Sichern und Wiederherstellen verschlüsselter virtueller Azure-Computer

In diesem Artikel wird beschrieben, wie Sie virtuelle Azure-Computer (VMs) unter Windows oder Linux mit verschlüsselten Datenträgern mithilfe des Diensts Azure Backup sichern und wiederherstellen. Weitere Informationen finden Sie unter Verschlüsseln von Azure-VM-Sicherungen.

Verschlüsselung mithilfe plattformseitig verwalteter Schlüssel

Standardmäßig werden alle Datenträger in Ihren VMs automatisch im Ruhezustand mit plattformseitig verwalteten Schlüsseln (PMK) verschlüsselt, die Speicherdienstverschlüsselung (SSE) verwenden. Sie können diese VMs mit Azure Backup sichern, ohne dass spezifische Aktionen zur Unterstützung der Verschlüsselung auf Ihrer Seite erforderlich sind. Weitere Informationen zur Verschlüsselung mit plattformseitig verwalteten Schlüsseln finden Sie in diesem Artikel.

Verschlüsselung mithilfe kundenseitig verwalteter Schlüssel

Wenn Sie Datenträger mit kundenseitig verwalteten Schlüsseln (Customer-Managed Keys, CMKs) verschlüsseln, wird der für die Verschlüsselung der Datenträger verwendete Schlüssel in Azure Key Vault gespeichert und von Ihnen verwaltet. Speicherdienstverschlüsselung (SSE) mit CMK unterscheidet sich von der Azure Disk Encryption (ADE)-Verschlüsselung. ADE verwendet die Verschlüsselungstools des Betriebssystems. SSE verschlüsselt Daten im Speicherdienst, sodass Sie beliebige Betriebssysteme oder Images für Ihre VMs verwenden können.

Für die Sicherung oder Wiederherstellung virtueller Computer, bei denen kundenseitig verwaltete Schlüssel zum Verschlüsseln ihrer Datenträger verwendet werden, müssen keine expliziten Aktionen ausgeführt werden. Für die im Tresor gespeicherten Sicherungsdaten dieser virtuellen Computer werden die gleichen Verschlüsselungsmethoden verwendet wie für die Verschlüsselung des Tresors.

Weitere Informationen zur Verschlüsselung verwalteter Datenträger mit kundenseitig verwalteten Schlüsseln finden Sie in diesem Artikel.

Verschlüsselungsunterstützung mit ADE

Azure Backup unterstützt die Sicherung von Azure-VMs, deren Betriebssystem/Datenträger mit Azure Disk Encryption (ADE) verschlüsselt wurde(n). ADE verwendet BitLocker für die Verschlüsselung von Windows-VMs und die Funktion „dm-crypt“ für Linux-VMs. ADE ist in Azure Key Vault integriert, um die Verwaltung von Datenträger-Verschlüsselungsschlüsseln und Geheimnissen zu erleichtern. Key Vault-Schlüssel für die Schlüsselverschlüsselung (Key Encryption Keys, KEKs) können verwendet werden, um eine zusätzliche Sicherungsebene hinzuzufügen. Sie dient zum Verschlüsseln von Verschlüsselungsgeheimnissen, bevor sie in Key Vault geschrieben werden.

Wie in der nachstehenden Tabelle zusammengefasst, kann Azure Backup Azure-VMs mithilfe von ADE mit und ohne die Microsoft Entra-App sichern und wiederherstellen.

VM-Datenträgertyp	ADE (BEK/dm-crypt)	ADE und KEK
Nicht verwaltet	Ja	Ja
Verwaltet	Ja	Ja

• Weitere Informationen zu ADE, Key Vault und KEKs.
• Lesen Sie Häufig gestellte Fragen zur Datenträgerverschlüsselung für virtuelle Azure-Computer.

Einschränkungen

• Mit ADE verschlüsselte VMs können innerhalb des gleichen Abonnements gesichert und wiederhergestellt werden.
• Azure Backup unterstützt mit eigenständigen Schlüsseln verschlüsselte VMs. Ein Schlüssel, der Teil eines Zertifikats ist, das zum Verschlüsseln eines virtuellen Computers verwendet wurde, wird derzeit nicht unterstützt.
• Azure Backup unterstützt die regionsübergreifende Wiederherstellung verschlüsselter Azure-VMs in den Azure-Regionspaaren. Weitere Informationen finden Sie in der Supportmatrix.
• Mit ADE verschlüsselte virtuelle Computer können nicht auf Datei- oder Ordnerebene wiederhergestellt werden. Sie müssen den gesamten virtuellen Computer wiederherstellen, damit Dateien und Ordner wiederhergestellt werden.
• Beim Wiederherstellen eines virtuellen Computers kann die Option Vorhandenen virtuellen Computer ersetzen für mit ADE verschlüsselte virtuelle Computer nicht verwendet werden. Diese Option wird nur bei unverschlüsselten verwalteten Datenträgern unterstützt.

