Azure 備份的加密
Azure 備份會使用 Azure 儲存體加密自動將您儲存在雲端的所有已備份資料加密,此功能可協助您符合安全性與合規性承諾。 待用資料加密是使用 256 位元的 AES 加密 (其為最強大的區塊編碼器之一,且符合 FIPS 140-2 規範)。 此外,傳輸中的所有備份資料都會透過 HTTPS 傳輸。 這些資料一律會保留在 Azure 中樞網路上。
此文章說明 Azure 備份中有助於保護備份資料的加密層級。
加密層級
Azure 備份包含兩個層級的加密:
| 加密層級 | 描述 |
|---|---|
| 復原服務保存庫中的資料加密 | - 使用平台代控金鑰:根據預設,您的所有資料都會使用平台代控金鑰進行加密。 您那端不需要採取任何明確動作,即可啟用此加密。 其適用於備份到復原服務保存庫的所有工作負載。 - 使用客戶自控金鑰:備份 Azure 虛擬機器時,您可以選擇使用您所擁有和管理的加密金鑰來加密您的資料。 Azure 備份可讓您使用儲存在 Azure Key Vault 中的 RSA 金鑰來加密備份。 用於加密備份的加密金鑰可能與用於來源的加密金鑰不同。 系統會使用以 AES 256 為基礎的資料加密金鑰 (DEK) 保護資料,也就是使用您的金鑰來保護。 這可讓您完整控制資料和金鑰。 若要允許加密,您必須將 Azure Key Vault 中的加密金鑰存取權授與給復原服務保存庫。 您可以在需要時停用金鑰或撤銷存取權。 不過,在您嘗試透過保存庫保護任何項目之前,必須先使用您的金鑰啟用加密。 在此深入了解。 - 基礎結構層級加密:除了使用客戶自控金鑰來加密復原服務保存庫中的資料之外,您也可以選擇在儲存體基礎結構上設定其他加密層級。 此基礎結構加密程序由平台管理。 使用客戶自控金鑰搭配待用加密,可為您的備份資料提供兩層加密。 只有在您第一次選擇使用自己的金鑰進行待用加密時,才可以設定基礎結構加密。 基礎結構加密使用平台代控金鑰來加密資料。 |
| 要進行備份之工作負載的專屬加密 | - Azure 虛擬機器備份:Azure 備份支援使用平台代控金鑰以及由您所擁有和管理的客戶自控金鑰加密的磁碟來備份 VM。 此外,您也可以備份使用 Azure 磁碟加密來加密其 OS 或資料磁碟的 Azure 虛擬機器。 Azure 磁碟加密會針對 Windows VM 使用 BitLocker、針對 Linux VM 使用 DM-Crypt 以執行客體內加密。 - 支援已啟用 TDE 的資料庫備份。 若要將 TDE 加密資料庫還原至另一部 SQL Server,您必須先將憑證還原至目的地伺服器。 對於 SQL Server 2016 和更新版本提供已啟用 TDE 的資料庫適用的備份壓縮,但以較低的傳輸大小為限,如此處所述。 |
下一步
- 待用資料的 Azure 儲存體加密
- AZURE 備份常見問題,包含與加密相關的任何問題