Kryptering i Azure Backup
Azure Backup krypterar automatiskt alla säkerhetskopierade data vid lagring i molnet med hjälp av Azure Storage-kryptering, vilket hjälper dig att uppfylla dina säkerhets- och efterlevnadsåtaganden. Dessa vilande data krypteras med 256-bitars AES-kryptering (en av de starkaste blockkrypteringarna som är FIPS 140-2-kompatibla). Dessutom överförs alla dina säkerhetskopierade data under överföring via HTTPS. Den finns alltid kvar i Azure-stamnätverket.
Den här artikeln beskriver krypteringsnivåer i Azure Backup som hjälper dig att skydda säkerhetskopierade data.
Krypteringsnivåer
Azure Backup innehåller kryptering på två nivåer:
| Krypteringsnivå | Beskrivning |
|---|---|
| Kryptering av data i Recovery Services-valvet | - Använda plattformshanterade nycklar: Som standard krypteras alla dina data med plattformshanterade nycklar. Du behöver inte vidta några uttryckliga åtgärder från din sida för att aktivera den här krypteringen. Det gäller för alla arbetsbelastningar som säkerhetskopieras till ditt Recovery Services-valv. - Använda kundhanterade nycklar: När du säkerhetskopierar azure-Virtual Machines kan du välja att kryptera dina data med hjälp av krypteringsnycklar som ägs och hanteras av dig. Azure Backup kan du använda dina RSA-nycklar som lagras i Azure Key Vault för att kryptera dina säkerhetskopior. Krypteringsnyckeln som används för kryptering av säkerhetskopior kan skilja sig från den som används för källan. Data skyddas med hjälp av en AES 256-baserad datakrypteringsnyckel (DEK), som i sin tur skyddas med dina nycklar. Detta ger dig fullständig kontroll över data och nycklar. För att tillåta kryptering krävs det att du ger Recovery Services-valvet åtkomst till krypteringsnyckeln i Azure Key Vault. Du kan inaktivera nyckeln eller återkalla åtkomsten när det behövs. Du måste dock aktivera kryptering med dina nycklar innan du försöker skydda objekt i valvet. Mer information finns här. - Kryptering på infrastrukturnivå: Förutom att kryptera dina data i Recovery Services-valvet med hjälp av kundhanterade nycklar kan du också välja att ha ytterligare ett krypteringslager konfigurerat i lagringsinfrastrukturen. Den här infrastrukturkryptering hanteras av plattformen. Tillsammans med kryptering i vila med hjälp av kundhanterade nycklar tillåter den kryptering i två lager av dina säkerhetskopierade data. Infrastrukturkryptering kan bara konfigureras om du först väljer att använda dina egna nycklar för kryptering i vila. Infrastrukturkryptering använder plattformshanterade nycklar för att kryptera data. |
| Kryptering som är specifik för arbetsbelastningen som säkerhetskopieras | - Säkerhetskopiering av virtuella Azure-datorer: Azure Backup stöder säkerhetskopiering av virtuella datorer med diskar krypterade med plattformshanterade nycklar, samt kundhanterade nycklar som ägs och hanteras av dig. Dessutom kan du säkerhetskopiera dina virtuella Azure-datorer som har sina operativsystem- eller datadiskar krypterade med hjälp av Azure Disk Encryption. ADE använder BitLocker för virtuella Windows-datorer och DM-Crypt för virtuella Linux-datorer för att utföra gästkryptering. - TDE – aktiverad säkerhetskopiering av databaser stöds. Om du vill återställa en TDE-krypterad databas till en annan SQL Server måste du först återställa certifikatet till målservern. Säkerhetskopieringskomprimering för TDE-aktiverade databaser för SQL Server 2016 och senare versioner är tillgänglig, men med lägre överföringsstorlek enligt beskrivningen här. |
Nästa steg
- Azure Storage-kryptering av vilande data
- Azure Backup vanliga frågor och svar om eventuella frågor om kryptering