Azure Site Recovery:我们对于保障您的数据安全的承诺
Anoob Backer 云 + Enterprise 项目经理
Azure Site Recovery 是一个基于 Azure 的全天候、易用的服务, 可以安全地安排恢复操作,一旦发生灾难,即可为您的应用程序提供保护。去年,微软法律及公司事务部总顾问兼执行副总裁 Brad Smith 在其博客中明确表达了微软对于客户数据隐私的承诺。Azure Site Recovery 被完全设计为一项混合 IT 服务。这项服务由符合微软隐私承诺的云组件和内部部署组件构成。尤其是:
- 加密处于传输中和静态存储时的客户数据
- 使用业内一流的加密技术保护所有通道,包括完美转发保密和 2048 位密钥长度
Azure Site Recovery 遵循由三个关键组件构成、面向服务的体系结构:
- Azure 管理门户提供了 Azure Site Recovery 保护和恢复体验,从而为客户提供单个管理界面,客户可以随时随地访问这个管理界面,以管理多个灾难恢复站点上的所有 Azure 资产。
- Azure Site Recovery Provider 是安装在 System Center Virtual Machine Manager (VMM) 服务器上的内部部署组件,通过建立仅出站无入站的连接到 Azure Site Recovery 服务。该提供程序需要连接到 Internet,并且可以利用内部部署代理服务器,因此,无需从 VMM 服务器直接建立 Internet 连接。
- Azure Recovery Service Agent 是在托管内部部署虚拟机以实现 Azure 保护的每一台 Windows Hyper-V Server 上安装的内部部署组件。该代理需要连接到 Internet,但可以利用内部部署代理服务器,因此,无需从 Hyper-V 服务器直接建立 Internet 连接。
客户的内部部署组件与基于云的 Azure Site Recovery 服务进行交互的关键通道是:
- 通信通道
安装在 VMM 服务器上的 Azure Site Recovery Provider 和安装在 Hyper-V 主机上的 Azure Recovery Services Agent 与 Azure 中的 Azure Site Recovery 服务通信,处理所有运行活动,如故障转移、运行状况监控等。确保此通道的安全至关重要。
为此,内部部署与 Azure Site Recovery 服务之间的所有通信通道均通过 443(HTTPS) 调用,然后使用业内标准的 X.509 证书验证每个请求的身份,从而在传输到 Azure 的过程中提供全面的数据安全。
除了安全通信通道以外,内部部署提供程序还会使用保管库密钥(在注册 VMM 的过程中收集的客户特定密钥)来确保 Azure 的操作完整性。
- 复制通道
Hyper-V 主机上的 Azure Recovery Services Agent 将虚拟机复制到指定的客户存储帐户。确保通过此通道传输的所有数据的安全至关重要,因此,在使用客户管理的 X.509 加密证书对数据执行内部部署加密之后,才将数据复制到客户的跨地域冗余存储帐户,然后再通过上述安全通信通道进行传输。在 Azure 中,提供全面的静态数据安全。
处于静态加密状态的客户虚拟机使用 AES-256。客户应确保客户管理的加密证书存储在一个安全位置,并且仅在实际的灾难恢复操作过程中或模拟灾难恢复演习过程中,客户才提供客户管理的加密证书,以便虚拟机能够在 Azure 中的客户订阅下进行实例化。
Azure Site Recovery 还对在我们的数据中心之间移动的客户内容进行加密。我们 100% 履行对于安全和隐私的承诺,并且将继续使用业内一流的加密技术保护客户数据(传输中和静态存储时)。
您还可以访问 MSDN 上的 Azure 论坛,了解其他信息并与其他客户互动。
当您准备好查看 ASR 能够为您做什么之后,即可查阅定价信息,注册获取免费试用或了解有关产品规范的更多信息。
如果你有任何疑问, 欢迎访问MSDN社区,由专家来为您解答Windows Azure各种技术问题,或者拨打世纪互联客户服务热线400-089-0365/010-84563652咨询各类服务信息。
本文翻译自:https://azure.microsoft.com/blog/2014/09/02/azure-site-recovery-privacy-security-part1/