Versleuteling in Azure Backup
Azure Backup versleutelt automatisch al uw back-ups van gegevens tijdens het opslaan in de cloud met behulp van Azure Storage-versleuteling, zodat u kunt voldoen aan uw beveiligings- en nalevingsverplichtingen. Deze data-at-rest wordt versleuteld met behulp van 256-bits AES-versleuteling (een van de sterkste blokcoderingen die compatibel is met FIPS 140-2). Bovendien worden al uw back-upgegevens overgedragen via HTTPS. Het blijft altijd in het Azure-backbonenetwerk.
In dit artikel worden de versleutelingsniveaus in Azure Backup beschreven waarmee u uw back-upgegevens kunt beveiligen.
Versleutelingsniveaus
Azure Backup bevat versleuteling op twee niveaus:
| Versleutelingsniveau | Description |
|---|---|
| Versleuteling van gegevens in de Recovery Services-kluis | - Door het platform beheerde sleutels gebruiken: standaard worden al uw gegevens versleuteld met door het platform beheerde sleutels. U hoeft geen expliciete actie van uw kant te ondernemen om deze versleuteling in te schakelen. Deze is van toepassing op alle workloads waarvan een back-up wordt gemaakt in uw Recovery Services-kluis. - Door de klant beheerde sleutels gebruiken: wanneer u een back-up maakt van uw Azure Virtual Machines, kunt u ervoor kiezen om uw gegevens te versleutelen met behulp van versleutelingssleutels die eigendom zijn van en door u worden beheerd. met Azure Backup kunt u uw RSA-sleutels gebruiken die zijn opgeslagen in de Azure Key Vault voor het versleutelen van uw back-ups. De versleutelingssleutel die wordt gebruikt voor het versleutelen van back-ups, kan afwijken van de sleutel die voor de bron wordt gebruikt. De gegevens worden beveiligd met behulp van een op AES 256 gebaseerde gegevensversleutelingssleutel (DEK), die op zijn beurt wordt beveiligd met behulp van uw sleutels. Dit geeft u volledige controle over de gegevens en de sleutels. Als u versleuteling wilt toestaan, moet u de Recovery Services-kluis toegang verlenen tot de versleutelingssleutel in de Azure Key Vault. U kunt de sleutel uitschakelen of de toegang intrekken wanneer dat nodig is. U moet echter versleuteling met behulp van uw sleutels inschakelen voordat u items in de kluis probeert te beveiligen. Klik hier voor meer informatie. - Versleuteling op infrastructuurniveau: naast het versleutelen van uw gegevens in de Recovery Services-kluis met behulp van door de klant beheerde sleutels, kunt u er ook voor kiezen om een extra versleutelingslaag te configureren voor de opslaginfrastructuur. Deze infrastructuurversleuteling wordt beheerd door het platform. Samen met versleuteling -at-rest met behulp van door de klant beheerde sleutels is het mogelijk om uw back-upgegevens in twee lagen te versleutelen. Infrastructuurversleuteling kan alleen worden geconfigureerd als u er eerst voor kiest om uw eigen sleutels te gebruiken voor versleuteling-at-rest. Infrastructuurversleuteling maakt gebruik van door het platform beheerde sleutels voor het versleutelen van gegevens. |
| Versleuteling die specifiek is voor de workload waarvan een back-up wordt gemaakt | - Back-up van virtuele Azure-machines: Azure Backup ondersteunt back-ups van VM's met schijven die zijn versleuteld met behulp van door het platform beheerde sleutels, evenals door de klant beheerde sleutels die eigendom zijn van en worden beheerd door u. Daarnaast kunt u ook een back-up maken van uw virtuele Azure-machines waarop de besturingssysteem- of gegevensschijven zijn versleuteld met behulp van Azure Disk Encryption. ADE maakt gebruik van BitLocker voor Windows-VM's en DM-Crypt voor Linux-VM's om in-guest-versleuteling uit te voeren. - TDE: ingeschakelde databaseback-up wordt ondersteund. Als u een met TDE versleutelde database wilt herstellen naar een andere SQL Server, moet u eerst het certificaat herstellen naar de doelserver. De back-upcompressie voor TDE-databases voor SQL Server 2016 en nieuwere versies is beschikbaar, maar met een lagere overdrachtsgrootte, zoals hier wordt uitgelegd. |