ключа шифрования, используемого для исходных данных. Данные защищены с помощью ключа шифрования данных (DEK) на основе алгоритма шифрования AES 256. Этот ключ, в свою очередь, защищен вашими ключами. Благодаря этому вы получаете полный контроль над данными и ключами. Чтобы разрешить шифрование, необходимо предоставить хранилищу Служб восстановления доступ к ключу шифрования в службе Azure Key Vault. Вы можете в любое время отключить ключ или отозвать доступ. Тем не менее, перед попыткой защитить какие-либо элементы в хранилище необходимо включить шифрование с использованием ваших ключей. Дополнительные сведения см. здесь. - Шифрование на уровне инфраструктуры. Помимо шифрования данных в хранилище Служб восстановления с помощью ключей, управляемых клиентом, вы можете также выбрать дополнительный уровень шифрования, настроенный в инфраструктуре хранения. Это шифрование инфраструктуры управляется платформой. Вместе с шифрованием неактивных данных с помощью ключей, управляемых клиентом, это позволяет использовать двухуровневое шифрование резервных копий ваших данных. Шифрование инфраструктуры можно настроить только в том случае, если сначала вы решили использовать собственные ключи для шифрования неактивных данных. Шифрование инфраструктуры использует ключи, управляемые платформой, для шифрования данных. |
| Шифрование, зависят от резервной копии рабочей нагрузки. | - Резервное копирование виртуальных машин Azure. Azure Backup поддерживает резервное копирование виртуальных машин с дисками, зашифрованными с помощью ключей, управляемых платформой, а также ваших собственных и управляемых вами ключей, управляемых клиентом. Кроме этого, вы также можете создавать резервные копии ваших виртуальных машин Azure, операционные системы или диски данных которых зашифрованы с помощью Шифрования дисков Azure. ADE использует BitLocker для виртуальных машин Windows и DM-Crypt для виртуальных машин Linux, чтобы выполнять шифрование в гостевой системе. - Поддерживается резервное копирование базы данных с поддержкой технологии TDE. Чтобы восстановить базу данных, зашифрованную с помощью технологии TDE, на другой экземпляр SQL Server, сначала восстановите сертификат на целевом сервере. Сжатие резервных копий для баз данных с поддержкой TDE доступно в SQL Server 2016 и более новых версий, но с меньшим размером перемещаемых данных, как описано здесь. |
Следующие шаги
- Шифрование службы хранилища Azure для неактивных данных
- Для получения подробной информации о шифровании см. раздел Часто задаваемые вопросы об Azure Backup