Vertrauliche VM mithilfe von Azure Backup wiederherstellen (Vorschau)

Von Bedeutung

Azure Backup für vertrauliche virtuelle Maschinen (VMs) befindet sich derzeit in der öffentlichen Vorschau. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

In diesem Artikel wird beschrieben, wie Mit Platform Managed Key (PMK) oder CMK (Customer Managed Key) verschlüsselte vertrauliche VM (CVM) mithilfe von Azure Backup wiederhergestellt wird. Es behandelt Wiederherstellungsszenarien basierend auf Verschlüsselungsschlüssel- und Datenträgerverschlüsselungssatzzuständen (Disk Encryption Set, DES) und stellt das Wiederherstellungsverfahren für Wiederherstellungsfehler bereit. Außerdem wird das Verfahren zum Extrahieren von Verschlüsselungsdetails des virtuellen Computers, zum Wiederherstellen fehlender Schlüssel und zum Zuweisen der erforderlichen Berechtigungen bereitgestellt.

Erfahren Sie mehr über die unterstützten Szenarien für die Sicherung vertraulicher VM.

Voraussetzungen

Bevor Sie den Wiederherstellungsvorgang für vertrauliche VMs starten, stellen Sie sicher, dass die Wiederherstellungspunkte im Recovery Services-Tresor verfügbar sind.

Wiederherstellen von Szenarien für einen vertraulichen virtuellen Computer

Das Verhalten der Confidential-VM-Wiederherstellung hängt vom Status des DES, des Key Vault und der Schlüssel zum Zeitpunkt der Wiederherstellung ab. Zu den wichtigsten Wiederherstellungsszenarien gehören:

• Originalschlüssel oder Schlüsselversion intakt: Die Wiederherstellung ist erfolgreich, wenn der ursprüngliche Datenträgerverschlüsselungssatz (DISK Encryption Set, DES) und der Schlüssel intakt bleiben.
• Schlüsseldrehung: Die Wiederherstellung ist erfolgreich, wenn eine neue Schlüsselversion aktiv ist, vorausgesetzt, die vorherige Schlüsselversion ist nicht abgelaufen oder gelöscht.
• Schlüsseländerung: Wenn der DES einen neuen Schlüssel im gleichen Key Vault verwendet, ist die Wiederherstellung nur dann erfolgreich, wenn der ursprüngliche Schlüssel, der bei der Sicherung verwendet wurde, noch existiert. Er schlägt fehl, wenn der ursprüngliche Schlüssel gelöscht wird. Wenn Sie einen anderen Schlüsseltresor verwenden, sollte er auf denselben Schlüssel wie der ursprüngliche Schlüssel verweisen.
• DES oder Schlüssel gelöscht: Die Wiederherstellung schlägt mit Fehlern wie UserErrorDiskEncryptionSetDoesNotExist oder UserErrorDiskEncryptionSetKeyDoesNotExist fehl. Um zu lösen, erstellen Sie den Schlüssel und DES erneut mithilfe der wiederhergestellten Schlüsseldaten und versuchen Sie dann erneut die Wiederherstellung.
• Eingabe DES bereitgestellt: Wenn Sie einen neuen DES bereitstellen, der aus wiederhergestellten Schlüsseldaten erstellt wurde, wird die Wiederherstellung erfolgreich ausgeführt, wenn der Schlüssel und die Version mit den zur Sicherungszeit verwendeten übereinstimmen.
• Nicht übereinstimmender DES oder Schlüssel: Die Wiederherstellung schlägt mit UserErrorInputDESKeyDoesNotMatchWithOriginalKey fehl. Um diesen Fehler zu beheben, stellen Sie die fehlenden Schlüssel wieder her.

Erfahren Sie, wie Sie fehlende Schlüssel für die Wiederherstellung vertraulicher VM wiederherstellen.

Wiederherstellen einer vertraulichen VM

Wiederherstellen mit ursprünglichem Schlüssel intakt

Während des Wiederherstellungsvorgangs können Sie fortfahren, ohne eine Datenträgerverschlüsselungssatzeingabe bereitzustellen, wenn der ursprüngliche vom Kunden verwaltete Schlüssel (CUSTOMER Managed Key, CMK), Key Vault, mHSM und DES verfügbar sind. In diesen Szenarien können Sie den Wiederherstellungsvorgang wie gewohnt fortsetzen. Erfahren Sie, wie Sie eine Azure-VM wiederherstellen.

