Säkerhetskopiera och återställa krypterade virtuella Azure-datorer

Artikel
10/18/2023

Den här artikeln beskriver hur du säkerhetskopierar och återställer virtuella Windows- eller Linux Azure-datorer med krypterade diskar med hjälp av Azure Backup-tjänsten . Mer information finns i Kryptering av säkerhetskopiering av virtuella Azure-datorer.

Kryptering med plattformshanterade nycklar

Som standard krypteras alla diskar i dina virtuella datorer automatiskt i vila med hjälp av plattformshanterade nycklar (PMK) som använder kryptering för lagringstjänsten. Du kan säkerhetskopiera dessa virtuella datorer med Hjälp av Azure Backup utan några specifika åtgärder som krävs för att stödja kryptering på din sida. Mer information om kryptering med plattformshanterade nycklar finns i den här artikeln.

Encrypted disks

Kryptering med kundhanterade nycklar

När du krypterar diskar med kundhanterade nycklar (CMK) lagras nyckeln som används för att kryptera diskarna i Azure Key Vault och hanteras av dig. Kryptering av lagringstjänst (SSE) med cmk skiljer sig från ADE-kryptering (Azure Disk Encryption). ADE använder operativsystemets krypteringsverktyg. SSE krypterar data i lagringstjänsten så att du kan använda operativsystem eller avbildningar för dina virtuella datorer.

Du behöver inte utföra några explicita åtgärder för säkerhetskopiering eller återställning av virtuella datorer som använder kundhanterade nycklar för att kryptera sina diskar. Säkerhetskopieringsdata för dessa virtuella datorer som lagras i valvet krypteras med samma metoder som krypteringen som används i valvet.

Mer information om kryptering av hanterade diskar med kundhanterade nycklar finns i den här artikeln.

Krypteringsstöd med ADE

Azure Backup stöder säkerhetskopiering av virtuella Azure-datorer som har sina OS/datadiskar krypterade med Azure Disk Encryption (ADE). ADE använder BitLocker för kryptering av virtuella Windows-datorer och dm-crypt-funktionen för virtuella Linux-datorer. ADE integreras med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter. Key Vault Key Encryption Keys (KEK: er) kan användas för att lägga till ytterligare ett säkerhetslager, kryptera krypteringshemligheter innan du skriver dem till Key Vault.

Azure Backup kan säkerhetskopiera och återställa virtuella Azure-datorer med hjälp av ADE med och utan Microsoft Entra-appen, enligt sammanfattningen i följande tabell.

Typ av virtuell datordisk	ADE (BEK/dm-crypt)	ADE och KEK
Ohanterad	Ja	Ja
Hanterad	Ja	Ja

Läs mer om ADE, Key Vault och KEK:er.
Läs vanliga frågor och svar om diskkryptering för virtuella Azure-datorer.

Begränsningar

Du kan säkerhetskopiera och återställa ADE-krypterade virtuella datorer i samma prenumeration.
Azure Backup stöder virtuella datorer som krypterats med fristående nycklar. Alla nycklar som ingår i ett certifikat som används för att kryptera en virtuell dator stöds inte för närvarande.
Azure Backup stöder återställning mellan regioner av krypterade virtuella Azure-datorer till de Azure-kopplade regionerna. Mer information finns i supportmatris.
ADE-krypterade virtuella datorer kan inte återställas på fil-/mappnivå. Du måste återställa hela den virtuella datorn för att återställa filer och mappar.
När du återställer en virtuell dator kan du inte använda alternativet ersätt befintlig virtuell dator för ADE-krypterade virtuella datorer. Det här alternativet stöds endast för okrypterade hanterade diskar.

Innan du börjar

Innan du börjar gör du följande:

Kontrollera att du har en eller flera virtuella Windows - eller Linux-datorer med ADE aktiverat.
Granska supportmatrisen för säkerhetskopiering av virtuella Azure-datorer
Skapa ett Recovery Services Backup-valv om du inte har något.
Om du aktiverar kryptering för virtuella datorer som redan är aktiverade för säkerhetskopiering behöver du bara ge Säkerhetskopiering behörighet att komma åt Key Vault så att säkerhetskopiorna kan fortsätta utan avbrott. Läs mer om att tilldela dessa behörigheter.

Dessutom finns det ett par saker som du kan behöva göra under vissa omständigheter:

Installera VM-agenten på den virtuella datorn: Azure Backup säkerhetskopierar virtuella Azure-datorer genom att installera ett tillägg till Azure VM-agenten som körs på datorn. Om den virtuella datorn skapades från en Azure Marketplace-avbildning installeras och körs agenten. Om du skapar en anpassad virtuell dator eller migrerar en lokal dator kan du behöva installera agenten manuellt.

