Enkripsi di Azure Backup
Azure Backup secara otomatis mengenkripsi semua data yang dicadangkan saat menyimpan di cloud menggunakan enkripsi Azure Storage, yang membantu Anda memenuhi komitmen keamanan dan kepatuhan Anda. Data tidak aktif ini dienkripsi menggunakan enkripsi AES 256-bit (salah satu cipher blok terkuat yang tersedia yang sesuai dengan FIPS 140-2). Selain itu, semua data cadangan Anda saat transit ditransfer melalui HTTPS. Data ini tetap ada di jaringan backbone Azure.
Artikel ini menjelaskan tingkat enkripsi dalam Azure Backup yang membantu melindungi data yang dicadangkan.
Tingkat enkripsi
Azure Backup menyertakan enkripsi pada dua tingkat:
| Tingkat enkripsi | Deskripsi |
|---|---|
| Enkripsi data di vault Layanan Pemulihan | - Menggunakan kunci yang dikelola platform: Secara default, semua data Anda dienkripsi menggunakan kunci yang dikelola platform. Anda tidak perlu mengambil tindakan eksplisit dari ujung untuk mengaktifkan enkripsi ini. Ini berlaku untuk semua beban kerja yang dicadangkan ke vault Layanan Pemulihan Anda. - Menggunakan kunci yang dikelola pelanggan: Saat mencadangkan Virtual Machines Azure, Anda dapat memilih untuk mengenkripsi data menggunakan kunci enkripsi yang dimiliki dan dikelola oleh Anda. Azure Backup memungkinkan Anda menggunakan kunci RSA yang disimpan di Azure Key Vault untuk mengenkripsi cadangan Anda. Kunci enkripsi yang digunakan untuk mengenkripsi cadangan mungkin berbeda dari yang digunakan untuk sumber data. Data dilindungi menggunakan kunci enkripsi data (DEK) berbasis SEL 256, yang selanjutnya dilindungi menggunakan kunci Anda. Ini memberi Anda kontrol penuh atas data dan kunci. Untuk mengizinkan enkripsi, vault Layanan Pemulihan harus diberikan akses ke kunci enkripsi di Azure Key Vault. Anda dapat menonaktifkan kunci atau mencabut akses kapan pun diperlukan. Namun, Anda harus mengaktifkan enkripsi menggunakan kunci sebelum melindungi item apa pun ke vault. Pelajari selengkapnya di sini. - Enkripsi tingkat infrastruktur: Selain mengenkripsi data Anda di vault Layanan Pemulihan menggunakan kunci yang dikelola pelanggan, Anda juga dapat memilih untuk memiliki lapisan enkripsi tambahan yang dikonfigurasi pada infrastruktur penyimpanan. Enkripsi infrastruktur ini dikelola oleh platform. Enkripsi tidak aktif menggunakan kunci yang dikelola pelanggan, ini memungkinkan enkripsi dua lapisan data cadangan Anda. Enkripsi infrastruktur hanya dapat dikonfigurasi jika Anda terlebih dahulu menggunakan kunci Anda sendiri untuk enkripsi tidak aktif. Enkripsi infrastruktur menggunakan kunci yang dikelola platform untuk mengenkripsi data. |
| Enkripsi khusus untuk beban kerja yang dicadangkan | - Pencadangan komputer virtual Azure: Azure Backup mendukung pencadangan VM dengan disk yang dienkripsi menggunakan kunci yang dikelola platform, serta kunci yang dikelola pelanggan yang dimiliki dan dikelola oleh Anda. Selain itu, Anda juga dapat mencadangkan komputer virtual Azure yang OS atau disk datanya dienkripsi menggunakan Azure Disk Encryption. Azure Disk Encryption menggunakan BitLocker untuk VM Windows, DM-Crypt untuk VM Linux, untuk melakukan enkripsi dalam tamu. - TDE - pencadangan database yang diaktifkan didukung. Untuk memulihkan database terenkripsi TDE ke SQL Server lain, Anda harus terlebih dahulu memulihkan sertifikat ke server tujuan. Kompresi cadangan database yang mendukung TDE untuk SQL Server 2016 dan versi yang lebih baru tersedia, tetapi dengan ukuran transfer yang lebih rendah seperti yang dijelaskan di sini. |
Langkah berikutnya
- Enkripsi Layanan Azure Storage untuk data yang tidak digunakan
- Tanya Jawab Umum Azure Backup untuk pertanyaan apa pun tentang enkripsi