Kryptering av säkerhetskopieringsdata med kundhanterade nycklar

Azure Backup kan du kryptera dina säkerhetskopierade data med kund-hanterade nycklar (CMK) i stället för att använda plattformsbaserade nycklar, vilket är aktiverat som standard. Dina nycklar som används för att kryptera säkerhetskopierade data måste lagras i Azure Key Vault.

Krypteringsnyckeln som används för att kryptera säkerhetskopior kan vara en annan än den som används för källan. Data skyddas med en AES 256-baserad datakrypteringsnyckel (DEK), som i sin tur skyddas med dina nycklar (KEK). Detta ger dig fullständig kontroll över data och nycklar. För att tillåta kryptering måste Recovery Services-valvet beviljas åtkomst till krypteringsnyckeln i Azure Key Vault. Du kan ändra nyckeln när det behövs.

I den här artikeln beskrivs följande:

  • Skapa ett Recovery Services-valv
  • Konfigurera Recovery Services-valvet för att kryptera säkerhetskopierade data med kund hanterade nycklar
  • Utföra säkerhetskopiering till valv som krypterats med kund hanterade nycklar
  • Återställa data från säkerhetskopior

Innan du börjar

  • Med den här funktionen kan du endast kryptera nya Recovery Services-valv. Valv som innehåller befintliga objekt som har registrerats eller som har försökt registreras till det stöds inte.

  • När det har aktiverats för ett Recovery Services-valv går det inte att återställa kryptering med kund hanterade nycklar till att använda plattform hanterade nycklar (standard). Du kan ändra krypteringsnycklarna enligt dina krav.

  • Den här funktionen stöder för närvarande inte säkerhetskopiering med HJÄLP av MARS-agenten och du kanske inte kan använda ett CMK-krypterat valv för samma. MARS-agenten använder en användar lösenfrasbaserad kryptering. Den här funktionen stöder inte heller säkerhetskopiering av klassiska virtuella datorer.

  • Den här funktionen är inte relaterad till Azure Disk Encryption, som använder gästbaserad kryptering av en virtuell dators diskar med BitLocker (för Windows) och DM-Crypt (för Linux)

  • Recovery Services-valvet kan endast krypteras med nycklar som lagras i Azure Key Vault som finns i samma region. Dessutom måste nycklarna bara vara RSA-nycklar och ska vara i aktiverat tillstånd.

  • Det finns för närvarande inte stöd för att flytta CMK-krypterade Recovery Services-valv mellan resursgrupper och prenumerationer.

  • När du flyttar ett Recovery Services-valv som redan är krypterat med kund hanterade nycklar till en ny klientorganisation måste du uppdatera Recovery Services-valvet för att återskapa och konfigurera om valvets hanterade identitet och CMK (som ska finnas i den nya klientorganisationen). Om detta inte görs misslyckas säkerhetskopierings- och återställningsåtgärder. Dessutom måste alla RBAC-behörigheter (rollbaserad åtkomstkontroll) som konfigurerats i prenumerationen konfigureras om.

  • Den här funktionen kan konfigureras via Azure Portal och PowerShell.

    Anteckning

    Använd Az-modulen 5.3.0 eller högre för att använda kund hanterade nycklar för säkerhetskopieringar i Recovery Services-valvet.

    Varning

    Om du använder PowerShell för att hantera krypteringsnycklar för säkerhetskopiering rekommenderar vi inte att du uppdaterar nycklarna från portalen.
    Om du uppdaterar nyckeln från portalen kan du inte använda PowerShell för att uppdatera krypteringsnyckeln ytterligare förrän en PowerShell-uppdatering som stöder den nya modellen är tillgänglig. Du kan dock fortsätta att uppdatera nyckeln från Azure Portal.

Om du inte har skapat och konfigurerat Recovery Services-valvet kan du läsa hur du gör det här.

Konfigurera ett valv för kryptering med kund hanterade nycklar

Det här avsnittet omfattar följande steg:

  1. Aktivera hanterad identitet för Recovery Services-valvet

  2. Tilldela behörigheter till valvet för att få åtkomst till krypteringsnyckeln i Azure Key Vault

  3. Aktivera mjuk borttagning och rensningsskydd på Azure Key Vault

  4. Tilldela krypteringsnyckeln till Recovery Services-valvet

Det är nödvändigt att alla dessa steg följs i den ordning som nämns ovan för att uppnå de avsedda resultaten. Varje steg beskrivs i detalj nedan.

