تشفير بيانات النسخ الاحتياطي باستخدام مفاتيح يديرها العميل

يمكنك استخدام Azure Backup لتشفير بيانات النسخ الاحتياطي عبر المفاتيح التي يديرها العميل (CMKs) بدلا من المفاتيح المدارة بواسطة النظام الأساسي (PMKs)، والتي يتم تمكينها افتراضيا. يجب تخزين مفاتيحك لتشفير بيانات النسخ الاحتياطي في Azure Key Vault.

قد يختلف مفتاح التشفير الذي تستخدمه لتشفير النسخ الاحتياطية عن المفتاح الذي تستخدمه للمصدر. يساعد مفتاح تشفير البيانات المستند إلى AES 256 (DEK) في حماية البيانات. مفاتيح تشفير المفاتيح (KEKs)، بدورها، تساعد في حماية DEK. لديك تحكم كامل في البيانات والمفاتيح.

للسماح بالتشفير، يجب منح مخزن النسخ الاحتياطي الأذونات للوصول إلى مفتاح التشفير في مخزن المفاتيح. يمكنك تغيير المفتاح عند الضرورة.

في هذه المقالة، ستتعرف على كيفية:

• أنشئ مخزن خدمات الاسترداد.
• تكوين مخزن خدمات الاسترداد لتشفير بيانات النسخ الاحتياطي باستخدام CMKs.
• قم بنسخ البيانات احتياطيا إلى مخزن مشفر عبر CMKs.
• استعادة البيانات من النسخ الاحتياطية.

الاعتبارات

• يمكنك استخدام هذه الميزة (باستخدام Azure Backup لتشفير بيانات النسخ الاحتياطي عبر CMKs) لتشفير مخازن خدمات الاسترداد الجديدة فقط. أي مخزن يحتوي على عناصر موجودة مسجلة أو حاول تسجيلها فيه غير مدعوم.

• بعد تمكين التشفير باستخدام CMKs لمخزن خدمات الاسترداد، لا يمكنك العودة إلى استخدام PMKs (الافتراضي). يمكنك تغيير مفاتيح التشفير لتلبية المتطلبات.

• لا تدعم هذه الميزة حاليا النسخ الاحتياطي عبر عامل Microsoft Azure Recovery Services (MARS)، وقد لا تتمكن من استخدام مخزن مشفر بواسطة CMK للنسخ الاحتياطي عبر عامل MARS. يستخدم عامل MARS التشفير المستند إلى عبارة المرور. لا تدعم هذه الميزة أيضا النسخ الاحتياطي للأجهزة الظاهرية (VMs) التي قمت بإنشائها في نموذج النشر الكلاسيكي.

• لا ترتبط هذه الميزة تشفير قرص Azure، التي تستخدم التشفير المستند إلى الضيف لقرص الجهاز الظاهري باستخدام BitLocker لنظامي التشغيل Windows وDM-Crypt لنظام التشغيل Linux.

• يمكنك تشفير مخزن خدمات الاسترداد فقط باستخدام المفاتيح المخزنة في Azure Key Vault والموجودة في نفس المنطقة. أيضا، يجب أن تكون المفاتيح مفاتيح RSA معتمدة ويجب أن تكون في الحالة الممكنة.

• نقل مخزن خدمات الاسترداد المشفرة من CMK عبر مجموعات الموارد والاشتراكات غير مدعوم حاليا.

• عند نقل مخزن خدمات الاسترداد المشفرة بالفعل عبر CMKs إلى مستأجر جديد، تحتاج إلى تحديث مخزن خدمات الاسترداد لإعادة إنشاء وإعادة تكوين الهوية المدارة للمخزن وCMK (والتي يجب أن تكون في المستأجر الجديد). إذا لم تقم بتحديث المخزن، فستفشل عمليات النسخ الاحتياطي والاستعادة. تحتاج أيضا إلى إعادة تكوين أي أذونات التحكم في الوصول المستندة إلى دور Azure (RBAC) التي قمت بإعدادها داخل الاشتراك.

• يمكنك تكوين هذه الميزة من خلال مدخل Microsoft Azure وPowerShell. استخدم الوحدة النمطية Az 5.3.0 أو أحدث لاستخدام CMKs للنسخ الاحتياطية في مخزن خدمات الاسترداد.

