Šifrování ve službě Azure Backup
Azure Backup automaticky šifruje všechna zálohovaná data při ukládání do cloudu pomocí šifrování azure Storage, což vám pomůže splnit vaše závazky týkající se zabezpečení a dodržování předpisů. Tato neaktivní uložená data se šifrují pomocí 256bitového šifrování AES (jeden z nejsilnějších blokových šifer, které jsou k dispozici, což je kompatibilní se standardem FIPS 140-2). Kromě toho se všechna přenášená zálohovaná data přenášejí přes PROTOKOL HTTPS. Vždy zůstává v páteřní síti Azure.
Tento článek popisuje úrovně šifrování ve službě Azure Backup, které pomáhají chránit zálohovaná data.
Úrovně šifrování
Azure Backup zahrnuje šifrování na dvou úrovních:
| Úroveň šifrování | Popis |
|---|---|
| Šifrování dat v trezoru služby Recovery Services | - Použití klíčů spravovaných platformou: Ve výchozím nastavení se všechna vaše data šifrují pomocí klíčů spravovaných platformou. Abyste mohli toto šifrování povolit, nemusíte od svého konce provádět žádnou explicitní akci. Platí pro všechny úlohy zálohované do trezoru služby Recovery Services. - Použití klíčů spravovaných zákazníkem: Při zálohování virtuálních počítačů Azure můžete data zašifrovat pomocí šifrovacích klíčů vlastněných a spravovaných vámi. Azure Backup umožňuje používat klíče RSA uložené ve službě Azure Key Vault k šifrování záloh. Šifrovací klíč použitý pro šifrování záloh se může lišit od šifrovacího klíče použitého pro zdroj. Data jsou chráněná pomocí šifrovacího klíče založeného na AES 256 (DEK), který je zase chráněný pomocí vašich klíčů. Tím získáte úplnou kontrolu nad daty a klíči. Pokud chcete povolit šifrování, je nutné, abyste trezoru služby Recovery Services udělili přístup k šifrovacímu klíči ve službě Azure Key Vault. Klíč můžete kdykoliv zakázat nebo odvolat přístup. Před pokusem o ochranu všech položek v trezoru však musíte povolit šifrování pomocí klíčů. Další informace najdete tady. - Šifrování na úrovni infrastruktury: Kromě šifrování dat v trezoru služby Recovery Services pomocí klíčů spravovaných zákazníkem můžete také zvolit další vrstvu šifrování nakonfigurovanou v infrastruktuře úložiště. Toto šifrování infrastruktury spravuje platforma. Spolu s šifrováním neaktivních uložených dat pomocí klíčů spravovaných zákazníkem umožňuje dvouvrstvé šifrování zálohovaných dat. Šifrování infrastruktury je možné nakonfigurovat pouze v případě, že se nejprve rozhodnete použít vlastní klíče pro šifrování neaktivních uložených dat. Šifrování infrastruktury používá klíče spravované platformou k šifrování dat. |
| Šifrování specifické pro zálohovanou úlohu | - Zálohování virtuálních počítačů Azure: Azure Backup podporuje zálohování virtuálních počítačů s disky šifrovanými pomocí klíčů spravovaných platformou a také klíče spravované zákazníkem, které vlastníte a spravujete. Kromě toho můžete zálohovat virtuální počítače Azure, které mají jejich operační systém nebo datové disky šifrované pomocí služby Azure Disk Encryption. ADE k šifrování v hostu používá BitLocker pro virtuální počítače s Windows a DM-Crypt pro virtuální počítače s Linuxem. - Transparentní šifrování dat – podporuje se zálohování databáze. Pokud chcete obnovit databázi zašifrovanou transparentním šifrováním dat na jiný SQL Server, musíte nejprve obnovit certifikát na cílový server. Komprese záloh pro databáze s povoleným transparentním šifrováním dat pro SQL Server 2016 a novější verze je dostupná, ale s nižší velikostí přenosu, jak je vysvětleno zde. |
Další kroky
- Šifrování služby Azure Storage pro neaktivní uložená data
- Nejčastější dotazy ke službě Azure Backup týkající se šifrování