Шифрование в Azure Backup

  • Статья

Azure Backup автоматически шифрует все резервные копии данных при хранении в облаке с помощью шифрования службы хранилища Azure, что помогает выполнять обязательства по обеспечению безопасности и соответствия требованиям. Эти неактивные данные шифруются с помощью 256-разрядного шифрования AES (один из самых надежных блочных шифров, совместимых с FIPS 140-2). Кроме того, все передаваемые данные резервных копий передаются по протоколу HTTPS. Эти данные всегда остаются в магистральной сети Azure.

В этой статье описываются уровни шифрования в Azure Backup, которые помогают защитить резервные копии данных.

Уровни шифрования

Azure Backup включает два уровня шифрования:

Уровень шифрования Описание
Шифрование данных в хранилище Служб восстановления - Использование ключей, управляемых платформой. По умолчанию все данные шифруются с помощью ключей, управляемых платформой. Чтобы включить такое шифрование, не требуются какие-либо действия с вашей стороны. Она применяется ко всем рабочим нагрузкам, резервным копированием которых выполняется в хранилище Служб восстановления.

- Использование ключей, управляемых клиентом. При резервном копировании Виртуальные машины Azure вы можете зашифровать данные с помощью ключей шифрования, принадлежащих вам и управляемых вами. В Azure Backup можно шифровать резервные копии ключами RSA из Azure Key Vault. Ключ шифрования резервных копий, может отличаться от ключа шифрования, используемого для исходного кода. Данные защищены с помощью ключа шифрования данных (DEK) на основе алгоритма шифрования AES 256. Этот ключ, в свою очередь, защищен вашими ключами. Благодаря этому вы получаете полный контроль над данными и ключами. Чтобы разрешить шифрование, необходимо предоставить хранилищу Служб восстановления доступ к ключу шифрования в службе Azure Key Vault. Вы можете отключить ключ или отозвать доступ в любое время. Но перед тем как защитить какие-либо элементы в хранилище необходимо включить шифрование с использованием ваших ключей. Дополнительные сведения см. здесь.

- Шифрование на уровне инфраструктуры. Помимо шифрования данных в хранилище Служб восстановления с помощью ключей, управляемых клиентом, можно также настроить дополнительный уровень шифрования в инфраструктуре хранилища. Это шифрование инфраструктуры управляется платформой. Вместе с шифрованием неактивных данных с помощью ключей, управляемых клиентом, это позволяет использовать двухуровневое шифрование резервных копий ваших данных. Шифрование инфраструктуры можно настроить только в том случае, если сначала вы решили использовать собственные ключи для шифрования неактивных данных. Шифрование инфраструктуры использует ключи, управляемые платформой, для шифрования данных.
Шифрование, относяемое к рабочей нагрузке, для которой выполняется резервное копирование - Резервное копирование виртуальных машин Azure: Azure Backup поддерживает резервное копирование виртуальных машин с дисками, зашифрованными с помощью ключей, управляемых платформой, а также управляемых клиентом ключей, принадлежащих и управляемых вами. Кроме этого, вы также можете создавать резервные копии ваших виртуальных машин Azure, операционные системы или диски данных которых зашифрованы с помощью Шифрования дисков Azure. ADE использует BitLocker для виртуальных машин Windows и DM-Crypt для виртуальных машин Linux, чтобы выполнять шифрование в гостевой системе.

- TDE — поддерживается резервное копирование базы данных. Чтобы восстановить базу данных, зашифрованную с помощью технологии TDE, на другой экземпляр SQL Server, сначала восстановите сертификат на целевом сервере. Сжатие резервных копий для баз данных с поддержкой TDE доступно в SQL Server 2016 и более новых версий, но с меньшим размером перемещаемых данных, как описано здесь.

Дальнейшие действия