Compartir a través de

Azure 备份中的加密

Azure 备份使用 Azure 存储加密自动加密所有备份数据,同时将数据存储在云中,这有助于履行安全性和合规性承诺。 此静态数据将使用 256 位 AES 加密法(可用的最强大块加密法之一,符合 FIPS 140-2 规范)进行加密。 此外,所有传输中的备份数据将通过 HTTPS 传输。 这些数据始终保留在 Azure 主干网络上。

本文介绍有助于保护备份数据的 Azure 备份中的加密级别。

加密级别

Azure 备份提供两个级别的加密:

加密级别 说明
恢复服务保管库中的数据加密 - 使用平台管理的密钥:默认情况下,所有数据将使用平台管理的密钥进行加密。 无需从你的终端执行任何明确操作即可实现此加密。 此密钥适用于正在备份到恢复服务保管库的所有工作负载。

- 使用客户管理的密钥:备份 Azure 虚拟机时,你可以选择使用自己拥有和管理的密钥来加密数据。 Azure 备份允许你使用存储在 Azure 密钥保管库中的 RSA 密钥对备份进行加密。 用于加密备份的加密密钥可能与用于源的加密密钥不同。 数据受到基于 AES 256 的数据加密密钥 (DEK) 的保护,而 DEK 又受到你的密钥的保护。 这使你可以完全控制数据和密钥。 若要允许加密,需要向恢复服务保管库授予对 Azure Key Vault 中加密密钥的访问权限。 可以根据需要禁用密钥或撤销访问权限。 但是,在你尝试保护保管库中的任何项目之前,必须先使用你的密钥启用加密。 在此处了解更多信息

- 基础结构级别加密:除了使用客户管理的密钥对恢复服务保管库中的数据进行加密外,还可以选择在存储基础结构上配置额外的一层加密。 此基础结构加密由平台管理。 结合使用客户管理的密钥进行的静态加密,它允许对备份数据进行双层加密。 仅当你首先选择使用自己的密钥进行静态加密时,才能配置基础结构加密。 基础结构加密使用平台管理的密钥来加密数据。
特定于要备份的工作负载的加密 - Azure 虚拟机备份:Azure 备份支持对特定 VM 进行备份,这些 VM 包含的磁盘使用平台管理的密钥以及你拥有和管理的客户管理的密钥进行加密。 此外,还可以备份已使用 Azure 磁盘加密将其 OS 磁盘或数据磁盘加密的 Azure 虚拟机。 ADE 使用适用于 Windows VM 的 BitLocker 以及适用于 Linux VM 的 DM-Crypt 来执行来宾内部加密。

- 支持启用了 TDE 的数据库备份。 若要将 TDE 加密的数据库还原到另一个 SQL Server,需先将证书还原到目标服务器。 在 SQL Server 2016 及更高版本中,启用了 TDE 的数据库可以使用备份压缩功能,但传输大小较小(如此处所述)。

后续步骤