Kryptering i Azure Backup
Azure Backup krypterar automatiskt alla säkerhetskopierade data vid lagring i molnet med hjälp av Azure Storage-kryptering, vilket hjälper dig att uppfylla dina säkerhets- och efterlevnadsåtaganden. Dessa vilande data krypteras med 256-bitars AES-kryptering (en av de starkaste blockkrypteringarna som är FIPS 140-2-kompatibla). Dessutom överförs alla dina säkerhetskopierade data under överföring via HTTPS. Den finns alltid kvar i Azure-stamnätverket.
Den här artikeln beskriver krypteringsnivåer i Azure Backup som hjälper dig att skydda säkerhetskopierade data.
Krypteringsnivåer
Azure Backup innehåller kryptering på två nivåer:
| Krypteringsnivå | beskrivning |
|---|---|
| Kryptering av data i Recovery Services-valvet | - Använda plattformshanterade nycklar: Som standard krypteras alla dina data med hjälp av plattformshanterade nycklar. Du behöver inte vidta några explicita åtgärder från slutet för att aktivera den här krypteringen. Det gäller för alla arbetsbelastningar som säkerhetskopieras till recovery services-valvet. - Använda kundhanterade nycklar: När du säkerhetskopierar dina virtuella Azure-datorer kan du välja att kryptera dina data med hjälp av krypteringsnycklar som ägs och hanteras av dig. Med Azure Backup kan du använda dina RSA-nycklar som lagras i Azure Key Vault för att kryptera dina säkerhetskopior. Krypteringsnyckeln som används för kryptering av säkerhetskopior kan skilja sig från den som används för källan. Data skyddas med hjälp av en AES 256-baserad datakrypteringsnyckel (DEK), som i sin tur skyddas med hjälp av dina nycklar. Detta ger dig fullständig kontroll över data och nycklar. För att tillåta kryptering krävs att du ger Recovery Services-valvet åtkomst till krypteringsnyckeln i Azure Key Vault. Du kan inaktivera nyckeln eller återkalla åtkomsten när det behövs. Du måste dock aktivera kryptering med hjälp av dina nycklar innan du försöker skydda objekt i valvet. Mer information finns här. - Kryptering på infrastrukturnivå: Förutom att kryptera dina data i Recovery Services-valvet med hjälp av kundhanterade nycklar kan du också välja att ha ytterligare ett krypteringslager konfigurerat på lagringsinfrastrukturen. Den här infrastrukturkryptering hanteras av plattformen. Tillsammans med kryptering i vila med kundhanterade nycklar tillåter det kryptering i två lager av dina säkerhetskopierade data. Infrastrukturkryptering kan bara konfigureras om du först väljer att använda dina egna nycklar för kryptering i vila. Infrastrukturkryptering använder plattformshanterade nycklar för att kryptera data. |
| Kryptering som är specifik för arbetsbelastningen som säkerhetskopieras | - Säkerhetskopiering av virtuella Azure-datorer: Azure Backup stöder säkerhetskopiering av virtuella datorer med diskar krypterade med plattformshanterade nycklar samt kundhanterade nycklar som ägs och hanteras av dig. Dessutom kan du även säkerhetskopiera dina virtuella Azure-datorer som har sina os- eller datadiskar krypterade med Hjälp av Azure Disk Encryption. ADE använder BitLocker för virtuella Windows-datorer och DM-Crypt för virtuella Linux-datorer för att utföra gästkryptering. - TDE – aktiverad säkerhetskopiering av databaser stöds. Om du vill återställa en TDE-krypterad databas till en annan SQL Server måste du först återställa certifikatet till målservern. Säkerhetskopieringskomprimering för TDE-aktiverade databaser för SQL Server 2016 och nyare versioner är tillgänglig, men med lägre överföringsstorlek enligt beskrivningen här. |
Nästa steg
- Azure Storage-kryptering av vilande data
- Vanliga frågor och svar om Azure Backup för eventuella frågor om kryptering