Encriptação no Azure Backup

  • Artigo

Azure Backup encripta automaticamente todos os seus dados de cópia de segurança enquanto armazena na cloud com a encriptação do Armazenamento do Azure, o que o ajuda a cumprir os seus compromissos de segurança e conformidade. Estes dados inativos são encriptados através da encriptação AES de 256 bits (uma das cifras de blocos mais fortes disponíveis que é compatível com FIPS 140-2). Além disso, todos os dados de cópia de segurança em trânsito são transferidos através de HTTPS. Permanece sempre na rede principal do Azure.

Este artigo descreve os níveis de encriptação no Azure Backup que ajudam a proteger os seus dados de cópia de segurança.

Níveis de encriptação

Azure Backup inclui encriptação em dois níveis:

Nível de encriptação Descrição
Encriptação de dados no cofre dos Serviços de Recuperação - Utilizar chaves geridas por plataforma: por predefinição, todos os seus dados são encriptados através de chaves geridas pela plataforma. Não precisa de efetuar qualquer ação explícita do seu lado para ativar esta encriptação. Aplica-se à cópia de segurança de todas as cargas de trabalho no cofre dos Serviços de Recuperação.

- Utilizar chaves geridas pelo cliente: ao fazer uma cópia de segurança do seu Máquinas Virtuais do Azure, pode optar por encriptar os seus dados através de chaves de encriptação pertencentes a si e geridas por si. Azure Backup permite-lhe utilizar as chaves RSA armazenadas no Key Vault do Azure para encriptar as suas cópias de segurança. A chave de encriptação utilizada para encriptar cópias de segurança pode ser diferente da utilizada para a origem. Os dados são protegidos através de uma chave de encriptação de dados baseada no AES 256 (DEK), que, por sua vez, está protegida com as suas chaves. Isto dá-lhe controlo total sobre os dados e as chaves. Para permitir a encriptação, é necessário conceder ao cofre dos Serviços de Recuperação acesso à chave de encriptação no Azure Key Vault. Pode desativar a chave ou revogar o acesso sempre que necessário. No entanto, tem de ativar a encriptação com as chaves antes de tentar proteger quaisquer itens para o cofre. Saiba mais aqui.

- Encriptação ao nível da infraestrutura: além de encriptar os seus dados no cofre dos Serviços de Recuperação com chaves geridas pelo cliente, também pode optar por ter uma camada adicional de encriptação configurada na infraestrutura de armazenamento. Esta encriptação de infraestrutura é gerida pela plataforma. Juntamente com a encriptação inativa através de chaves geridas pelo cliente, permite a encriptação de duas camadas dos seus dados de cópia de segurança. A encriptação de infraestrutura só pode ser configurada se optar pela primeira vez por utilizar as suas próprias chaves para encriptação inativa. A encriptação de infraestrutura utiliza chaves geridas pela plataforma para encriptar dados.
Encriptação específica da carga de trabalho que está a ser criada em cópia de segurança - Cópia de segurança de máquinas virtuais do Azure: Azure Backup suporta a cópia de segurança de VMs com discos encriptados através de chaves geridas pela plataforma, bem como chaves geridas pelo cliente e geridas por si. Além disso, também pode fazer uma cópia de segurança das máquinas virtuais do Azure que têm os respetivos SO ou discos de dados encriptados com o Azure Disk Encryption. A ADE utiliza o BitLocker para VMs do Windows e DM-Crypt para VMs do Linux para executar a encriptação no convidado.

- TDE – a cópia de segurança da base de dados ativada é suportada. Para restaurar uma base de dados encriptada por TDE para outra SQL Server, primeiro tem de restaurar o certificado para o servidor de destino. A compressão de cópias de segurança para bases de dados compatíveis com TDE para SQL Server 2016 e versões mais recentes está disponível, mas com um tamanho de transferência mais baixo, conforme explicado aqui.

Passos seguintes