  تحذير

  إذا كنت تستخدم PowerShell لإدارة مفاتيح التشفير للنسخ الاحتياطي، فلا نوصي بتحديث المفاتيح من المدخل. إذا قمت بتحديث المفاتيح من المدخل، فلا يمكنك استخدام PowerShell لتحديث المفاتيح بشكل أكبر حتى يتوفر تحديث PowerShell لدعم النموذج الجديد. ومع ذلك، يمكنك متابعة تحديث المفاتيح من مدخل Microsoft Azure.

• إذا لم تكن قد أنشأت مخزن خدمات الاسترداد وقمت بتكوينه، فشاهد هذه المقالة.

تكوين مخزن للتشفير باستخدام مفاتيح يديرها العميل

لتكوين مخزن، قم بتنفيذ الإجراءات التالية بالتسلسل:

1. تمكين هوية مدارة لمخزن خدمات الاسترداد.

2. تعيين أذونات إلى مخزن خدمات الاسترداد للوصول إلى مفتاح التشفير في Azure Key Vault.

3. تمكين الحماية من الحذف المبدئي والإزالة على Azure Key Vault.

4. قم بتعيين مفتاح التشفير لمخزن خدمات الاسترداد.

تناقش الأقسام التالية كل إجراء من هذه الإجراءات بالتفصيل.

تمكين هوية مدارة لمخزن خدمات الاسترداد

يستخدم Azure Backup الهويات المُدارة المعينة بواسطة النظام والهويات المُدارة المعينة بواسطة المستخدم لمصادقة مخزن Recovery Services للوصول إلى مفاتيح التشفير المخزنة في Azure Key Vault. يمكنك اختيار الهوية المدارة التي يجب استخدامها.

إشعار

بعد تمكين هوية مدارة، يجب عدم تعطيلها (حتى مؤقتا). قد يؤدي تعطيل الهوية المدارة إلى سلوك غير متناسق.

تمكين هوية مدارة معينة من قبل النظام للمخزن

اختر عميلاً:

مدخل Microsoft Azure

1. انتقل إلى هوية مخزن>خدمات الاسترداد.

2. حدد علامة التبويب System assigned.

3. تغيير الحالة إلى تشغيل.

4. حدد حفظ لتمكين هوية المخزن.

تنشئ الخطوات السابقة معرف كائن، وهو الهوية المدارة المعينة من قبل النظام للمخزن.

بوويرشيل

استخدم الأمر Update-AzRecoveryServicesVault لتمكين هوية مدارة معينة من قبل النظام لمخزن خدمات الاسترداد.

مثال:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault

$vault.Identity | fl

إخراج:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

المبادره القطريه

استخدم الأمر az backup vault identity assign لتمكين هوية مدارة معينة من قبل النظام لمخزن خدمات الاسترداد.

مثال:

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

إخراج:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

تعيين هوية مدارة معينة من قبل المستخدم إلى المخزن (في المعاينة)

إشعار

لا تدعم الخزائن التي تستخدم الهويات المدارة المعينة من قبل المستخدم لتشفير CMK استخدام نقاط النهاية الخاصة للنسخ الاحتياطي.

خزائن المفاتيح التي تحد من الوصول إلى شبكات معينة غير مدعومة بعد للاستخدام مع الهويات المدارة المعينة من قبل المستخدم لتشفير CMK.

لتعيين الهوية المُدارة المعينة بواسطة المستخدم لمخزن Recovery Services، اختر عميلاً:

مدخل Microsoft Azure

1. انتقل إلى هوية مخزن>خدمات الاسترداد.

2. حدد علامة التبويب User assigned (preview).

3. حدد +Add لإضافة هوية مدارة معينة من قبل المستخدم.

4. في لوحة إضافة هوية مدارة معينة من قبل المستخدم، حدد الاشتراك لهويتك.

5. حدد الهوية من القائمة. يمكنك أيضا التصفية حسب اسم الهوية أو مجموعة الموارد.

6. حدد Add لإنهاء تعيين الهوية.

بوويرشيل

استخدم الأمر Update-AzRecoveryServicesVault لتمكين هوية مدارة يعينها المستخدم لمخزن خدمات الاسترداد.

