Compartilhar via


Criptografia no Backup do Azure

O Backup do Azure criptografa automaticamente todos os dados de backup enquanto armazena na nuvem usando a criptografia do Armazenamento do Microsoft Azure, o que ajuda você a atender aos seus compromissos de segurança e conformidade. Os dados inativos são criptografados com criptografia AES de 256 bits, uma das codificações de bloco mais fortes disponíveis que estão em conformidade com o padrão FIPS 140-2. Adicionalmente, todos os dados de backup em trânsito são transferidos por HTTPS. Esses dados permanecem na rede de backbone do Azure.

Este artigo descreve os níveis de criptografia no Backup do Azure que ajudam a proteger seus dados de backup.

Níveis de criptografia

O Backup do Azure inclui criptografia em dois níveis:

Nível de criptografia Descrição
Criptografia de dados no cofre dos Serviços de Recuperação - Uso de chaves de criptografia gerenciadas pela plataforma: por padrão, todos os dados são criptografados usando chaves de criptografia gerenciadas pela plataforma. Você não precisa executar nenhuma ação explícita para habilitar essa criptografia. Ele se aplica a todas as cargas de trabalho cujo backup está sendo feito em seu cofre dos Serviços de Recuperação.

- Uso de chaves gerenciadas pelo cliente: ao fazer backup das Máquinas Virtuais do Azure, você pode optar por criptografar os dados usando chaves de criptografia de sua propriedade e gerenciadas por você. O Backup do Azure permite usar as chaves RSA armazenadas no Azure Key Vault para criptografar os backups. A chave de criptografia usada para criptografar backups pode ser diferente daquela usada para a origem. Os dados são protegidos usando uma DEK (chave de criptografia de dados) baseada na AES 256 que, por sua vez, é protegida com suas chaves. Isso proporciona controle total sobre os dados e as chaves. Para permitir a criptografia, é necessário que o cofre dos Serviços de Recuperação receba acesso à chave de criptografia no Azure Key Vault. É possível desabilitar a chave ou revogar o acesso sempre que necessário. No entanto, você precisa habilitar a criptografia usando as chaves antes de tentar proteger todos os itens do cofre. Saiba mais aqui.

- Criptografia no nível da infraestrutura: além de criptografar os dados no cofre dos Serviços de Recuperação usando chaves gerenciadas pelo cliente, você também pode optar por ter uma camada adicional de criptografia configurada na infraestrutura de armazenamento. Essa criptografia de infraestrutura é gerenciada pela plataforma. Junto com a criptografia em repouso que usa chaves gerenciadas pelo cliente, ela permite a criptografia de duas camadas dos dados de backup. Só será possível configurar a criptografia de infraestrutura se você optar primeiro por usar suas próprias chaves para a criptografia em repouso. A criptografia de infraestrutura usa as chaves de criptografia gerenciadas pela plataforma para criptografar os dados.
Criptografia específica para a carga de trabalho cujo backup está sendo feito - Backup de máquinas virtuais do Azure: o Backup do Azure dá suporte ao backup de VMs com discos criptografados usando as chaves de criptografia gerenciadas pela plataforma, bem como as chaves gerenciadas pelo cliente de sua propriedade e gerenciadas por você. Além disso, também é possível pode fazer backup das Máquinas virtuais do Azure que têm seu sistema operacional ou discos de dados criptografados usando o Azure Disk Encryption. O ADE usa o BitLocker para VMs do Windows e o DM-Crypt para VMs do Linux, para executar a criptografia no convidado.

- Há suporte ao backup de banco de dados habilitado para TDE. Para restaurar um banco de dados criptografado por TDE em outro SQL Server, primeiramente, você precisa restaurar o certificado no servidor de destino. A compactação de backup de bancos de dados habilitados para TDE em Microsoft SQL Server 2016 e versões mais recentes está disponível, mas com tamanho de transferência menor, conforme explicado aqui.

Próximas etapas