Copia de seguridad y restauración de máquinas virtuales de Azure cifradas

En este artículo se describe cómo realizar una copia de seguridad de máquinas virtuales (VM) Windows o Linux de Azure con discos cifrados, y cómo restaurarlas, mediante el servicio Azure Backup. Para más información, consulte Cifrado de copias de seguridad de VM de Azure.

Cifrado mediante claves administradas por la plataforma

De forma predeterminada, todos los discos de las máquinas virtuales se cifran automáticamente en reposo mediante claves administradas por la plataforma (PMK) que usan el cifrado del servicio de almacenamiento. Puede realizar una copia de seguridad de estas máquinas virtuales mediante Azure Backup sin ninguna acción específica necesaria para admitir el cifrado en su extremo. Para más información sobre el cifrado con claves administradas por la plataforma, consulte este artículo.

Cifrado con claves administradas por el cliente

Cuando cifre discos con claves administradas por el cliente (CMK), la clave que se utiliza para cifrar los discos se almacena en Azure Key Vault y la administra el usuario. El cifrado de Storage Service Encryption (SSE) mediante CMK difiere del cifrado de Azure Disk Encryption (ADE). ADE utiliza las herramientas de cifrado del sistema operativo. SSE cifra los datos en el servicio de almacenamiento, lo que permite utilizar cualquier sistema operativo o imagen para las máquinas virtuales.

No es necesario realizar ninguna acción explícita para la copia de seguridad o la restauración de máquinas virtuales que utilizan claves administradas por el cliente para cifrar los discos. Los datos de copia de seguridad de estas máquinas virtuales almacenadas en el almacén se cifrarán con los mismos métodos que el cifrado que se usa en el almacén.

Para más información sobre cifrado de discos administrados con claves administradas por el cliente, consulte este artículo.

Compatibilidad con cifrado mediante ADE

Azure Backup admite la copia de seguridad de máquinas virtuales de Azure que tengan cifrados sus discos del sistema operativo o de datos con Azure Disk Encryption (ADE). ADE usa BitLocker para el cifrado de máquinas virtuales Windows y la característica dm-crypt para máquinas virtuales Linux. ADE se integra con Azure Key Vault para administrar las claves de cifrado y los secretos del disco. Las claves de cifrado de claves (KEK) de Key Vault pueden usarse para agregar una capa adicional de seguridad, de forma que se cifran los secretos de cifrado antes de escribirlos en Key Vault.

Azure Backup puede realizar copias de seguridad de máquinas virtuales de Azure, y restaurarlas, mediante ADE con y sin la aplicación Microsoft Entra, como se resume en la tabla siguiente.

Tipo de disco de máquina virtual	ADE (BEK/dm-crypt)	ADE y KEK
No administrado	Sí	Sí
Administrado	Sí	Sí

• Aprenda más sobre ADE, Key Vault y KEK.
• Lea las preguntas más frecuentes sobre el cifrado de discos de máquina virtual de Azure.

Limitaciones

• Puede realizar una copia de seguridad de VM cifradas con ADE, y restaurarlas, en la misma suscripción.
• Azure Backup admite máquinas virtuales cifradas con claves independientes. Actualmente no se admite ninguna clave que forme parte de un certificado usado para cifrar una máquina virtual.
• Azure Backup admite la restauración entre regiones de máquinas virtuales de Azure cifradas en las regiones emparejadas de Azure. Para obtener más información, vea la matriz de compatibilidad.
• Las VM cifradas con ADE no se pueden recuperar a nivel de archivo o carpeta. Deberá recuperar toda la máquina virtual para restaurar archivos y carpetas.
• Al restaurar una VM, no puede usar la opción para reemplazar la VM existente en las VM cifradas con ADE. Esta opción solo se admite con discos administrados sin cifrar.

Antes de comenzar

Antes de empezar, haga lo siguiente:

1. Asegúrese de que tiene una o varias máquinas virtuales Windows o Linux con ADE habilitado.
2. Revise la matriz de compatibilidad para la copia de seguridad de máquinas virtuales de Azure.
3. Cree un almacén de Backup de Recovery Services si aún no tiene uno.
4. Si habilita el cifrado para máquinas virtuales que ya están habilitadas para la copia de seguridad, solo debe proporcionar al servicio Backup permisos para acceder al almacén de claves para que las copias de seguridad puedan continuar sin interrupciones. Más información sobre la asignación de estos permisos.

Además, hay un par de cosas que puede que deba hacer en algunas circunstancias:

• Instalar el agente de máquina virtual en la máquina virtual: Azure Backup realiza una copia de seguridad de máquinas virtuales de Azure instalando una extensión en el agente de máquina virtual de Azure que se ejecuta en la máquina. Si la VM se creó a partir de una imagen de Azure Marketplace, el agente se instala y se ejecuta. Si crea una máquina virtual personalizada o migra una máquina local, es posible que deba instalar el agente manualmente.

Configuración de una directiva de copia de seguridad

1. Si todavía no ha creado un almacén de copia de seguridad de Recovery Services, siga estas instrucciones.

2. Vaya a Centro de copias de seguridad y haga clic en +Copia de seguridad en la pestaña Información general.

   

3. Seleccione Azure Virtual Machines en Tipo de origen de datos y seleccione el almacén que ha creado, a continuación, haga clic en Continuar.

   

4. Seleccione la directiva que quiere asociar al almacén y, luego, seleccione Aceptar.

   • Una directiva de copia de seguridad especifica cuándo se realizan las copias de seguridad y cuánto tiempo se almacenan.
   • Los detalles de la directiva predeterminada se muestran en el menú desplegable.