مثال:

$vault = Get-AzRecoveryServicesVault -Name "vaultName" -ResourceGroupName "resourceGroupName"
$identity1 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity1"
$identity2 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity2"
$updatedVault = Update-AzRecoveryServicesVault -ResourceGroupName $vault.ResourceGroupName -Name $vault.Name -IdentityType UserAssigned -IdentityId $identity1.Id, $identity2.Id

$updatedVault.Identity | fl

إخراج:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity1, Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity],[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity2,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

المبادره القطريه

استخدم الأمر az backup vault identity assign لتمكين هوية مدارة معينة من قبل النظام لمخزن خدمات الاسترداد.

مثال:

az backup vault identity assign --user-assigned MyIdentityId1 --resource-group MyResourceGroup --name MyVault

إخراج:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyIdentityId1,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

عيّن أذونات لمخزن Recovery Services للوصول إلى مفتاح التشفير في Azure Key Vault

تحتاج الآن إلى السماح للهوية المدارة لمخزن خدمات الاسترداد بالوصول إلى مخزن المفاتيح الذي يحتوي على مفتاح التشفير.

إذا كنت تستخدم هوية معينة من قبل المستخدم، فيجب عليك تعيين نفس الأذونات لها.

اختر عميلاً:

مدخل Microsoft Azure

1. انتقل إلى نهج الوصول إلى key vault>. حدد +إضافة نهج الوصول.

   

2. حدد الإجراءات التي يجب السماح بها على المفتاح. بالنسبة إلى أذونات المفتاح، حدد عمليات Get و List و Unwrap Key و Wrap Key .

   

3. انتقل إلى Select principal وابحث عن المخزن الخاص بك في مربع البحث باستخدام اسمه أو هويته المدارة. عند ظهور المخزن، حدده ثم اختر تحديد في أسفل اللوحة.

   

4. حدد إضافة لإضافة نهج الوصول الجديد.

5. حدد حفظ لحفظ التغييرات التي أجريتها على نهج الوصول لخزنة المفاتيح.

يمكنك أيضا تعيين دور RBAC إلى مخزن خدمات الاسترداد الذي يحتوي على الأذونات المذكورة سابقا، مثل دور Key Vault Crypto Officer . قد يحتوي هذا الدور على أذونات إضافية.

بوويرشيل

استخدم الأمر Get-AzADServicePrincipal للحصول على المعرف الأساسي لمخزن خدمات الاسترداد. ثم استخدم هذا المعرف في الأمر Set-AzKeyVaultAccessPolicy لتعيين نهج وصول لمخزن المفاتيح.

مثال:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

المبادره القطريه

استخدم الأمر az ad sp list للحصول على المعرف الأساسي لمخزن خدمات الاسترداد. ثم استخدم هذا المعرف في الأمر az keyvault set-policy لتعيين نهج وصول لمخزن المفاتيح.

مثال:

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

تمكين الحماية من الحذف المبدئي والإزالة على Azure Key Vault

تحتاج إلى تمكين الحماية من الحذف المبدئي والإزالة على مخزن المفاتيح الذي يخزن مفتاح التشفير الخاص بك.

اختر عميلاً:

مدخل Microsoft Azure

يمكنك تمكين الحماية من الحذف المبدئي والإزالة من واجهة Azure Key Vault، كما هو موضح في لقطة الشاشة التالية. بدلا من ذلك، يمكنك تعيين هذه الخصائص أثناء إنشاء مخزن المفاتيح. تعرف على المزيد حول خصائص Key Vault هذه.

بوويرشيل

1. سجل الدخول إلى حساب Azure الخاص بك:

   Login-AzAccount
   

2. حدد الاشتراك الذي يحتوي على المخزن الخاص بك:

   Set-AzContext -SubscriptionId SubscriptionId
   

3. تمكين الحذف المبدئي:

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. تمكين الحماية من التطهير:

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

المبادره القطريه

1. سجل الدخول إلى حساب Azure الخاص بك:

   az login
   

2. حدد الاشتراك الذي يحتوي على المخزن الخاص بك:

   az account set --subscription "Subscription1"
   

3. تمكين الحذف المبدئي:

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. تمكين الحماية من التطهير:

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
   

تعيين مفتاح تشفير إلى مخزن خدمات الاسترداد

قبل تحديد مفتاح التشفير لمخزنك، تأكد من نجاحك:

• تمكين الهوية المدارة لمخزن خدمات الاسترداد وتعيين الأذونات المطلوبة له.
• تمكين الحماية من الحذف المبدئي والمسح لمخزن المفاتيح.
• ليس لديك أي عناصر محمية أو مسجلة في مخزن خدمات الاسترداد الذي تريد تمكين تشفير CMK له.