Konfigurera en säkerhetskopieringspolicy

Om du ännu inte har skapat ett Recovery Services-säkerhetskopieringsvalv följer du de här anvisningarna.
Gå till Säkerhetskopieringscenter och klicka på +Säkerhetskopiering på fliken Översikt
Välj Virtuella Azure-datorer som Datasource-typ och välj valvet som du har skapat och klicka sedan på Fortsätt.
Välj den princip som du vill associera med valvet och välj sedan OK.
- En säkerhetskopieringsprincip anger när säkerhetskopieringar tas och hur länge de lagras.
- Information om standardprincipen visas under den nedrullningsbara menyn.
Om du inte vill använda standardprincipen väljer du Skapa ny och skapar en anpassad princip.
Under Virtuella datorer väljer du Lägg till.
Välj de krypterade virtuella datorer som du vill säkerhetskopiera med hjälp av select-principen och välj OK.
Om du använder Azure Key Vault visas ett meddelande på valvsidan om att Azure Backup behöver skrivskyddad åtkomst till nycklar och hemligheter i Key Vault.
- Om du får det här meddelandet krävs ingen åtgärd.
- Om du får det här meddelandet måste du ange behörigheter enligt beskrivningen i proceduren nedan.
Välj Aktivera säkerhetskopiering för att distribuera säkerhetskopieringsprincipen i valvet och aktivera säkerhetskopiering för de valda virtuella datorerna.

Säkerhetskopiera ADE-krypterade virtuella datorer med RBAC-aktiverade nyckelvalv

Om du vill aktivera säkerhetskopieringar för ADE-krypterade virtuella datorer med Azure RBAC-aktiverade nyckelvalv måste du tilldela Key Vault-administratörsrollen till Microsoft Entra-appen För säkerhetskopieringshantering genom att lägga till en rolltilldelning i Åtkomstkontroll för nyckelvalv.

Lär dig mer om de olika tillgängliga rollerna. Rollen Key Vault-administratör kan tillåta behörigheter att hämta, lista och säkerhetskopiera både hemlighet och nyckel.

För Azure RBAC-aktiverade nyckelvalv kan du skapa en anpassad roll med följande uppsättning behörigheter. Lär dig hur du skapar en anpassad roll.

Åtgärd	Beskrivning
Microsoft.KeyVault/vaults/keys/backup/action	Skapar säkerhetskopian av en nyckel.
Microsoft.KeyVault/vaults/secrets/backup/action	Skapar säkerhetskopian av en hemlighet.
Microsoft.KeyVault/vaults/secrets/getSecret/action	Hämtar värdet för en hemlighet.
Microsoft.KeyVault/vaults/keys/read	Visa en lista över nycklar i det angivna valvet eller läsa egenskaper och offentligt material.
Microsoft.KeyVault/vaults/secrets/readMetadata/action	Visa egenskaperna för en hemlighet, men inte dess värden.

"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Screenshot shows how to add permissions to key vault.

Utlösa ett säkerhetskopieringsjobb

Den första säkerhetskopieringen körs enligt schemat, men du kan köra den direkt enligt följande:

Gå till Säkerhetskopieringscenter och välj menyalternativet Säkerhetskopieringsinstanser .
Välj Virtuella Azure-datorer som Datasource-typ och sök efter den virtuella dator som du har konfigurerat för säkerhetskopiering.
Högerklicka på relevant rad eller välj ikonen mer (...) och klicka på Säkerhetskopiera nu.
I Säkerhetskopiera nu använder du kalenderkontrollen för att välja den sista dagen som återställningspunkten ska behållas. Välj sedan OK.
Övervaka portalmeddelandena. Om du vill övervaka jobbets förlopp går du till Säkerhetskopieringscenters>säkerhetskopieringsjobb och filtrerar listan för Pågående jobb. Beroende på den virtuella datorns storlek kan det ta en stund att skapa den första säkerhetskopian.

Ange behörigheter

Azure Backup behöver skrivskyddad åtkomst för att säkerhetskopiera nycklar och hemligheter, tillsammans med de associerade virtuella datorerna.

Ditt Key Vault är associerat med Microsoft Entra-klientorganisationen för Azure-prenumerationen. Om du är medlem får Azure Backup åtkomst till Key Vault utan ytterligare åtgärder.
Om du är gästanvändare måste du ange behörigheter för Azure Backup för att få åtkomst till nyckelvalvet. Du måste ha åtkomst till nyckelvalv för att konfigurera säkerhetskopiering för krypterade virtuella datorer.

Information om hur du ger Azure RBAC-behörigheter för Key Vault finns i den här artikeln.

Så här anger du behörigheter:

I Azure-portalen väljer du Alla tjänster och söker efter Nyckelvalv.
Välj det nyckelvalv som är associerat med den krypterade virtuella datorn som du säkerhetskopierar.

Dricks

Om du vill identifiera en virtuell dators associerade nyckelvalv använder du följande PowerShell-kommando. Ersätt resursgruppens namn och vm-namn:

Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

Leta efter nyckelvalvets namn på den här raden:

SecretUrl : https://<keyVaultName>.vault.azure.net
Välj Åtkomstprinciper>Lägg till åtkomstprincip.
I Lägg till åtkomstprincip>Konfigurera från mall (valfritt) väljer du Azure Backup.
- De behörigheter som krävs är förfyllda för nyckelbehörigheter och hemliga behörigheter.
- Om den virtuella datorn endast krypteras med BEK tar du bort valet för Nyckelbehörigheter eftersom du bara behöver behörigheter för hemligheter.
Markera Lägga till. Tjänsten för säkerhetskopieringshantering läggs till i Åtkomstprinciper.
Välj Spara för att ge Azure Backup behörigheterna.