Vorbereitung

Führen Sie zunächst folgende Schritte aus:

1. Stellen Sie sicher, dass Sie über einen oder mehrere virtuelle Windows- oder Linux-Computer mit aktiviertem ADE verfügen.
2. Sehen Sie sich die Unterstützungsmatrix für die Sicherung virtueller Azure-Computer an.
3. Erstellen Sie einen Recovery Services-Sicherungstresor, wenn Sie noch keinen haben.
4. Wenn Sie die Verschlüsselung für VMs aktivieren, die bereits für Sicherung aktiviert wurden, müssen Sie Backup einfach Berechtigungen für den Zugriff auf den Key Vault gewähren, damit Sicherungen ohne Unterbrechung fortgesetzt werden können. Erfahren Sie mehr zum Zuweisen dieser Berechtigungen.

Darüber hinaus gibt es einige Schritte, die Sie in bestimmten Fällen möglicherweise ausführen müssen:

• Installieren des VM-Agents auf dem virtuellen Computer: Azure Backup sichert Azure-VMs durch die Installation einer Erweiterung für den Azure-VM-Agent auf dem Computer. Wenn Ihre VM aus einem Azure Marketplace-Image erstellt wurde, ist der Agent installiert und aktiv. Wenn Sie eine benutzerdefinierte VM erstellen oder einen lokalen Computer migrieren, müssen Sie möglicherweise den Agent manuell installieren.

Konfigurieren einer Sicherungsrichtlinie

1. Wenn Sie noch keinen Recovery Services-Sicherungstresor erstellt haben, folgen Sie diesen Anweisungen.

2. Navigieren Sie zum Backup Center, und klicken Sie auf der Registerkarte Übersicht auf +Sicherung.

   

3. Wählen Sie Virtuelle Azure-Computer als Datenquellentyp und dann den Tresor aus, den Sie erstellt haben. Klicken Sie anschließend auf Weiter.

   

4. Wählen Sie die Richtlinie, die dem Tresor zugeordnet werden soll, und dann OK aus.

   • Eine Sicherungsrichtlinie gibt an, wann Sicherungen erstellt und wie lange sie gespeichert werden.
   • Die Details zur Standardrichtlinie werden unter dem Dropdownmenü aufgeführt.

   

5. Wenn Sie nicht die Standardrichtlinie verwenden möchten, wählen Sie Neu erstellen und Benutzerdefinierte Richtlinie erstellen aus.

6. Wählen Sie in unter Virtuelle Computer die Option Hinzufügen aus.

   

7. Wählen Sie die verschlüsselten VMs, die Sie mit der ausgewählten Richtlinie sichern möchten, und dann OK aus.

   

8. Wenn Sie Azure Key Vault verwenden, werden Sie auf der Tresorseite in einer Meldung informiert, dass Azure Backup schreibgeschützten Zugriff auf die Schlüssel und Geheimnisse im Key Vault benötigt.

   • Wenn diese Meldung angezeigt wird, ist keine Aktion erforderlich.

     

   • Wenn diese Meldung angezeigt wird, müssen Sie Berechtigungen entsprechend der Beschreibung im Verfahren unten festlegen.

     

9. Wählen Sie Sicherung aktivieren aus, um die Sicherungsrichtlinie im Tresor bereitzustellen, und aktivieren Sie die Sicherung für die ausgewählten VMs.

Sichern von mit ADE verschlüsselten VMs mit Schlüsseltresoren mit aktivierter RBAC

Um Sicherungen für mit ADE verschlüsselte VMs mithilfe von Schlüsseltresoren mit aktivierter Azure RBAC zu ermöglichen, müssen Sie der Microsoft Entra-App des Sicherungsverwaltungsdiensts die Rolle „Key Vault-Administrator“ zuweisen, indem Sie in der Zugriffssteuerung des Schlüsseltresors eine Rollenzuweisung hinzufügen.

Erfahren Sie mehr über die verschiedenen verfügbaren Rollen. Die Rolle Key Vault-Administrator kann Berechtigungen zum Abrufen, Auflisten und Sichern von Geheimnissen und Schlüsseln gewähren.

Für Schlüsseltresore mit aktivierter Azure RBAC können Sie eine benutzerdefinierte Rolle mit dem folgenden Berechtigungssatz erstellen. Informieren Sie sich über das Erstellen einer benutzerdefinierten Rolle.

