通过加密密钥的存储管理,Azure密钥存储库可以作为数据备份保护使用。

数据存储管理员总是尽力保护网络服务器及其内容,防范各类安全隐患。我们还必须同样注意备份,确保它们不会成为安全漏洞。毕竟，备份基本上是组织数据的复制品,但数据通常位于服务器的保护范围之外。

保护备份的最简单的方法之一是加密。然而,如果没有仔细的规划,备份加密会导致数据丢失。

备份加密使用加密键.在备份设备上,例如磁带上可能有一个软件或硬件级键。在任何情况下，加密的备份无法在没有加密密钥的情况下解密。想象这样一种情况，一个组织已经创建了一系列基于磁带的加密备份,把他们送到别的地方去保管,后来,火灾不幸地烧毁了该组织的数据中心。然而，当组织恢复其备份磁带时,想要恢复数据时，它必须有加密密钥的副本来解密数据,这通常在备份磁带上不存在。如果他们没有密钥，组织最终丢失了大量数据,这相当于数据从未被备份丢失的数量。

Microsoft Azure Key Storage Stores加密密钥

Azure Key Storage是一个基于云服务,专门存储加密密钥和其他加密信息,例如SQL Server连接字符串和密码。它主要使用由联邦信息处理标准验证的硬件安全模块实现。

HSM是一个存储和保护加密密钥的物理设备,通常是扩展卡或与网络服务器连接的外部设备。 虽然HSM不是新事物,但微软在近几年才使基于云的HSM成为可能。

我们需要理解Microsoft Azure密钥库不仅存储加密密钥的备份拷贝,而且管理应用程序对特定密钥的访问权限,这使得Azure密钥库能够安全地存储密钥在云中,防止密钥和其他加密信息的外部暴露。

设置Azure秘密密钥存储

每个Microsoft Azure客户端可以创建一个专门的密钥库。因为该组织拥有Azure关键库,这样你就可以完全控制关键库的使用。但是，创建一个关键库只是第一步。管理员必须确保密钥库与备份应用程序完全兼容。不幸的是，这里没有标准的方法。因为每个应用都不同。

为了允许备份应用程序使用Microsoft Azure密钥库,管理员必须首先在Microsoft Azure活动目录中注册应用程序,然后使用 Set-AzureRmKeyVaultAccessPolicy cmdlet来授权应用程序使用密钥库。

在大多数情况下，其他IT人员 — — 例如备份操作员 — — 需要授权使用Azure密钥库。举个例子，存储管理员可能需要授权 IT 人员将钥匙添加到图书馆。Set-AzureRmKeyVaultAccessPolicy的cmdlet可以用于执行此任务。

一旦配置了访问策略,我们必须设置备份应用程序来使用Azure键存储库。您需要使用Add-AzureKeyVaultKey cmdlet来添加到库中的键。如果备份应用程序使用其他类型的加密,您可以使用 Set-AzureKeyVaultSecret的cmdlet来设置它。这两个情况中,Azure将提供与该密钥或消息相符的统一资源标识符。如果你想使用钥匙库和里面的钥匙,应用程序必须为用户提供一种方法,将钥匙的URI添加到应用程序配置中。

微软使创建一个Azure密钥库和添加新的密钥和加密到库的任务相对容易。 虽然硬件安全模块可以在本地使用,但这些设备往往相当昂贵,微软的Azure密钥存储库可能是更便宜的选择。