Udostępnij za pośrednictwem


Azure Site Recovery:我们对于保障您的数据安全的承诺

Anoob Backer 云 + Enterprise 项目经理

Azure Site Recovery 是一个基于 Azure 的全天候、易用的服务, 可以安全地安排恢复操作,一旦发生灾难,即可为您的应用程序提供保护。去年,微软法律及公司事务部总顾问兼执行副总裁 Brad Smith 在其博客中明确表达了微软对于客户数据隐私的承诺。Azure Site Recovery 被完全设计为一项混合 IT 服务。这项服务由符合微软隐私承诺的云组件和内部部署组件构成。尤其是:

  • 加密处于传输中和静态存储时的客户数据
  • 使用业内一流的加密技术保护所有通道,包括完美转发保密和 2048 位密钥长度

Azure Site Recovery 遵循由三个关键组件构成、面向服务的体系结构:

  1. Azure 管理门户提供了 Azure Site Recovery 保护和恢复体验,从而为客户提供单个管理界面,客户可以随时随地访问这个管理界面,以管理多个灾难恢复站点上的所有 Azure 资产。
  2. Azure Site Recovery Provider 是安装在 System Center Virtual Machine Manager (VMM) 服务器上的内部部署组件,通过建立出站无入站的连接到 Azure Site Recovery 服务。该提供程序需要连接到 Internet,并且可以利用内部部署代理服务器,因此,无需从 VMM 服务器直接建立 Internet 连接。
  3. Azure Recovery Service Agent 是在托管内部部署虚拟机以实现 Azure 保护的每一台 Windows Hyper-V Server 上安装的内部部署组件。该代理需要连接到 Internet,但可以利用内部部署代理服务器,因此,无需从 Hyper-V 服务器直接建立 Internet 连接。

客户的内部部署组件与基于云的 Azure Site Recovery 服务进行交互的关键通道是:

  • 通信通道

安装在 VMM 服务器上的 Azure Site Recovery Provider 和安装在 Hyper-V 主机上的 Azure Recovery Services Agent 与 Azure 中的 Azure Site Recovery 服务通信,处理所有运行活动,如故障转移、运行状况监控等。确保此通道的安全至关重要。

为此,内部部署与 Azure Site Recovery 服务之间的所有通信通道均通过 443(HTTPS) 调用,然后使用业内标准的 X.509 证书验证每个请求的身份,从而在传输到 Azure 的过程中提供全面的数据安全。

除了安全通信通道以外,内部部署提供程序还会使用保管库密钥(在注册 VMM 的过程中收集的客户特定密钥)来确保 Azure 的操作完整性

  • 复制通道

Hyper-V 主机上的 Azure Recovery Services Agent 将虚拟机复制到指定的客户存储帐户。确保通过此通道传输的所有数据的安全至关重要,因此,在使用客户管理的 X.509 加密证书对数据执行内部部署加密之后,才将数据复制到客户的跨地域冗余存储帐户,然后再通过上述安全通信通道进行传输。在 Azure 中,提供全面的静态数据安全。

处于静态加密状态的客户虚拟机使用 AES-256。客户应确保客户管理的加密证书存储在一个安全位置,并且仅在实际的灾难恢复操作过程中或模拟灾难恢复演习过程中,客户才提供客户管理的加密证书,以便虚拟机能够在 Azure 中的客户订阅下进行实例化。

Azure Site Recovery 还对在我们的数据中心之间移动的客户内容进行加密。我们 100% 履行对于安全和隐私的承诺,并且将继续使用业内一流的加密技术保护客户数据(传输中静态存储时)。

您还可以访问 MSDN 上的 Azure 论坛,了解其他信息并与其他客户互动。

当您准备好查看 ASR 能够为您做什么之后,即可查阅定价信息注册获取免费试用了解有关产品规范的更多信息

如果你有任何疑问, 欢迎访问MSDN社区,由专家来为您解答Windows Azure各种技术问题,或者拨打世纪互联客户服务热线400-089-0365/010-84563652咨询各类服务信息。

本文翻译自:https://azure.microsoft.com/blog/2014/09/02/azure-site-recovery-privacy-security-part1/