Wiederherstellen, wenn der ursprüngliche Schlüssel gedreht, verloren geht oder kompromittiert wird

Der Wiederherstellungsvorgang schlägt fehl, wenn der ursprüngliche CMK-, Key Vault-, mHSM- oder DES-Verweis auf das CMK nicht verfügbar ist oder wenn die Sicherung nicht auf das ursprüngliche CMK zugreifen kann. In solchen Fällen schlägt der anfängliche Wiederherstellungsversuch fehl, und der CVM wird nicht wiederhergestellt. Führen Sie die folgenden Schritte aus, um dies zu beheben:

1. Lösen Sie den ersten Wiederherstellungsvorgang aus, ohne den Datenträgerverschlüsselungssatz anzugeben. Dieser Versuch schlägt aufgrund des fehlenden Schlüssels fehl, führt jedoch dazu, dass der Schlüssel im Speicherkonto wiederhergestellt wird.
2. Stellen Sie nach diesem Vorgang den vom Kunden verwalteten Schlüssel wieder her, der von Azure Backup gesichert wurde, und erstellen Sie dann einen neuen DES, der auf den wiederhergestellten Schlüssel verweist. Erfahren Sie, wie Sie fehlende Schlüssel wiederherstellen und erforderliche Berechtigungen zuweisen.
3. Initiieren Sie den Wiederherstellungsvorgang erneut auf der Seite "Wiederherstellen", dieses Mal, wenn Sie den entsprechenden Datenträgerverschlüsselungssatz eingeben.

Hinweis

Die Wiederherstellung von einem anderen DES - auch wenn dieser den richtigen Schlüssel verwendet - wird aktuell von den Wiederherstellungspunkten der reinen Snapshot-Tiere nicht unterstützt.

Wiederherstellen fehlender Schlüssel für die Wiederherstellung vertraulicher VM

Wenn der Wiederherstellungsvorgang fehlschlägt, müssen Sie die Von Azure Backup gesicherten Schlüssel wiederherstellen.

Führen Sie die folgenden Schritte aus, um den Schlüssel mithilfe von PowerShell wiederherzustellen:

1. Um den Tresor auszuwählen, der den geschützten CVM + CMK enthält, geben Sie die Ressourcengruppe und den Namen des Tresors in das Cmdlet ein, und führen Sie dann das Cmdlet aus.

   $vault = Get-AzRecoveryServicesVault -ResourceGroupName "<vault-rg>" -Name "<vault-name>"
   

2. Führen Sie das folgende Cmdlet aus, um alle fehlgeschlagenen Wiederherstellungsaufträge aus den letzten sieben Tagen aufzulisten. Wenn Sie ältere Aufträge abrufen möchten, aktualisieren Sie den Tagesbereich im Cmdlet.

   $Jobs = Get-AzRecoveryServicesBackupJob -From (Get-Date).AddDays(-7).ToUniversalTime() -Status Failed -Operation Restore -VaultId $vault.ID
   

3. Führen Sie das folgende Cmdlet aus, um den fehlgeschlagenen Wiederherstellungsauftrag aus dem Ergebnis auszuwählen und die Auftragsdetails abzurufen:

   Beispiel

   $JobDetails = Get-AzRecoveryServicesBackupJobDetail -Job $Jobs[0] -VaultId $vault.ID
   

4. Führen Sie das folgende Cmdlet aus, um alle erforderlichen Parameter abzurufen, die für die Wiederherstellung von Schlüsseln aus den Auftragsdetails erforderlich sind:

   $properties = $JobDetails.properties
   $storageAccountName = $properties["Target Storage Account Name"]
   $containerName = $properties["Config Blob Container Name"]
   $securedEncryptionInfoBlobName = $properties["Secured Encryption Info Blob Name"]
   

5. Um das für die Wiederherstellung verwendete Zielspeicherkonto auszuwählen, geben Sie dessen Ressourcengruppe im folgenden Cmdlet ein, und führen Sie dann das Cmdlet aus:

   Set-AzCurrentStorageAccount -Name $storageaccountname -ResourceGroupName '<storage-account-rg >'
   

6. Führen Sie das folgende Cmdlet aus, um die JSON-Konfigurationsdatei wiederherzustellen, die wichtige Details für CVM mit CMK enthält:

   $destination_path = 'C:\cvmcmkencryption_config.json'
   Get-AzStorageBlobContent -Blob $securedEncryptionInfoBlobName -Container $containerName -Destination $destination_path
   $encryptionObject = Get-Content -Path $destination_path | ConvertFrom-Json 
   

