Szyfrowanie w usłudze Azure Backup
Usługa Azure Backup automatycznie szyfruje wszystkie dane kopii zapasowej podczas przechowywania w chmurze przy użyciu szyfrowania usługi Azure Storage, co ułatwia spełnienie zobowiązań w zakresie zabezpieczeń i zgodności. Te dane magazynowane są szyfrowane przy użyciu 256-bitowego szyfrowania AES (jeden z najsilniejszych dostępnych szyfrów blokowych, które są zgodne ze standardem FIPS 140-2). Ponadto wszystkie dane kopii zapasowej przesyłane są przesyłane za pośrednictwem protokołu HTTPS. Zawsze pozostaje w sieci szkieletowej platformy Azure.
W tym artykule opisano poziomy szyfrowania w usłudze Azure Backup, które pomagają chronić dane kopii zapasowej.
Poziomy szyfrowania
Usługa Azure Backup obejmuje szyfrowanie na dwóch poziomach:
| Poziom szyfrowania | opis |
|---|---|
| Szyfrowanie danych w magazynie usługi Recovery Services | - Przy użyciu kluczy zarządzanych przez platformę: domyślnie wszystkie dane są szyfrowane przy użyciu kluczy zarządzanych przez platformę. Nie musisz podejmować żadnych jawnych akcji od końca, aby włączyć to szyfrowanie. Dotyczy to wszystkich obciążeń, których kopia zapasowa jest tworzona w magazynie usługi Recovery Services. - Przy użyciu kluczy zarządzanych przez klienta: podczas tworzenia kopii zapasowej maszyn wirtualnych platformy Azure możesz wybrać szyfrowanie danych przy użyciu kluczy szyfrowania należących do Ciebie i zarządzanych przez Ciebie. Usługa Azure Backup umożliwia używanie kluczy RSA przechowywanych w usłudze Azure Key Vault do szyfrowania kopii zapasowych. Klucz szyfrowania używany do szyfrowania kopii zapasowych może różnić się od klucza używanego dla źródła. Dane są chronione przy użyciu klucza szyfrowania danych opartego na protokole AES 256 (DEK), który z kolei jest chroniony przy użyciu kluczy. Zapewnia to pełną kontrolę nad danymi i kluczami. Aby zezwolić na szyfrowanie, wymagane jest przyznanie magazynowi usługi Recovery Services dostępu do klucza szyfrowania w usłudze Azure Key Vault. Możesz wyłączyć klucz lub odwołać dostęp w razie potrzeby. Jednak przed podjęciem próby ochrony wszystkich elementów w magazynie należy włączyć szyfrowanie przy użyciu kluczy. Więcej informacji można znaleźć tutaj. - Szyfrowanie na poziomie infrastruktury: oprócz szyfrowania danych w magazynie usługi Recovery Services przy użyciu kluczy zarządzanych przez klienta można również wybrać dodatkową warstwę szyfrowania skonfigurowaną w infrastrukturze magazynu. To szyfrowanie infrastruktury jest zarządzane przez platformę. Szyfrowanie magazynowane przy użyciu kluczy zarządzanych przez klienta umożliwia dwuwarstwowe szyfrowanie danych kopii zapasowej. Szyfrowanie infrastruktury można skonfigurować tylko wtedy, gdy najpierw zdecydujesz się używać własnych kluczy do szyfrowania magazynowanych. Szyfrowanie infrastruktury używa kluczy zarządzanych przez platformę do szyfrowania danych. |
| Szyfrowanie specyficzne dla kopii zapasowej obciążenia | - Kopia zapasowa maszyny wirtualnej platformy Azure: usługa Azure Backup obsługuje tworzenie kopii zapasowych maszyn wirtualnych z dyskami zaszyfrowanymi przy użyciu kluczy zarządzanych przez platformę, a także klucze zarządzane przez klienta i zarządzane przez Ciebie. Ponadto można również utworzyć kopię zapasową maszyn wirtualnych platformy Azure, które mają zaszyfrowane dyski systemu operacyjnego lub danych przy użyciu usługi Azure Disk Encryption. Program ADE używa funkcji BitLocker dla maszyn wirtualnych z systemem Windows i narzędzia DM-Crypt dla maszyn wirtualnych z systemem Linux do wykonywania szyfrowania gościa. - TDE — obsługiwana jest włączona kopia zapasowa bazy danych. Aby przywrócić zaszyfrowaną bazę danych TDE do innego programu SQL Server, należy najpierw przywrócić certyfikat na serwerze docelowym. Kompresja kopii zapasowych baz danych z obsługą funkcji TDE dla programu SQL Server 2016 i nowszych wersji jest dostępna, ale przy niższym rozmiarze transferu, jak wyjaśniono tutaj. |