[資安小常識] 雲端備份資料安全與 Azure Backup

備份資料的安全基礎

維護商業資料備份的品質是企業連續性(和提供優質客戶服務)的關鍵。在遭受攻擊或意外下要能簡單迅速的補回遺失資料讓業務能正常運作，確保客戶不受影響。中小型企業需要有可靠的資料備份策略。備份就是希望能有效率的復原，但資料的安全也是不可忽視的重點。

現在雲端技術普遍，也有許多選擇，雲端備份已經漸漸取代傳統的磁帶成為新的主流資料備份方式。但是雲端存取資料不等於安全。雲端資料從早到晚都有遭受攻擊的機會，如果後端沒有適當保護將帶來重大潛在風險。

雖然雲端供應商必定會為自己也為客戶設下防護，但企業本身也應該主動加入防護陣線，以補足供應商潛在的安全弱點。

以下是安全備份的基本檢查點：

對備份檔案進行編碼

備份必須經過編碼才談得上安全。不論是檔案本身或是整個個雲端硬碟都是編碼對象；開源、跨平台、免費，軟體工具有許多選擇。備份資料需要經過至少256-bit 進階編碼標準( Advanced Encryption Standard，或 AES)的編碼來包裝，否則將會易於攻擊。448-bit編碼接近無法破解，是理想的編碼強度，但多數供應商尚未達到。

由編碼後的資料流上傳雲端儲存空間

備份資料有編碼，傳送時也應該要經過編碼，一樣至少256-bit AES，並且供應商理當告知連線的編碼層級以供參考。

確保雲端供應商對儲存檔案進行編碼

供應商應該要無法存取客戶的檔案，所以企業只需要在供應商安全的資料庫中，獲得一個受到編碼保護的空間，以存放自行編碼後的檔案。當然供應商需要能證明自己的安全層級得以信任，讓客戶在無法左右的地方也能感到安心。

嚴控自己的編碼金鑰

在安全達標的情況下，供應商無法替客戶登入帳號或重設密碼。最好的做法是只給自己資料存取全。因為無法靠別人幫忙重設，所以需要記下編碼金鑰才能存取備份。而金鑰最好和備份分開，存在安全的實體空間。在良好的編碼系統下，掉了金鑰就等於掉了資料。

Azure Backup + Windows Server

Azure Backup會將備份資料存放在異地複寫的儲存體中，資料會在兩個 Azure 資料中心保留 6 份複本。在雲端壓縮、加密、更長的保留時間及頻寬節流等內建功能，在確保存放和傳送都達安全標準之下，維持備份資料的高可得性和取用效率。而Azure眾多虛擬機器的相關雲端服務也讓擴建備份或是移轉的過程變得更加理想。

Windows Server 2012 R2 中新增的改良功能讓您能夠有效運用資料中心的容量，同時為 Microsoft 工作負載提供同級最佳的效能。您可以存取多種企業資源，例如工作負載、儲存空間與網路，以提升商務靈活度，同時保護企業資訊。

Windows Server 2012 R2 提供經企業級雲端與資料中心平台，可以輕鬆擴建以持續執行最大工作負載，且提供高效能的 Hyper-V 客體與大空間的虛擬硬碟。而強大的可用性可防範服務中斷的情形。自動化保富與復原讓企業用雲端得到符合成本效益的商務連續性：提升工作負載 SLA，同時降低停機風險。在與Azure Backup合用之下，能讓企業資料中心的混和環境上下都能安全存放資料，並且動靜皆宜。

資料與應用程式份散在伺服器、用戶端、雲端。包括 SharePoint、Exchange 和 SQL Server、檔案與資料夾、Windows 伺服器與用戶端，以及 Azure 基礎結構即服務 (IaaS) 虛擬機器，都能利用Azure Backup。雖然服務目標主體通常是內部部署機器，但是Azure Backup也已經能夠服務企業既有的資料中心。

另外Azure 的 Site Recovery 也能對虛擬機器做到相似的備份服務和保護，還能提供遠端監控客製化的備份計畫，保有虛擬機器易於複製的彈性。Azure的許多服務和其他雲端的差別在於服務對象：比起個體或是小型虛擬機器的部署，Azure更著重於企業級規模的資料中心。Site Recovery 不只能利用備份資料快速復內部部署基礎架構，也能應用為企業產品或系統版本測試的工具。

參考資料:

Microsoft Azure: Azure Backup

Tech for Business Now: The Next Step in Data Backup: Security

Tech Crunch: Microsoft Launches New Azure Backup and Recovery Service