Szyfrowanie w usłudze Azure Backup
Azure Backup automatycznie szyfruje wszystkie dane kopii zapasowej podczas przechowywania w chmurze przy użyciu szyfrowania usługi Azure Storage, co ułatwia spełnienie zobowiązań dotyczących zabezpieczeń i zgodności. Te dane magazynowane są szyfrowane przy użyciu 256-bitowego szyfrowania AES (jeden z najsilniejszych dostępnych szyfrów blokowych, które są zgodne ze standardem FIPS 140-2). Ponadto wszystkie dane kopii zapasowej przesyłane są przesyłane za pośrednictwem protokołu HTTPS. Zawsze pozostaje w sieci szkieletowej platformy Azure.
W tym artykule opisano poziomy szyfrowania w Azure Backup, które pomagają chronić dane kopii zapasowej.
Poziomy szyfrowania
Azure Backup obejmuje szyfrowanie na dwóch poziomach:
| Poziom szyfrowania | Opis |
|---|---|
| Szyfrowanie danych w magazynie usługi Recovery Services | - Przy użyciu kluczy zarządzanych przez platformę: domyślnie wszystkie dane są szyfrowane przy użyciu kluczy zarządzanych przez platformę. Nie musisz podejmować żadnych jawnych akcji od końca, aby włączyć to szyfrowanie. Dotyczy to wszystkich obciążeń, których kopia zapasowa jest tworzona w magazynie usługi Recovery Services. - Korzystając z kluczy zarządzanych przez klienta: podczas tworzenia kopii zapasowej Virtual Machines platformy Azure możesz wybrać szyfrowanie danych przy użyciu kluczy szyfrowania należących do Ciebie i zarządzanych przez Ciebie. Azure Backup umożliwia używanie kluczy RSA przechowywanych w usłudze Azure Key Vault do szyfrowania kopii zapasowych. Klucz szyfrowania używany do szyfrowania kopii zapasowych może być inny niż klucz używany dla źródła. Dane są chronione przy użyciu klucza szyfrowania danych opartego na protokole AES 256 (DEK), który jest z kolei chroniony przy użyciu kluczy. Zapewnia to pełną kontrolę nad danymi i kluczami. Aby zezwolić na szyfrowanie, wymagane jest przyznanie magazynowi usługi Recovery Services dostępu do klucza szyfrowania w usłudze Azure Key Vault. Możesz wyłączyć klucz lub odwołać dostęp w razie potrzeby. Jednak przed podjęciem próby ochrony wszystkich elementów w magazynie należy włączyć szyfrowanie przy użyciu kluczy. Więcej informacji można znaleźć tutaj. - Szyfrowanie na poziomie infrastruktury: oprócz szyfrowania danych w magazynie usługi Recovery Services przy użyciu kluczy zarządzanych przez klienta można również wybrać dodatkową warstwę szyfrowania skonfigurowaną w infrastrukturze magazynu. To szyfrowanie infrastruktury jest zarządzane przez platformę. Szyfrowanie magazynowane przy użyciu kluczy zarządzanych przez klienta umożliwia dwuwarstwowe szyfrowanie danych kopii zapasowej. Szyfrowanie infrastruktury można skonfigurować tylko wtedy, gdy najpierw zdecydujesz się używać własnych kluczy do szyfrowania magazynowanych. Szyfrowanie infrastruktury używa kluczy zarządzanych przez platformę do szyfrowania danych. |
| Szyfrowanie specyficzne dla kopii zapasowej obciążenia | - Kopia zapasowa maszyny wirtualnej platformy Azure: Azure Backup obsługuje tworzenie kopii zapasowych maszyn wirtualnych z dyskami zaszyfrowanymi przy użyciu kluczy zarządzanych przez platformę, a także kluczy zarządzanych przez klienta i zarządzanych przez Ciebie. Ponadto możesz również utworzyć kopię zapasową maszyn wirtualnych platformy Azure, które mają swoje dyski systemu operacyjnego lub danych zaszyfrowane przy użyciu usługi Azure Disk Encryption. Usługa ADE używa funkcji BitLocker dla maszyn wirtualnych z systemem Windows i DM-Crypt dla maszyn wirtualnych z systemem Linux do wykonywania szyfrowania w gościu. - TDE — obsługiwana jest włączona kopia zapasowa bazy danych. Aby przywrócić zaszyfrowaną bazę danych TDE do innej SQL Server, należy najpierw przywrócić certyfikat na serwerze docelowym. Kompresja kopii zapasowych baz danych z obsługą funkcji TDE dla SQL Server 2016 i nowszych wersji jest dostępna, ale przy niższym rozmiarze transferu, jak wyjaśniono tutaj. |