   

5. Si no quiere usar la directiva predeterminada, seleccione Crear nueva y Crear una directiva personalizada.

6. En Máquinas virtuales, seleccione Agregar.

   

7. Elija las máquinas virtuales cifradas que quiere copiar mediante la directiva seleccionada y seleccione Aceptar.

   

8. Si usa Azure Key Vault, en la página del almacén, verá un mensaje que indica que Azure Backup necesita acceso de solo lectura a las claves y los secretos de Key Vault.

   • Si recibe este mensaje, no necesita hacer nada.

     

   • Si recibe este mensaje, debe establecer los permisos tal como se describe en el siguiente procedimiento.

     

9. Haga clic en Habilitar copia de seguridad para implementar la directiva de copia de seguridad en el almacén y habilitar la copia de seguridad para las máquinas virtuales seleccionadas.

Copia de seguridad de máquinas virtuales cifradas de ADE con almacenes de claves habilitados para RBAC

Para habilitar las copias de seguridad de las máquinas virtuales cifradas por ADE con almacenes de claves habilitados para RBAC de Azure, debe asignar el rol Administrador de Key Vault a la aplicación de Microsoft Entra del servicio de administración de copias de seguridad mediante la adición de una asignación de rol en Control de acceso del almacén de claves.

Obtenga información sobre los distintos roles disponibles. El rol Administrador de Key Vault puede conceder permisos para obtener, enumerar y realizar copias de seguridad tanto del secreto como de la clave.

En el caso de los almacenes de claves habilitados para RBAC de Azure, puede crear un rol personalizado con el conjunto de permisos siguiente. Aprenda cómo crear un rol personalizado.

Acción	Descripción
Microsoft.KeyVault/vaults/keys/backup/action	Crea el archivo de copia de seguridad de una clave.
Microsoft.KeyVault/vaults/secrets/backup/action	Crea el archivo de copia de seguridad de un secreto.
Microsoft.KeyVault/vaults/secrets/getSecret/action	Obtiene el valor de un secreto.
Microsoft.KeyVault/vaults/keys/read	Muestra las claves del almacén especificado o las propiedades de lectura y los materiales públicos.
Microsoft.KeyVault/vaults/secrets/readMetadata/action	Permite enumerar o ver las propiedades de un secreto, pero no sus valores.

"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Desencadenamiento de un trabajo de copia de seguridad

La copia de seguridad inicial se ejecutará según la programación, peor puede ejecutarla inmediatamente de la manera siguiente:

1. Vaya al Centro de copias de seguridad y seleccione el elemento de menú Instancias de Backup.
2. Seleccione Azure Virtual Machines como Tipo de origen de datos y busque la VM que configuró para la copia de seguridad.
3. Haga clic con el botón derecho en la fila pertinente o seleccione el icono de más (…) y haga clic en Realizar copia de seguridad ahora.
4. En Realizar copia de seguridad ahora, use el control del calendario para seleccionar el último día que debería retenerse el punto de recuperación. Después, seleccione Aceptar.
5. Supervise las notificaciones del portal. Para supervisar el progreso del trabajo, vaya a Centro de copias de seguridad>Trabajos de copia de seguridad y filtre la lista por trabajos En curso. Según el tamaño de la máquina virtual, la creación de la copia de seguridad inicial puede tardar un tiempo.

Proporcionar los permisos

Azure Backup necesita acceso de solo lectura para realizar la copia de seguridad de las claves y los secretos, junto con las máquinas virtuales asociadas.

• El almacén de claves está asociado con el inquilino de Microsoft Entra de la suscripción de Azure. Si es un usuario miembro, Azure Backup adquiere el acceso al almacén de claves sin realizar más acciones.
• Si es un usuario invitado, debe proporcionar permisos para que Azure Backup acceda al almacén de claves. Debe tener acceso a los almacenes de claves para configurar Backup para VM cifradas.

Para proporcionar permisos de RBAC de Azure en Key Vault, consulte este artículo.

Para establecer los permisos:

1. En Azure Portal, seleccione Todos los servicios y busque Almacenes de claves.

2. Seleccione el almacén de claves asociado a la máquina virtual cifrada que va a copiar.

   Sugerencia

   Para identificar el almacén de claves asociado a una VM, use el siguiente comando de PowerShell. Sustituya el nombre del grupo de recursos y el nombre de la VM:

   Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

   Busque el nombre del almacén de claves en esta línea:

   SecretUrl : https://<keyVaultName>.vault.azure.net

3. Seleccione Directivas de acceso>Agregar directiva de acceso.

   

4. En Agregar directiva de acceso>Configurar a partir de una plantilla (opcional) , seleccione Azure Backup.

   • Los permisos necesarios se rellenan previamente en Permisos clave y Permisos de secretos.
   • Si la máquina virtual está cifrada con solo BEK, quite la selección de permisos de clave puesto que solo necesita permisos para secretos.

   

5. Seleccione Agregar. Backup Management Service (Servicio de administración de copias de seguridad) se agrega a Directivas de acceso.

   

6. Seleccione Guardar para proporcionar a Azure Backup los permisos.

También puede establecer la directiva de acceso mediante PowerShell o la CLI.

Pasos siguientes

Copia de seguridad y restauración de máquinas virtuales de Azure cifradas

Si experimenta algún problema, consulte estos artículos:

• Errores comunes al realizar una copia de seguridad de máquinas virtuales de Azure cifradas y restaurarlas.
• Problemas de la extensión de copia de seguridad o del agente de máquina virtual de Azure.