保護(hù)數(shù)據(jù)備份:微軟Azure密鑰保管庫(kù)來(lái)護(hù)航

責(zé)任編輯:editor005

作者:Brien Posey

2016-08-09 14:40:54

摘自:TechTarget中國(guó)

通過(guò)對(duì)加密密鑰的存儲(chǔ)管理,Azure密鑰保管庫(kù)可以用作數(shù)據(jù)備份保護(hù)。讓備份應(yīng)用使用微軟Azure密鑰庫(kù),管理員必須先在微軟Azure活動(dòng)目錄中注冊(cè)該應(yīng)用,然后使用Set-AzureRmKeyVaultAccessPolicy的cmdlet來(lái)授權(quán)該應(yīng)用使用密鑰庫(kù)。

通過(guò)對(duì)加密密鑰的存儲(chǔ)管理,Azure密鑰保管庫(kù)可以用作數(shù)據(jù)備份保護(hù)。讓我們來(lái)探討一下組織應(yīng)該如何建立并管理該密鑰庫(kù)。

數(shù)據(jù)存儲(chǔ)管理員總是竭盡全力的保護(hù)網(wǎng)絡(luò)服務(wù)器及其內(nèi)容,防范各類(lèi)安全隱患。對(duì)于備份我們也必須給于同樣的重視,以確保它們不會(huì)成為一個(gè)安全性漏洞。畢竟,備份本質(zhì)上是一個(gè)組織數(shù)據(jù)的副本,但卻處在數(shù)據(jù)通常所在的服務(wù)器的保護(hù)界限之外。

保護(hù)備份最簡(jiǎn)單的方法之一是加密。但是,如果沒(méi)有周密的計(jì)劃,備份加密有可能會(huì)導(dǎo)致數(shù)據(jù)丟失。這里就需要用到微軟的Azure密鑰保管庫(kù)。

備份加密使用加密密鑰。在某個(gè)備份設(shè)備例如磁帶上可能會(huì)有一個(gè)軟件或硬件級(jí)別的密鑰。在任何情況下,加密的備份如果沒(méi)有加密密鑰就無(wú)法解密。想象這樣一種情況,一個(gè)組織創(chuàng)建了一系列的基于磁帶的加密備份,將他們送去異地保管,然后大火很不幸的燒毀了該組織的數(shù)據(jù)中心。然而,當(dāng)該組織取回其備份磁帶,想要恢復(fù)數(shù)據(jù)時(shí),它必須有加密密鑰的副本才能對(duì)數(shù)據(jù)進(jìn)行解密,而這通常不會(huì)存在于備份磁帶上。如果他們沒(méi)有密鑰,該組織則最終失去的數(shù)據(jù)量,就跟數(shù)據(jù)從未被備份所損失的一樣多。

微軟Azure密鑰保管庫(kù)存儲(chǔ)加密密鑰

Azure密鑰保管庫(kù)是一個(gè)基于云的服務(wù),專(zhuān)門(mén)用來(lái)存儲(chǔ)加密密鑰和其他加密信息,如SQL Server的連接字符串和密碼。它主要是使用聯(lián)邦信息處理標(biāo)準(zhǔn)驗(yàn)證的硬件安全模塊來(lái)實(shí)現(xiàn)的。

HSM是存儲(chǔ)并保護(hù)加密密鑰的物理設(shè)備。它們通常是一塊連接到網(wǎng)絡(luò)服務(wù)器的擴(kuò)展卡或外設(shè)。雖然HSM并不是什么新的東西,但直到最近幾年,微軟才讓基于云的HSM變?yōu)榭赡堋?/p>

我們必須了解,微軟Azure密鑰庫(kù)不僅僅存儲(chǔ)加密密鑰的備份副本,同時(shí)也管理應(yīng)用對(duì)于某個(gè)密鑰的訪問(wèn)權(quán)限。這使得Azure密鑰庫(kù)可以安全地在云中存儲(chǔ)密鑰,并防止密鑰和其它加密信息的對(duì)外暴露。

設(shè)置Azure秘鑰保管庫(kù)

每個(gè)微軟Azure的客戶(hù)都可以創(chuàng)建一個(gè)專(zhuān)用的密鑰庫(kù)。由于組織擁有該Azure密鑰庫(kù),所以對(duì)密鑰庫(kù)的使用就有著完全的控制。但是,創(chuàng)建一個(gè)密鑰庫(kù)僅僅是第一步。管理員必須讓秘鑰庫(kù)能夠完全配合備份應(yīng)用。不幸的是,這里沒(méi)有標(biāo)準(zhǔn)的方法來(lái)做到,因?yàn)槊恳粋€(gè)應(yīng)用都是不同的。

讓備份應(yīng)用使用微軟Azure密鑰庫(kù),管理員必須先在微軟Azure活動(dòng)目錄中注冊(cè)該應(yīng)用,然后使用Set-AzureRmKeyVaultAccessPolicy的cmdlet來(lái)授權(quán)該應(yīng)用使用密鑰庫(kù)。

在大多數(shù)情況下,其他的IT人員 - 如備份操作員 - 需要被授權(quán)才能使用Azure密鑰庫(kù)。舉個(gè)例子,存儲(chǔ)管理員可能需要授予IT人員添加密鑰到庫(kù)中的權(quán)限。Set-AzureRmKeyVaultAccessPolicy的cmdlet可用于執(zhí)行此任務(wù)。

訪問(wèn)策略配置好之后,我們必須設(shè)置備份應(yīng)用來(lái)使用Azure密鑰保管庫(kù)。你需要使用Add-AzureKeyVaultKey的cmdlet來(lái)添加密鑰到庫(kù)中。如果備份應(yīng)用使用其他類(lèi)型的密文,你可以使用Set-AzureKeyVaultSecret的cmdlet來(lái)設(shè)置。無(wú)論這兩種情況的哪一種,Azure都將提供對(duì)應(yīng)于該密鑰或密文的統(tǒng)一資源標(biāo)識(shí)符。想要使用密鑰庫(kù)及其中的密鑰,應(yīng)用必須提供用戶(hù)將密鑰的URI添加到應(yīng)用配置中的方式。

微軟讓一個(gè)Azure密鑰庫(kù)的建立以及增加新的密鑰和密文到密鑰庫(kù)的任務(wù)變得相對(duì)容易。盡管硬件安全模塊可以在本地使用,但這些裝置往往是頗為昂貴的,而微軟的Azure密鑰保管庫(kù)也許是個(gè)較為便宜的選擇。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)