Aktivera hanterad identitet för Recovery Services-valvet

Azure Backup använder system tilldelade hanterade identiteter och användar tilldelade hanterade identiteter för att autentisera Recovery Services-valvet för att få åtkomst till krypteringsnycklar som lagras i Azure Key Vault. Följ stegen nedan om du vill aktivera hanterad identitet för Recovery Services-valvet.

Anteckning

När den har aktiverats får den hanterade identiteten inte inaktiveras (inte ens tillfälligt). Inaktivering av den hanterade identiteten kan leda till inkonsekvent beteende.

Aktivera system tilldelad hanterad identitet för valvet

I portalen:

  1. Gå till ditt Recovery Services-valv – > identitet

    Identitetsinställningar

  2. Gå till fliken System tilldelad.

  3. Ändra Status till På.

  4. Klicka på Spara för att aktivera identiteten för valvet.

Ett objekt-ID genereras, vilket är valvets system tilldelade hanterade identitet.

Anteckning

När den har aktiverats får den hanterade identiteten inte inaktiveras (inte ens tillfälligt). Inaktivering av den hanterade identiteten kan leda till inkonsekvent beteende.

Med PowerShell:

Använd kommandot Update-AzRecoveryServicesVault för att aktivera system tilldelad hanterad identitet för Recovery Services-valvet.

Exempel:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -VaultId $vault.ID

$vault.Identity | fl

Utdata:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Tilldela en användar tilldelad hanterad identitet till valvet

Utför följande steg för att tilldela den användar tilldelade hanterade identiteten för Recovery Services-valvet:

  1. Gå till ditt Recovery Services-valv – > identitet

    Tilldela en användar tilldelad hanterad identitet till valvet

  2. Gå till fliken Användar tilldelad.

  3. Klicka på +Lägg till för att lägga till en användar tilldelad hanterad identitet.

  4. bladet Lägg till användar tilldelad hanterad identitet som öppnas väljer du prenumerationen för din identitet.

  5. Välj identiteten i listan. Du kan också filtrera efter namnet på identiteten eller resursgruppen.

  6. När du är klar klickar du på Lägg till för att slutföra tilldelning av identiteten.

Tilldela behörigheter till Recovery Services-valvet för att få åtkomst till krypteringsnyckeln i Azure Key Vault

Anteckning

Om du använder användar tilldelade identiteter måste samma behörigheter tilldelas till den användar tilldelade identiteten.

Nu måste du tillåta Recovery Services-valvet att komma åt Azure Key Vault som innehåller krypteringsnyckeln. Detta görs genom att tillåta att Recovery Services-valvets hanterade identitet får åtkomst till Key Vault.

I portalen:

  1. Gå till Azure Key Vault -> åtkomstprinciper. Fortsätt till +Lägg till åtkomstprinciper.

    Lägga till åtkomstprinciper

  2. Under Nyckelbehörigheter väljer du Hämta, Lista, Packa upp nyckel och Omsluta nyckelåtgärder. Detta anger vilka åtgärder på nyckeln som tillåts.

    Tilldela nyckelbehörigheter

  3. Gå till Välj huvudnamn och sök efter ditt valv i sökrutan med dess namn eller hanterade identitet. När det visas väljer du valvet och väljer Välj längst ned i fönstret.

    Välj huvudnamn

  4. När du är klar väljer du Lägg till för att lägga till den nya åtkomstprincipen.

  5. Välj Spara för att spara ändringar som gjorts i åtkomstprincipen för Azure Key Vault.

Anteckning

Du kan också tilldela en RBAC-roll till Recovery Services-valvet som innehåller ovanstående behörigheter, till exempel Key Vault kryptografichefsrollen.

Dessa roller kan innehålla andra behörigheter än de som beskrivs ovan.

Aktivera mjuk borttagning och rensningsskydd på Azure Key Vault

Du måste aktivera skydd för mjuk borttagning och rensning på Azure Key Vault som lagrar krypteringsnyckeln. Du kan göra detta från Azure Key Vault användargränssnitt enligt nedan. (Du kan också ange dessa egenskaper när du skapar Key Vault). Läs mer om dessa Key Vault här.

