Partilhar via


Encriptação no Azure Backup

O Backup do Azure criptografa automaticamente todos os seus dados de backup enquanto armazena na nuvem usando a criptografia do Armazenamento do Azure, o que ajuda você a cumprir seus compromissos de segurança e conformidade. Esses dados em repouso são criptografados usando criptografia AES de 256 bits (uma das cifras de bloco mais fortes disponíveis que é compatível com FIPS 140-2). Além disso, todos os seus dados de backup em trânsito são transferidos por HTTPS. Ele sempre permanece na rede de backbone do Azure.

Este artigo descreve os níveis de criptografia no Backup do Azure que ajudam a proteger seus dados de backup.

Níveis de encriptação

O Backup do Azure inclui criptografia em dois níveis:

Nível de encriptação Description
Criptografia de dados no cofre dos Serviços de Recuperação - Usando chaves gerenciadas pela plataforma: por padrão, todos os seus dados são criptografados usando chaves gerenciadas pela plataforma. Você não precisa tomar nenhuma ação explícita do seu lado para habilitar essa criptografia. Aplica-se a todas as cargas de trabalho cujo backup está sendo feito no cofre dos Serviços de Recuperação.

- Usando chaves gerenciadas pelo cliente: ao fazer backup de suas Máquinas Virtuais do Azure, você pode optar por criptografar seus dados usando chaves de criptografia de sua propriedade e gerenciadas. O Backup do Azure permite que você use suas chaves RSA armazenadas no Cofre de Chaves do Azure para criptografar seus backups. A chave de criptografia usada para criptografar backups pode ser diferente da usada para a origem. Os dados são protegidos usando uma chave de criptografia de dados baseada em AES 256 (DEK), que é, por sua vez, protegida usando suas chaves. Isto dá-lhe controlo total sobre os dados e as chaves. Para permitir a encriptação, é necessário que conceda ao cofre dos Serviços de Recuperação acesso à chave de encriptação no Cofre da Chave do Azure. Você pode desativar a chave ou revogar o acesso sempre que necessário. No entanto, você deve habilitar a criptografia usando suas chaves antes de tentar proteger quaisquer itens no cofre. Saiba mais aqui.

- Criptografia no nível da infraestrutura: além de criptografar seus dados no cofre dos Serviços de Recuperação usando chaves gerenciadas pelo cliente, você também pode optar por ter uma camada adicional de criptografia configurada na infraestrutura de armazenamento. Esta encriptação de infraestrutura é gerida pela plataforma. Juntamente com a criptografia em repouso usando chaves gerenciadas pelo cliente, ele permite a criptografia de duas camadas de seus dados de backup. A criptografia de infraestrutura só pode ser configurada se você primeiro optar por usar suas próprias chaves para criptografia em repouso. A criptografia de infraestrutura usa chaves gerenciadas pela plataforma para criptografar dados.
Criptografia específica para a carga de trabalho que está sendo copiada - Backup de máquina virtual do Azure: o Backup do Azure dá suporte ao backup de VMs com discos criptografados usando chaves gerenciadas pela plataforma, bem como chaves gerenciadas pelo cliente de sua propriedade e gerenciadas por você. Além disso, você também pode fazer backup de suas máquinas virtuais do Azure que têm seu sistema operacional ou discos de dados criptografados usando a Criptografia de Disco do Azure. O ADE usa o BitLocker para VMs do Windows e o DM-Crypt para VMs Linux para executar a criptografia no convidado.

- TDE - backup de banco de dados habilitado é suportado. Para restaurar um banco de dados criptografado TDE para outro SQL Server, você precisa primeiro restaurar o certificado para o servidor de destino. A compactação de backup para bancos de dados habilitados para TDE para SQL Server 2016 e versões mais recentes está disponível, mas com tamanho de transferência menor, conforme explicado aqui.

Próximos passos