لتعيين المفتاح واتباع الخطوات، اختر عميلاً:

مدخل Microsoft Azure

1. انتقل إلى خصائص مخزن>خدمات الاسترداد.

2. ضمن encryption الإعدادات، حدد Update.

   

3. في جزء Encryption الإعدادات، حدد Use your own key ثم حدد المفتاح باستخدام أحد الخيارات التالية. تأكد من استخدام مفتاح RSA في حالة تمكين.

   • حدد Enter key URI. في المربع Key Uri ، أدخل URI للمفتاح الذي تريد استخدامه لتشفير البيانات في مخزن خدمات الاسترداد هذا. يمكنك أيضا الحصول على مفتاح URI هذا من المفتاح المقابل في خزنة المفاتيح الخاصة بك. في مربع الاشتراك ، حدد الاشتراك لمخزن المفاتيح الذي يحتوي على هذا المفتاح.

     تأكد من نسخ مفتاح URI بشكل صحيح. نوصي باستخدام الزر نسخ إلى الحافظة المتوفر مع معرف المفتاح.

     

     عند تحديد مفتاح التشفير باستخدام مفتاح URI الكامل مع مكون الإصدار، لن يتم تسجيل المفتاح تلقائيا. تحتاج إلى تحديث المفاتيح يدويا عن طريق تحديد المفتاح أو الإصدار الجديد عند الحاجة. بدلا من ذلك، قم بإزالة مكون الإصدار من مفتاح URI للحصول على التدوير التلقائي.

   • اختر تحديد من Key Vault. في جزء أداة انتقاء المفاتيح، استعرض للوصول إلى المفتاح وحدده من مخزن المفاتيح.

     

     عند تحديد مفتاح التشفير باستخدام جزء منتقي المفاتيح، سيتم تعيين المفتاح تلقائيا كلما تم تمكين إصدار جديد للمفتاح. تعرف على المزيد حول تمكين التشغيل التلقائي لمفاتيح التشفير.

4. حدد حفظ.

5. تعقب تقدم وحالة تعيين مفتاح التشفير باستخدام طريقة عرض مهام النسخ الاحتياطي في القائمة اليمنى. يجب أن تتغير الحالة قريبا إلى مكتملة. سيقوم المخزن الآن بتشفير جميع البيانات باستخدام المفتاح المحدد ك KEK.

   

   يتم أيضا تسجيل تحديثات مفتاح التشفير في سجل نشاط المخزن.

   

بوويرشيل

استخدم الأمر Set-AzRecoveryServicesVaultProperty لتمكين تشفير CMK وتعيين مفتاح تشفير أو تحديثه.

مثال:

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

إخراج:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

المبادره القطريه

استخدم الأمر az backup vault encryption update لتمكين تشفير CMK وتعيين مفتاح تشفير أو تحديثه.

مثال:

az backup vault encryption update --encryption-key-id MyEncryptionKeyId --mi-system-assigned --resource-group MyResourceGroup --name MyVault

إخراج:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

تظل هذه العملية كما هي عندما تريد تحديث مفتاح التشفير أو تغييره. إذا كنت تريد تحديث مفتاح واستخدامه من مخزن مفاتيح آخر (مختلف عن المفتاح الذي تستخدمه حاليا)، فتأكد من:

• المخزن الرئيسي في نفس المنطقة مثل مخزن خدمات الاسترداد.
• تم تمكين الحماية من الحذف والإزالة المبدئية في مخزن المفاتيح.
• يحتوي مخزن خدمات الاسترداد على الأذونات المطلوبة للوصول إلى مخزن المفاتيح.

نسخ البيانات احتياطيا إلى مخزن مشفر عبر مفاتيح يديرها العميل

قبل تكوين حماية النسخ الاحتياطي، تأكد من نجاحك:

• إنشاء مخزن خدمات الاسترداد الخاص بك.
• تمكين الهوية المدارة المعينة من قبل النظام لمخزن خدمات الاسترداد أو تعيين هوية مدارة معينة من قبل المستخدم إلى المخزن.
• الأذونات المعينة لمخزن خدمات الاسترداد (أو الهوية المدارة المعينة من قبل المستخدم) للوصول إلى مفاتيح التشفير من مخزن المفاتيح الخاص بك.
• تمكين الحماية من الحذف المبدئي والمسح لمخزن المفاتيح الخاص بك.
• تم تعيين مفتاح تشفير صالح لمخزن خدمات الاسترداد.