Aktivera mjuk borttagning eller rensningsskydd

Du kan också aktivera mjuk borttagning och rensningsskydd via PowerShell med hjälp av stegen nedan:

  1. Logga in på ditt Azure-konto.

    Login-AzAccount
    
  2. Välj den prenumeration som innehåller valvet.

    Set-AzContext -SubscriptionId SubscriptionId
    
  3. Aktivera mjuk borttagning

    ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
    
    Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
    
  4. Aktivera rensningsskydd

    ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
    
    Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
    

Tilldela krypteringsnyckel till RS-valvet

Anteckning

Kontrollera följande innan du fortsätter:

  • Alla steg som nämns ovan har slutförts:
    • Recovery Services-valvets hanterade identitet har aktiverats och har tilldelats nödvändiga behörigheter
    • Funktionen Azure Key Vault har aktiverat mjuk borttagning och rensningsskydd
  • Recovery Services-valvet som du vill aktivera CMK-kryptering för har inga objekt skyddade eller registrerade i det

När ovanstående är säkerställt fortsätter du med att välja krypteringsnyckeln för valvet.

Tilldela nyckeln i portalen

  1. Gå till Recovery Services-valvet - > egenskaper

    Krypteringsinställningar

  2. Välj Uppdatera under Krypteringsinställningar.

  3. I fönstret Krypteringsinställningar väljer du Använd din egen nyckel och fortsätter att ange nyckeln på något av följande sätt. Kontrollera att den nyckel som du vill använda är en RSA 2048-nyckel som är i ett aktiverat tillstånd.

    1. Ange den nyckel-URI som du vill kryptera data med i det här Recovery Services-valvet. Du måste också ange den prenumeration där Azure Key Vault (som innehåller den här nyckeln) finns. Den här nyckel-URI:en kan hämtas från motsvarande nyckel i Azure Key Vault. Kontrollera att nyckel-URI:en har kopierats korrekt. Vi rekommenderar att du använder knappen Kopiera till Urklipp som medföljer nyckelidentifieraren.

      Anteckning

      När du anger krypteringsnyckeln med hjälp av nyckel-URI roteras inte nyckeln automatiskt. Så viktiga uppdateringar måste göras manuellt genom att den nya nyckeln anges när det behövs.

      Ange nyckel-URI

    2. Bläddra och välj nyckeln från Key Vault i nyckelväljarfönstret.

      Anteckning

      När du anger krypteringsnyckeln med hjälp av nyckelväljarfönstret roteras nyckeln automatiskt när en ny version av nyckeln aktiveras. Läs mer om hur du aktiverar automatisk rotation av krypteringsnycklar.

      Välj nyckel från nyckelvalvet

  4. Välj Spara.

  5. Spåra förlopp och status för uppdatering av krypteringsnyckel: Du kan spåra förlopp och status för tilldelningen av krypteringsnyckel med hjälp av vyn Säkerhetskopieringsjobb i det vänstra navigeringsfältet. Statusen bör snart ändras till Slutfört. Valvet krypterar nu alla data med den angivna nyckeln som KEK.

    Statusen har slutförts

    Krypteringsnyckelns uppdateringar loggas också i valvets aktivitetslogg.

    Aktivitetslogg

Tilldela nyckeln med PowerShell

Använd kommandot Set-AzRecoveryServicesVaultProperty för att aktivera kryptering med kund hanterade nycklar och för att tilldela eller uppdatera krypteringsnyckeln som ska användas.

Exempel:

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

Utdata:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

Anteckning

Den här processen är densamma när du vill uppdatera eller ändra krypteringsnyckeln. Om du vill uppdatera och använda en nyckel från en annan Key Vault (skiljer sig från den som används för närvarande) kontrollerar du att:

  • Nyckelvalvet finns i samma region som Recovery Services-valvet

  • Mjuk borttagning och rensning har aktiverats för nyckelvalvet

  • Recovery Services-valvet har de behörigheter som krävs för att komma åt nyckelvalvet.

Backa upp till ett valv som krypterats med kund hanterade nycklar

Innan du fortsätter med att konfigurera skydd rekommenderar vi starkt att du ser till att följande checklista följs. Detta är viktigt eftersom kryptering med kund hanterade nycklar inte kan aktiveras på ett icke-CMK-krypterat valv när ett objekt har konfigurerats för säkerhetskopiering (eller försök att konfigureras) och fortsätter att använda plattform hanterade nycklar.

Viktigt

Innan du fortsätter med att konfigurera skyddet måste du ha slutfört följande steg:

  1. Skapat ditt Backup-valv
  2. Aktiverade Recovery Services-valvets system tilldelade hanterade identitet eller tilldelade en användar tilldelad hanterad identitet till valvet
  3. Tilldelade behörigheter till ditt Säkerhetskopieringsvalv (eller den användar tilldelade hanterade identiteten) för åtkomst till krypteringsnycklar från Key Vault
  4. Aktiverat skydd för mjuk borttagning och rensning för Key Vault
  5. Tilldelat en giltig krypteringsnyckel för ditt Backup-valv

Om alla ovanstående steg har bekräftats fortsätter du först med att konfigurera säkerhetskopieringen.