Aktion	BESCHREIBUNG
Microsoft.KeyVault/vaults/keys/backup/action	Erstellt die Sicherungsdatei eines Schlüssels.
Microsoft.KeyVault/vaults/secrets/backup/action	Erstellt die Sicherungsdatei eines Geheimnisses.
Microsoft.KeyVault/vaults/secrets/getSecret/action	Ruft den Wert eines Geheimnisses ab.
Microsoft.KeyVault/vaults/keys/read	Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen.
Microsoft.KeyVault/vaults/secrets/readMetadata/action	Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Werte.

"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Auslösen eines Sicherungsauftrags

Die erste Sicherung wird entsprechend dem festgelegten Zeitplan ausgeführt; Sie können sie aber auch mit den folgenden Schritten sofort ausführen:

1. Navigieren Sie zum Backup Center, und wählen Sie das Menüelement Sicherungsinstanzen aus.
2. Wählen Sie Virtuelle Azure-Computer als Datenquellentyp aus, und suchen Sie nach dem virtuellen Computer, den Sie für die Sicherung konfiguriert haben.
3. Klicken Sie mit der rechten Maustaste auf die entsprechende Zeile, oder wählen Sie das Symbol "Mehr" (...) aus, und klicken Sie auf Jetzt sichern.
4. Verwenden Sie unter Jetzt sichern den Kalender, um den letzten Tag zur Beibehaltung des Wiederherstellungspunkts auszuwählen. Klicken Sie anschließend auf OK.
5. Überwachen Sie die Portalbenachrichtigungen. Um den Auftragsfortschritt zu überwachen, wechseln Sie zu Backup Center>Sicherungsaufträge, und filtern Sie die Liste nach Aufträgen In Bearbeitung. Je nach Größe Ihrer VM kann das Erstellen der ersten Sicherung einige Zeit dauern.

Gewähren von Berechtigungen

Azure Backup benötigt schreibgeschützten Zugriff, um die Schlüssel und Geheimnisse zusammen mit den zugeordneten VMs zu sichern.

• Ihr Key Vault ist dem Microsoft Entra-Mandanten des Azure-Abonnements zugeordnet. Wenn Sie ein Mitgliedsbenutzer sind, erhält Azure Backup ohne weitere Aktion Zugriff auf den Key Vault.
• Wenn Sie ein Gastbenutzer sind, müssen Sie Berechtigungen gewähren, damit Azure Backup auf den Schlüsseltresor zugreifen kann. Sie benötigen Zugriff auf Schlüsseltresore, um die Azure Backup für verschlüsselte virtuelle Computer zu konfigurieren.

Informationen zum Bereitstellen von Azure-RBAC-Berechtigungen in Key Vault finden Sie in diesem Artikel.

So legen Sie Berechtigungen fest:

1. Wählen Sie im Azure-Portal Alle Dienste aus, und suchen Sie nach Schlüsseltresore.

2. Wählen Sie den Schlüsseltresor aus, der dem verschlüsselten virtuellen Computer zugeordnet ist, den Sie sichern möchten.

   Tipp

   Verwenden Sie den folgenden PowerShell-Befehl, um den zugeordneten Schlüsseltresor eines virtuellen Computers zu ermitteln. Geben Sie den Namen Ihrer Ressourcengruppe und Ihres virtuellen Computers an:

   Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

   Der Name des Schlüsseltresors befindet sich in der folgenden Zeile:

   SecretUrl : https://<keyVaultName>.vault.azure.net

3. Wählen Sie Zugriffsrichtlinien>Zugriffsrichtlinie hinzufügen aus.

   

4. Wählen Sie unter Zugriffsrichtlinie hinzufügen>Anhand einer Vorlage konfigurieren (optional) die Option Azure Backup aus.

   • Unter Schlüsselberechtigungen und Berechtigungen für Geheimnis sind bereits die erforderlichen Berechtigungen angegeben.
   • Wenn Ihr virtueller Computer mithilfe von Nur BEK verschlüsselt ist, entfernen Sie die Auswahl für Schlüsselberechtigungen, da Sie Berechtigungen nur für Geheimnisse benötigen.

   

5. Klicken Sie auf Hinzufügen. Sicherungsverwaltungsdienst wird zu Zugriffsrichtlinien hinzugefügt.

   

6. Wählen Sie Speichern aus, um Azure Backup die Berechtigungen zu erteilen.

Sie können die Zugriffsrichtlinie auch mithilfe von PowerShell oder der CLI festlegen.

Nächste Schritte

Sichern und Wiederherstellen verschlüsselter virtueller Azure-Computer

Sollten Probleme auftreten, sehen Sie sich die folgenden Artikel an:

• Häufige Fehler beim Sichern und Wiederherstellen von verschlüsselten virtuellen Azure-Computern.
• Probleme im Zusammenhang mit Azure VM-Agent/Backup-Erweiterung.