قائمة الاختيار هذه مهمة لأنه بعد تكوين (أو محاولة تكوين) عنصر للنسخ الاحتياطي إلى مخزن مشفر غير CMK، لا يمكنك تمكين تشفير CMK عليه. يستمر في استخدام PMKs.

عملية تكوين النسخ الاحتياطية وتنفيذها إلى مخزن خدمات الاسترداد المشفرة عبر CMKs هي نفس عملية تكوين النسخ الاحتياطية وتنفيذها إلى مخزن يستخدم PMKs. لا توجد تغييرات على التجربة. هذه العبارة صحيحة للنسخ الاحتياطي لأجهزة Azure الظاهرية والنسخ الاحتياطي لأحمال العمل التي تعمل داخل جهاز ظاهري (على سبيل المثال، قواعد بيانات SAP HANA أو SQL Server ).

استعادة البيانات من نسخة احتياطية

استعادة البيانات من نسخة احتياطية للجهاز الظاهري

يمكنك استعادة البيانات المخزنة في مخزن خدمات الاسترداد وفقا للخطوات الموضحة في هذه المقالة. عند الاستعادة من مخزن خدمات الاسترداد المشفرة عبر CMKs، يمكنك اختيار تشفير البيانات المستعادة باستخدام مجموعة تشفير القرص (DES).

لا تنطبق التجربة التي يصفها هذا القسم إلا عند استعادة البيانات من خزائن CMK المشفرة. عند استعادة البيانات من مخزن لا يستخدم تشفير CMK، يتم تشفير البيانات المستعادة عبر PMKs. إذا قمت بالاستعادة من لقطة استرداد فورية، يتم تشفير البيانات المستعادة عبر الآلية التي استخدمتها لتشفير القرص المصدر.

استعادة قرص أو جهاز ظاهري

عند استرداد قرص أو جهاز ظاهري من نقطة استرداد لقطة ، يتم تشفير البيانات المستعادة باستخدام DES الذي استخدمته لتشفير أقراص الجهاز الظاهري المصدر.

عند استعادة قرص أو جهاز ظاهري من نقطة استرداد باستخدام نوع الاسترداد كمخزن، يمكنك اختيار تشفير البيانات المستعادة باستخدام DES الذي تحدده. بدلا من ذلك، يمكنك متابعة استعادة البيانات دون تحديد DES. في هذه الحالة، يتم تطبيق إعداد التشفير على الجهاز الظاهري.

أثناء الاستعادة عبر المناطق، تتم استعادة أجهزة Azure الظاهرية التي تدعم CMK (والتي لم يتم نسخها احتياطيا في مخزن خدمات الاسترداد الممكنة بواسطة CMK) كأجهزة ظاهرية غير ممكنة ل CMK في المنطقة الثانوية.

يمكنك تشفير القرص المستعاد أو الجهاز الظاهري بعد اكتمال الاستعادة، بغض النظر عن التحديد الذي قمت به عند بدء الاستعادة.

حدد مجموعة تشفير القرص أثناء الاستعادة من نقطة استرداد المخزن

اختر عميلاً:

مدخل Microsoft Azure

لتحديد DES ضمن الإعدادات التشفير في جزء الاستعادة، اتبع الخطوات التالية:

1. لتشفير القرص (الأقراص) باستخدام المفتاح الخاص بك؟، حدد نعم.

2. في القائمة المنسدلة مجموعة التشفير، حدد DES الذي تريد استخدامه للأقراص المستعادة. تأكد من أن لديك حق الوصول إلى DES.

إشعار

يتم دعم القدرة على اختيار DES أثناء الاستعادة إذا كنت تقوم باستعادة عبر المنطقة. ومع ذلك، فإنه غير مدعوم حاليا إذا كنت تستعيد جهازا ظاهريا يستخدم تشفير قرص Azure.

بوويرشيل

استخدم الأمر Get-AzRecoveryServicesBackupItem مع المعلمة -DiskEncryptionSetId <string> لتحديد DES لتشفير القرص المستعادة. لمزيد من المعلومات حول استعادة الأقراص من نسخة احتياطية للجهاز الظاهري، راجع هذه المقالة.

