Verschlüsselung in Azure Backup

Artikel
06/01/2023

Azure Backup verschlüsselt alle Ihre gesicherten Daten automatisch, wenn sie in der Cloud mit Azure Storage-Verschlüsselung gespeichert werden. Dies hilft Ihnen, Ihre Sicherheits- und Complianceverpflichtungen zu erfüllen. Ruhende Daten werden mit der AES-256-Verschlüsselung verschlüsselt (einer der stärksten verfügbaren Blockchiffren, die mit dem FIPS 140-2-Standard konform ist). Zusätzlich werden alle Ihre Sicherungsdaten während der Übertragung über HTTPS übertragen. Sie bleiben immer im Azure-Backbone-Netzwerk.

In diesem Artikel werden die Verschlüsselungsebenen in Azure Backup zum Schutz Ihrer gesicherten Daten beschrieben.

Verschlüsselungsstufen

Azure Backup umfasst Verschlüsselung auf zwei Ebenen:

Verschlüsselungsstufe	BESCHREIBUNG
Verschlüsselung von Daten im Recovery Services-Tresor	- Verwenden von plattformseitig verwalteten Schlüsseln: Standardmäßig werden alle Ihre Daten mit von der Plattform verwalteten Schlüsseln verschlüsselt. Sie müssen Ihrerseits keine besonderen Maßnahmen ergreifen, um diese Verschlüsselung zu aktivieren. Dies gilt für alle Workloads, die in Ihrem Recovery Services-Tresor gesichert werden. - Verwenden kundenseitig verwalteter Schlüssel: Wenn Sie Ihre Azure-VMs sichern, können Sie Ihre Daten mithilfe von Verschlüsselungsschlüsseln verschlüsseln, die Sie besitzen und verwalten. Mit Azure Backup können Sie die in Azure Key Vault gespeicherten RSA-Schlüssel zum Verschlüsseln Ihrer Sicherungen verwenden. Der Verschlüsselungsschlüssel, der zum Verschlüsseln von Sicherungen verwendet wird, kann sich von dem für die Quelle verwendeten Verschlüsselungsschlüssel unterscheiden. Die Daten werden mithilfe eines AES-256 basierten Datenverschlüsselungsschlüssels (DEK) geschützt, der wiederum mit Ihren Schlüsseln geschützt wird. Dadurch erhalten Sie vollständige Kontrolle über die Daten und Schlüssel. Sie müssen dem Recovery Services-Tresor Zugriff auf den Verschlüsselungsschlüssel in Azure Key Vault gewähren, um eine Verschlüsselung zu ermöglichen. Bei Bedarf können Sie den Schlüssel deaktivieren oder den Zugriff widerrufen. Sie müssen jedoch die Verschlüsselung mit ihren Schlüsseln aktivieren, bevor Sie versuchen, Elemente im Tresor zu schützen. Hier erhalten Sie weitere Informationen. - Verschlüsselung auf Infrastrukturebene: Neben der Verschlüsselung Ihrer Daten im Recovery Services-Tresor unter Verwendung kundenseitig verwalteter Schlüssel können Sie auch eine zusätzliche, für die Speicherinfrastruktur konfigurierte Verschlüsselungsebene verwenden. Diese Infrastrukturverschlüsselung wird von der Plattform verwaltet. In Kombination mit der Verschlüsselung von ruhenden Daten unter Verwendung kundenseitig verwalteter Schlüssel ermöglicht sie eine zweischichtige Verschlüsselung Ihrer Sicherungsdaten. Die Infrastrukturverschlüsselung kann nur konfiguriert werden, wenn Sie sich zuvor dafür entscheiden, Ihre eigenen Schlüssel für die Verschlüsselung von ruhenden Daten zu verwenden. Bei der Infrastrukturverschlüsselung werden plattformseitig verwaltete Schlüssel für die Datenverschlüsselung verwendet.
Spezifische Verschlüsselung für die gesicherte Workload	- Sicherung von Azure-VMs: Azure Backup unterstützt die Sicherung von VMs mit Datenträgern, die mit plattformseitig verwalteten Schlüsseln oder kundenseitig verwalteten Schlüsseln, die Sie besitzen und verwalten, verschlüsselt werden. Darüber hinaus können Sie auch virtuelle Azure-Computer sichern, deren Datenträger für Betriebssystem oder Daten mithilfe von Azure Disk Encryption verschlüsselt werden. ADE verwendet BitLocker für Windows-VMs bzw. DM-Crypt für Linux-VMs, um eine Verschlüsselung auf Gastsystemen durchzuführen. - Für TDE aktivierte Datenbanksicherungen werden unterstützt. Wenn Sie eine mit TDE verschlüsselte Datenbank in einer anderen SQL Server-Instanz wiederherstellen möchten, müssen Sie zuerst das Zertifikat auf dem Zielserver wiederherstellen. Die Komprimierung der Sicherungen für TDE-fähige Datenbanken für SQL Server 2016 und höhere Versionen ist verfügbar, allerdings für geringere Übertragungsgrößen, wie hier erläutert.

