Share via


Versleuteling in Azure Backup

Azure Backup versleutelt automatisch al uw back-upgegevens tijdens het opslaan in de cloud met behulp van Azure Storage-versleuteling, zodat u aan uw beveiligings- en nalevingsverplichtingen kunt voldoen. Deze data-at-rest wordt versleuteld met 256-bits AES-versleuteling (een van de sterkste blokcoderingen die compatibel zijn met FIPS 140-2). Bovendien worden al uw back-upgegevens tijdens overdracht overgedragen via HTTPS. Het blijft altijd aanwezig in het Azure-backbonenetwerk.

In dit artikel worden de versleutelingsniveaus in Azure Backup beschreven waarmee u uw back-upgegevens kunt beveiligen.

Versleutelingsniveaus

Azure Backup bevat versleuteling op twee niveaus:

Versleutelingsniveau Beschrijving
Versleuteling van gegevens in de Recovery Services-kluis - Door platform beheerde sleutels gebruiken: standaard worden al uw gegevens versleuteld met behulp van door het platform beheerde sleutels. U hoeft geen expliciete actie van uw kant uit te voeren om deze versleuteling in te schakelen. Dit geldt voor alle workloads waarvan een back-up wordt gemaakt voor uw Recovery Services-kluis.

- Door de klant beheerde sleutels gebruiken: wanneer u een back-up maakt van uw virtuele Azure-machines, kunt u ervoor kiezen om uw gegevens te versleutelen met behulp van versleutelingssleutels die eigendom zijn van en worden beheerd door u. Met Azure Backup kunt u uw RSA-sleutels gebruiken die zijn opgeslagen in Azure Key Vault voor het versleutelen van uw back-ups. De versleutelingssleutel die wordt gebruikt voor het versleutelen van back-ups kan afwijken van de sleutel die voor de bron wordt gebruikt. De gegevens worden beveiligd met behulp van een op AES 256 gebaseerde gegevensversleutelingssleutel (DEK), die op zijn beurt wordt beveiligd met behulp van uw sleutels. Hierdoor hebt u volledige controle over de gegevens en de sleutels. Als u versleuteling wilt toestaan, moet u de Recovery Services-kluis toegang verlenen tot de versleutelingssleutel in Azure Key Vault. U kunt de sleutel uitschakelen of de toegang intrekken wanneer dat nodig is. U moet echter versleuteling inschakelen met behulp van uw sleutels voordat u probeert items in de kluis te beveiligen. Klik hier voor meer informatie.

- Versleuteling op infrastructuurniveau: naast het versleutelen van uw gegevens in de Recovery Services-kluis met door de klant beheerde sleutels, kunt u er ook voor kiezen om een extra versleutelingslaag te configureren voor de opslaginfrastructuur. Deze infrastructuurversleuteling wordt beheerd door het platform. Samen met versleuteling-at-rest met behulp van door de klant beheerde sleutels, is het mogelijk om uw back-upgegevens met twee lagen te versleutelen. Infrastructuurversleuteling kan alleen worden geconfigureerd als u ervoor kiest om eerst uw eigen sleutels te gebruiken voor versleuteling-at-rest. Infrastructuurversleuteling maakt gebruik van door het platform beheerde sleutels voor het versleutelen van gegevens.
Versleuteling die specifiek is voor de workload waarvan een back-up wordt gemaakt - Back-up van virtuele Azure-machines: Azure Backup ondersteunt back-ups van VM's met schijven die zijn versleuteld met behulp van door het platform beheerde sleutels, evenals door de klant beheerde sleutels die eigendom zijn van en worden beheerd door u. Daarnaast kunt u ook een back-up maken van uw virtuele Azure-machines waarvoor hun besturingssysteem of gegevensschijven zijn versleuteld met behulp van Azure Disk Encryption. ADE maakt gebruik van BitLocker voor Windows-VM's en DM-Crypt voor Linux-VM's om in-gastversleuteling uit te voeren.

- TDE: back-up van database ingeschakeld wordt ondersteund. Als u een met TDE versleutelde database wilt herstellen naar een andere SQL Server, moet u eerst het certificaat herstellen naar de doelserver. De back-upcompressie voor databases met TDE-functionaliteit voor SQL Server 2016 en nieuwere versies is beschikbaar, maar met een lagere overdrachtsgrootte, zoals hier wordt uitgelegd.

Volgende stappen