مثال:

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId "testdes1" -VaultId $vault.ID

المبادره القطريه

استخدم الأمر az backup restore restore-disks مع المعلمة -DiskEncryptionSetId <string> لتحديد DES لتشفير القرص المستعادة.

مثال:

az backup recoverypoint list --container-name MyContainer --item-name MyItem --resource-group MyResourceGroup --vault-name MyVault
az backup restore restore-disks --container-name MyContainer --disk-encryption-set-id testdes1 --item-name MyItem --resource-group MyResourceGroup --rp-name MyRp --storage-account mystorageaccount --vault-name MyVault

استعادة الملفات

عند إجراء استعادة ملف، يتم تشفير البيانات المستعادة بالمفتاح الذي استخدمته لتشفير الموقع الهدف.

قم باستعادة قواعد بيانات SAP Hana/SQL في Azure VMs

عند الاستعادة من قاعدة بيانات SAP HANA أو SQL Server التي تم نسخها احتياطيا والتي تعمل في جهاز Azure الظاهري، يتم تشفير البيانات المستعادة من خلال مفتاح التشفير الذي استخدمته في موقع التخزين الهدف. يمكن أن يكون CMK أو PMK يستخدم لتشفير أقراص الجهاز الظاهري.

مواضيع إضافية

تمكين التشفير باستخدام المفاتيح المدارة من قبل العميل في إنشاء المخزن (في المعاينة)

تمكين التشفير عند إنشاء المخزن باستخدام CMKs في معاينة عامة محدودة ويتطلب السماح بالقائمة للاشتراكات. للتسجيل في المعاينة، املأ النموذج واكتب إلينا على AskAzureBackupTeam@microsoft.com.

عند السماح باشتراكك، تظهر علامة التبويب تشفير النسخ الاحتياطي. يمكنك استخدام علامة التبويب هذه لتمكين التشفير على النسخ الاحتياطي باستخدام CMKs أثناء إنشاء مخزن خدمات الاسترداد الجديد.

لتمكين التشفير، اتبع الخطوات التالية:

1. في علامة التبويب تشفير النسخ الاحتياطي، حدد مفتاح التشفير والهوية المراد استخدامها للتشفير. الإعدادات تنطبق على النسخ الاحتياطي فقط، وهي اختيارية.

2. بالنسبة إلى Encryption type، حدد Use customer-managed key.

3. لتحديد المفتاح المراد استخدامه للتشفير، حدد الخيار المناسب لمفتاح التشفير. يمكنك توفير URI لمفتاح التشفير، أو استعراض المفتاح وتحديده.

   إذا قمت بتحديد المفتاح باستخدام الخيار تحديد من Key Vault ، يتم تمكين التشغيل التلقائي لمفتاح التشفير تلقائيا. تعرف على المزيد حول التشغيل التلقائي.

4. بالنسبة إلى الهوية، حدد الهوية المدارة المعينة من قبل المستخدم لإدارة التشفير باستخدام CMKs. اختر تحديد للاستعراض وصولا إلى الهوية المطلوبة وتحديدها.

5. إضافة علامات (اختياري) ومتابعة إنشاء المخزن.

تمكين التشغيل التلقائي لمفاتيح التشفير

لتحديد CMK لتشفير النسخ الاحتياطية، استخدم أحد الخيارات التالية:

• أدخل مفتاح URI
• حدد من Key Vault

يتيح استخدام الخيار تحديد من Key Vault إمكانية التشغيل التلقائي للمفتاح المحدد. يلغي هذا الخيار الجهد اليدوي للتحديث إلى الإصدار التالي. ومع ذلك، عند استخدام هذا الخيار:

• يمكن أن يستغرق التحديث إلى إصدار المفتاح ما يصل إلى ساعة حتى يصبح ساري المفعول.
• بعد أن يدخل التحديث الرئيسي حيز التنفيذ، يجب أن يكون الإصدار القديم متوفرا أيضا (في حالة تمكين) لمهمة نسخ احتياطي لاحقة واحدة على الأقل.

عند تحديد مفتاح التشفير باستخدام مفتاح URI الكامل، لن يتم تدوير المفتاح تلقائيا. تحتاج إلى إجراء تحديثات المفاتيح يدويا عن طريق تحديد المفتاح الجديد عند الحاجة. لتمكين التدوير التلقائي، قم بإزالة مكون الإصدار من مفتاح URI.