7. Nachdem die JSON-Datei im zuvor erwähnten Zielpfad generiert wurde, generieren Sie eine Schlüssel-BLOB-Datei aus den JSON-Daten, indem Sie das folgende Cmdlet ausführen:

   $keyDestination = 'C:\keyDetails.blob'
   [io.file]::WriteAllBytes($keyDestination, [System.Convert]::FromBase64String($encryptionObject.OsDiskEncryptionDetails.KeyBackupData)) 
   

8. Führen Sie zum Wiederherstellen des Schlüssels im Key Vault- oder Managed Hardware Security Module (HSM) das folgende Cmdlet aus:

   Restore-AzKeyVaultKey -VaultName '<target_key_vault_name> ' -InputFile $keyDestination
   For MHSM Use,  
   Restore-AzKeyVaultKey -HsmName '<target_mhsm_name>' -InputFile $keyDestination
   

Jetzt können Sie einen neuen DES mit Verschlüsselungstyp als Verschlüsselungstyp vertraulicher Datenträger mit CMK erstellen, der auf den wiederhergestellten Schlüssel verweisen soll. Dieser DES sollte über ausreichende Berechtigungen verfügen, um eine erfolgreiche Wiederherstellung durchzuführen. Wenn Sie einen neuen Key Vault oder verwaltetes HSM zum Wiederherstellen des Schlüssels verwenden, verfügt der Sicherungsverwaltungsdienst über genügend Berechtigungen dafür. Erfahren Sie, wie Sie Berechtigungen für key Vault oder verwalteten HSM-Zugriff erteilen.

Zuweisen von Berechtigungen für DES und den Confidential Guest VM-Agent zur Wiederherstellung

Datenträgerverschlüsselungssatz und vertraulicher Gast-VM-Agent benötigen Berechtigungen für den Key Vault oder verwaltete HSM. Führen Sie die folgenden Schritte aus, um die Berechtigungen zu erteilen:

Für Den Schlüsseltresor: Um dem Schlüsseltresor Berechtigungen zu erteilen, können Sie die folgenden Schritte in der Dokumentation ausführen oder die folgenden Schritte ausführen:

1. Navigieren Sie zur Instanz des Datenträgerverschlüsselungssatzes.
2. Wählen Sie die Nachricht Um einen Datenträger, ein Image oder einen Snapshot mit diesem Set zur Festplattenverschlüsselung zu verknüpfen, müssen Sie Berechtigungen für den Key Vault festlegen und Berechtigungen gewähren.

Für Managed HSM: Führen Sie die folgenden Schritte aus, um dem Managed HSM Berechtigungen zu erteilen:

1. Weisen Sie den neu erstellten DES der Rolle „Managed HSM Crypto User“ zu:

   1. Wechseln Sie im Azure-Portal zu verwalteten HSM-Einstellungen>, und wählen Sie dann lokale RBAC aus.
   2. Um eine neue Rollenzuweisung hinzuzufügen, wählen Sie "Hinzufügen" aus.
   3. Wählen Sie unter "Rolle" die verwaltete HSM-Kryptobenutzerrolle aus.
   4. Wählen Sie unter "Bereich" den wiederhergestellten Schlüssel aus. Sie können auch "Alle Tasten" auswählen.
   5. Wählen Sie für den Sicherheitsprinzipal die Option Neu erstellter DES aus.

2. Weisen Sie dem Vertraulichen Gast-VM-Agent erforderliche Berechtigungen zum Starten von CVM zu:

   1. Wechseln Sie im Azure-Portal zu verwalteten HSM-Einstellungen>, und wählen Sie dann lokale RBAC aus.
   2. Um eine neue Rollenzuweisung hinzuzufügen, wählen Sie "Hinzufügen" aus.
   3. Wählen Sie unter "Rolle" den Verwalteten HSM-Kryptodienstverschlüsselungsbenutzer aus.
   4. Wählen Sie unter "Bereich" den wiederhergestellten Schlüssel aus. Sie können auch "Alle Tasten" auswählen.
   5. Wählen Sie im Sicherheitsprinzipal den Vertraulichen Gast-VM-Agent aus.

Verwandte Inhalte

• Unterstützungsmatrix für die Sicherung vertraulicher VM.
• Sichern Sie CVM mithilfe von Azure Backup (Vorschau).