我是 Azure 备份和 Azure Key Vault 的新手。我想要一个 Azure 磁盘加密 VM 并正常备份磁盘。我的第一个问题是:Azure 备份是否按加密方式存储 VM 磁盘?我了解 Azure 备份需要(为了备份)访问 Azure Key Vault。为什么?我错过了为什么备份服务需要解密 VM 才能备份它的观点。或者,VM 是否没有使用相同的 BEK 进行备份,而是 Azure 备份正在“更改”加密密钥?我希望备份是 1:1 完成的,因此根本不需要访问 Key Vault。我在这里想念什么?
问问题
214 次
1 回答
1
是的,加密密钥将存储在 azure 密钥库中。
Azure 备份支持使用 Azure 磁盘加密 (ADE) 加密其操作系统/数据磁盘的 Azure VM 的备份。ADE 使用 BitLocker 对 Windows VM 进行加密,并使用 dm-crypt 功能对 Linux VM 进行加密。ADE 与 Azure Key Vault 集成以管理磁盘加密密钥和机密。Key Vault 密钥加密密钥 (KEK) 可用于添加额外的安全层,在将加密机密写入 Key Vault 之前对其进行加密。
当您使用客户管理的密钥 (CMK) 加密磁盘时,用于加密磁盘的密钥存储在 Azure Key Vault 中并由您管理。使用 CMK 的存储服务加密 (SSE) 不同于 Azure 磁盘加密 (ADE) 加密。ADE 使用操作系统的加密工具。SSE 对存储服务中的数据进行加密,使您能够为您的虚拟机使用任何操作系统或映像。
于 2021-08-16T06:42:22.370 回答