Verschlüsselungsstufe

BESCHREIBUNG

Verschlüsselung von Daten im Recovery Services-Tresor

- Verwenden von plattformseitig verwalteten Schlüsseln: Standardmäßig werden alle Ihre Daten mit von der Plattform verwalteten Schlüsseln verschlüsselt. Sie müssen Ihrerseits keine besonderen Maßnahmen ergreifen, um diese Verschlüsselung zu aktivieren. Dies gilt für alle Workloads, die in Ihrem Recovery Services-Tresor gesichert werden.

- Verwenden kundenseitig verwalteter Schlüssel: Wenn Sie Ihre Azure-VMs sichern, können Sie Ihre Daten mithilfe von Verschlüsselungsschlüsseln verschlüsseln, die Sie besitzen und verwalten. Mit Azure Backup können Sie die in Azure Key Vault gespeicherten RSA-Schlüssel zum Verschlüsseln Ihrer Sicherungen verwenden. Der Verschlüsselungsschlüssel, der zum Verschlüsseln von Sicherungen verwendet wird, kann sich von dem für die Quelle verwendeten Verschlüsselungsschlüssel unterscheiden. Die Daten werden mithilfe eines AES-256 basierten Datenverschlüsselungsschlüssels (DEK) geschützt, der wiederum mit Ihren Schlüsseln geschützt wird. Dadurch erhalten Sie vollständige Kontrolle über die Daten und Schlüssel. Sie müssen dem Recovery Services-Tresor Zugriff auf den Verschlüsselungsschlüssel in Azure Key Vault gewähren, um eine Verschlüsselung zu ermöglichen. Bei Bedarf können Sie den Schlüssel deaktivieren oder den Zugriff widerrufen. Sie müssen jedoch die Verschlüsselung mit ihren Schlüsseln aktivieren, bevor Sie versuchen, Elemente im Tresor zu schützen. Hier erhalten Sie weitere Informationen.

- Verschlüsselung auf Infrastrukturebene: Neben der Verschlüsselung Ihrer Daten im Recovery Services-Tresor unter Verwendung kundenseitig verwalteter Schlüssel können Sie auch eine zusätzliche, für die Speicherinfrastruktur konfigurierte Verschlüsselungsebene verwenden. Diese Infrastrukturverschlüsselung wird von der Plattform verwaltet. In Kombination mit der Verschlüsselung von ruhenden Daten unter Verwendung kundenseitig verwalteter Schlüssel ermöglicht sie eine zweischichtige Verschlüsselung Ihrer Sicherungsdaten. Die Infrastrukturverschlüsselung kann nur konfiguriert werden, wenn Sie sich zuvor dafür entscheiden, Ihre eigenen Schlüssel für die Verschlüsselung von ruhenden Daten zu verwenden. Bei der Infrastrukturverschlüsselung werden plattformseitig verwaltete Schlüssel für die Datenverschlüsselung verwendet.

Spezifische Verschlüsselung für die gesicherte Workload

- Sicherung von Azure-VMs: Azure Backup unterstützt die Sicherung von VMs mit Datenträgern, die mit plattformseitig verwalteten Schlüsseln oder kundenseitig verwalteten Schlüsseln, die Sie besitzen und verwalten, verschlüsselt werden. Darüber hinaus können Sie auch virtuelle Azure-Computer sichern, deren Datenträger für Betriebssystem oder Daten mithilfe von Azure Disk Encryption verschlüsselt werden. ADE verwendet BitLocker für Windows-VMs bzw. DM-Crypt für Linux-VMs, um eine Verschlüsselung auf Gastsystemen durchzuführen.

- Für TDE aktivierte Datenbanksicherungen werden unterstützt. Wenn Sie eine mit TDE verschlüsselte Datenbank in einer anderen SQL Server-Instanz wiederherstellen möchten, müssen Sie zuerst das Zertifikat auf dem Zielserver wiederherstellen. Die Komprimierung der Sicherungen für TDE-fähige Datenbanken für SQL Server 2016 und höhere Versionen ist verfügbar, allerdings für geringere Übertragungsgrößen, wie hier erläutert.

Nächste Schritte

Azure Storage encryption for data at rest (Azure Storage-Verschlüsselung für ruhende Daten)
Wenn Sie Fragen zum Thema Verschlüsselung haben, sehen Sie sich die häufig gestellten Fragen zu Azure Backup an.

Verschlüsselung in Azure Backup

Verschlüsselungsstufen

Nächste Schritte

Zusätzliche Ressourcen