Processen för att konfigurera och utföra säkerhetskopieringar till ett Recovery Services-valv som krypterats med kund hanterade nycklar är samma som för ett valv som använder plattformsbaserade nycklar, utan ändringar i upplevelsen. Detta gäller för säkerhetskopiering av virtuella Azure-datorer samt säkerhetskopiering av arbetsbelastningar som körs på en virtuell dator (till exempel SAP HANA ,SQL Server databaser).

Återställa data från säkerhetskopia

Säkerhetskopiering av virtuell dator

Data som lagras i Recovery Services-valvet kan återställas enligt stegen som beskrivs här. När du återställer från ett Recovery Services-valv som krypterats med kund hanterade nycklar kan du välja att kryptera de återställda data med en diskkrypteringsuppsättning (DES).

Återställa virtuell dator/disk

  1. När du återställer disk/virtuell dator från en återställningspunkt för ögonblicksbild krypteras de återställda data med de DES som används för att kryptera den virtuella källdatorns diskar.

  2. När du återställer disk/virtuell dator från en återställningspunkt med återställningstyp som "valv" kan du välja att de återställda data ska krypteras med hjälp av en DES som anges vid tidpunkten för återställningen. Du kan också välja att fortsätta med återställningen av data utan att ange en DES, i vilket fall den krypteras med microsoft-hanterade nycklar.

Du kan kryptera den återställda disken/den virtuella datorn när återställningen är klar, oavsett vilket val som gjorts när återställningen initieras.

Återställningspunkter

Välj en diskkrypteringsuppsättning när du återställer från valvåterställningspunkten

I portalen:

Diskkrypteringsuppsättningen anges under Krypteringsinställningar i återställningsfönstret, enligt nedan:

  1. I Kryptera diskar med din nyckel väljer du Ja.

  2. I listrutan väljer du de DES som du vill använda för de återställda diskarna. Kontrollera att du har åtkomst till DES.

Anteckning

Möjligheten att välja en DES under återställning är inte tillgänglig om du återställer en virtuell dator som använder Azure Disk Encryption.

Kryptera disk med din nyckel

Med PowerShell:

Använd kommandot Get-AzRecoveryServicesBackupItem med parametern [ ] för att ange de DES som ska användas för att kryptera den -DiskEncryptionSetId <string> återställda disken. Mer information om hur du återställer diskar från säkerhetskopiering av virtuella datorer finns i den här artikeln.

Exempel:

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId “testdes1” -VaultId $vault.ID

Återställa filer

När du utför en filåterställning krypteras de återställda data med nyckeln som används för att kryptera målplatsen.

Återställa SAP HANA/SQL-databaser i virtuella Azure-datorer

När du återställer från en säkerhetskopierad SAP HANA/SQL-databas som körs på en virtuell Azure-dator krypteras återställda data med hjälp av krypteringsnyckeln som används på mållagringsplatsen. Det kan vara en kund hanterad nyckel eller en plattforms hanterad nyckel som används för att kryptera diskarna på den virtuella datorn.

Ytterligare information

Aktivera kryptering med kund hanterade nycklar när valvet skapas (i förhandsversion)

Anteckning

Aktivering av kryptering vid valvskapande med kund hanterade nycklar är en begränsad offentlig förhandsversion och kräver att prenumerationer tillåts. Om du vill registrera dig för förhandsversionen fyller du i formuläret och skriver till oss på AskAzureBackupTeam@microsoft.com .

När din prenumeration tillåts visas fliken Kryptering för säkerhetskopiering. På så sätt kan du aktivera kryptering på säkerhetskopian med kund hanterade nycklar när du skapar ett nytt Recovery Services-valv. Utför följande steg för att aktivera krypteringen:

  1. Bredvid fliken Grundläggande inställningar går du till fliken Kryptering för säkerhetskopiering och anger krypteringsnyckeln och identiteten som ska användas för kryptering.

    Aktivera kryptering på valvnivå

    Anteckning

    Inställningarna gäller endast säkerhetskopiering och är valfria.

  2. Välj Använd kund hanterad nyckel som krypteringstyp.

  3. Om du vill ange vilken nyckel som ska användas för kryptering väljer du lämpligt alternativ.

    Du kan ange URI:en för krypteringsnyckeln eller bläddra och välja nyckeln. När du anger nyckeln med alternativet Välj Key Vault aktiveras automatisk rotation av krypteringsnyckeln automatiskt. Läs mer om automatisk rotation.