استخدام نهج Azure لتدقيق التشفير وفرضه عبر المفاتيح التي يديرها العميل (في المعاينة)

باستخدام Azure Backup، يمكنك استخدام نهج Azure لتدقيق وفرض تشفير البيانات في مخزن خدمات الاسترداد باستخدام CMKs. يمكنك استخدام نهج التدقيق لتدقيق المخازن المشفرة باستخدام CMKs التي تم تمكينها بعد 1 أبريل 2021.

بالنسبة إلى الخزائن التي تم تمكين تشفير CMK لها قبل 1 أبريل 2021، قد لا يتم تطبيق النهج أو قد تظهر نتائج سلبية خاطئة. أي أنه قد يتم الإبلاغ عن هذه الخزائن على أنها غير متوافقة على الرغم من تمكين تشفير CMK.

لاستخدام نهج التدقيق لمخازن التدقيق مع تمكين تشفير CMK قبل 1 أبريل 2021، استخدم مدخل Microsoft Azure لتحديث مفتاح تشفير. يساعدك هذا الأسلوب على الترقية إلى النموذج الجديد. إذا كنت لا تريد تغيير مفتاح التشفير، فقم بتوفير نفس المفتاح مرة أخرى من خلال مفتاح URI أو خيار تحديد المفتاح.

تحذير

إذا كنت تستخدم PowerShell لإدارة مفاتيح التشفير للنسخ الاحتياطي، فلا نوصي بتحديث مفتاح تشفير من المدخل. إذا قمت بتحديث مفتاح من المدخل، فلا يمكنك استخدام PowerShell لتحديث مفتاح التشفير حتى يتوفر تحديث PowerShell لدعم النموذج الجديد. ومع ذلك، يمكنك متابعة تحديث المفتاح من المدخل.

الأسئلة المتداولة

هل يمكنني تشفير مخزن نسخ احتياطي موجود باستخدام مفاتيح يديرها العميل؟

‏‏لا. يمكنك تمكين تشفير CMK للمخازن الجديدة فقط. يجب ألا يحتوي المخزن على أي عناصر محمية به. في الواقع، يجب عدم محاولة حماية أي عناصر إلى المخزن قبل تمكين التشفير باستخدام CMKs.

حاولت حماية عنصر إلى مخزني؛ لكنه فشل، والمخزن لا يزال لا يحتوي على أي عناصر محمية به. هل يمكنني تمكين تشفير CMK لهذا المخزن؟

‏‏لا. يجب ألا يكون للمخزن أي محاولات لحماية أي عناصر إليه في الماضي.

لدي مخزن يستخدم تشفير CMK. هل يمكنني العودة لاحقا إلى تشفير PMK حتى إذا كان لدي عناصر احتياطية محمية في المخزن؟

‏‏لا. بعد تمكين تشفير CMK، لا يمكنك العودة إلى استخدام PMKs. يمكنك تغيير المفاتيح وفقا لمتطلباتك.

هل ينطبق تشفير CMK للنسخ الاحتياطي لـ Azure أيضًا على استرداد موقع Azure؟

‏‏لا. تتناول هذه المقالة تشفير بيانات النسخ الاحتياطي فقط. لاسترداد موقع Azure، تحتاج إلى تعيين الخاصية بشكل منفصل كما هو متوفر من الخدمة.

لقد فاتني إحدى الخطوات الواردة في هذه المقالة وانتقلت لحماية مصدر البيانات الخاص بي. هل يمكنني الاستمرار في استخدام تشفير CMK؟

إذا لم تتبع الخطوات الواردة في المقالة وقمت بالمتابعة لحماية العناصر، فقد لا يتمكن المخزن من استخدام تشفير CMK. نوصي باستخدام قائمة الاختيار هذه قبل حماية العناصر.

هل يؤدي استخدام تشفير CMK إلى إضافة تكلفة النسخ الاحتياطية الخاصة بي؟

لا يؤدي استخدام تشفير CMK للنسخ الاحتياطي إلى أي تكاليف إضافية. ولكن قد تستمر في تحمل تكاليف استخدام خزنة المفاتيح الخاصة بك حيث يتم تخزين المفتاح الخاص بك.

الخطوات التالية

نظرة عامة على ميزات الأمان في Azure Backup