  4. Ange den användartilldejerade hanterade identiteten för att hantera kryptering med kundhanterade nycklar. Klicka på Välj för att bläddra och välj den identitet som krävs.

  5. När du är klar fortsätter du med att lägga till Taggar (valfritt) och fortsätter att skapa valvet.

Aktivera automatisk rotation av krypteringsnycklar

När du anger den kund hanterade nyckeln som måste användas för att kryptera säkerhetskopior använder du följande metoder för att ange den:

  • Ange nyckel-URI
  • Välj från Key Vault

Med alternativet Välj Key Vault kan du aktivera automatisk rotation för den valda nyckeln. Detta eliminerar det manuella arbetet med att uppdatera till nästa version. Men med det här alternativet:

  • Uppdatering av nyckelversion kan ta upp till en timme att gälla.
  • När en ny version av nyckeln gäller ska den gamla versionen också vara tillgänglig (i aktiverat tillstånd) för minst ett efterföljande säkerhetskopieringsjobb när nyckeluppdateringen har gälla.

Använda Azure-principer för granskning och framtvingande av kryptering med kund hanterade nycklar (i förhandsversion)

Azure Backup kan du använda Azure-princip för att granska och framtvinga kryptering med kund hanterade nycklar för data i Recovery Services-valvet. Använda Azure-principer:

  • Granskningsprincipen kan användas för granskningsvalv med kryptering med kund hanterade nycklar som är aktiverade efter 2021-04-01. För valv med CMK-kryptering aktiverat före det här datumet kan principen misslyckas med att tillämpas eller kan visa falska negativa resultat (det vill säga dessa valv kan rapporteras som icke-kompatibla, trots att CMK-kryptering är aktiverat).

  • Om du vill använda granskningsprincipen för granskningsvalv med CMK-kryptering aktiverat före 2021-04-01 använder du Azure Portal för att uppdatera en krypteringsnyckel. Detta hjälper till att uppgradera till den nya modellen. Om du inte vill ändra krypteringsnyckeln anger du samma nyckel igen via nyckel-URI eller alternativet för nyckelval.

    Varning

    Om du använder PowerShell för att hantera krypteringsnycklar för säkerhetskopiering rekommenderar vi inte att du uppdaterar nycklarna från portalen.
    Om du uppdaterar nyckeln från portalen kan du inte använda PowerShell för att uppdatera krypteringsnyckeln ytterligare förrän en PowerShell-uppdatering som stöder den nya modellen är tillgänglig. Du kan dock fortsätta att uppdatera nyckeln från Azure Portal.

Vanliga frågor och svar

Kan jag kryptera ett befintligt Backup-valv med kund hanterade nycklar?

Nej, CMK-kryptering kan endast aktiveras för nya valv. Valvet får därför aldrig ha några objekt som skyddas. I själva verket måste inga försök att skydda objekt till valvet göras innan kryptering med kund hanterade nycklar möjliggörs.

Jag försökte skydda ett objekt i mitt valv, men det misslyckades och valvet innehåller fortfarande inga objekt som skyddas till det. Kan jag aktivera CMK-kryptering för det här valvet?

Nej, valvet får inte ha haft några försök att skydda objekt i det tidigare.

Jag har ett valv som använder CMK-kryptering. Kan jag senare återgå till kryptering med plattforms hanterade nycklar även om jag har säkerhetskopierade objekt som skyddas i valvet?

Nej, när du har aktiverat CMK-kryptering kan den inte återställas till att använda plattform hanterade nycklar. Du kan ändra de nycklar som används enligt dina krav.

Gäller ÄVEN CMK Azure Backup kryptering för Azure Site Recovery?

Nej, den här artikeln beskriver endast kryptering av säkerhetskopierade data. För Azure Site Recovery måste du ange egenskapen separat som tillgänglig från tjänsten.

Jag missade något av stegen i den här artikeln och gick vidare för att skydda min datakälla. Kan jag fortfarande använda CMK-kryptering?

Om du inte följer stegen i artikeln och fortsätter att skydda objekt kan det leda till att valvet inte kan använda kryptering med kund hanterade nycklar. Vi rekommenderar därför att du refererar till den här checklistan innan du fortsätter för att skydda objekt.

Lägger användningen av CMK-kryptering till kostnaden för mina säkerhetskopior?

Om du använder CMK-kryptering för säkerhetskopiering medför det inga ytterligare kostnader för dig. Du kan dock fortsätta att medföra kostnader för att använda din Azure Key Vault där nyckeln lagras.

Nästa steg