Cifrado de datos de copia de seguridad mediante claves administradas por el cliente

Azure Backup le permite cifrar los datos de copia de seguridad con claves administradas por el cliente (CMK) en lugar de usar claves administradas por la plataforma, que están habilitadas de manera predeterminada. Las claves cifran los datos de copia de seguridad que deben almacenarse en Azure Key Vault.

La clave de cifrado utilizada para cifrar las copias de seguridad puede ser diferente de la que se usa para el origen. Los datos están protegidos con una clave de cifrado de datos basada en AES 256 (DEK), que a su vez está protegida con las claves de cifrado de claves (KEK). Esto le proporciona control total sobre los datos y las claves. Para permitir el cifrado, debe conceder al almacén de Recovery Services los permisos para obtener acceso a la clave de cifrado en Azure Key Vault. Puede cambiar la clave cuando sea necesario.

En este artículo, aprenderá a:

• Creación de un almacén de Recovery Services
• Configuración del almacén de Recovery Services para cifrar los datos de copia de seguridad con claves administradas por el cliente (CMK)
• Hacer una copia de seguridad de almacenes cifrados con claves administradas por el cliente
• Restaurar datos de copias de seguridad

Antes de comenzar

• Esta característica le permite cifrar solo nuevos almacenes de Recovery Services. No se admiten los almacenes que contienen elementos existentes registrados o que se intentaron registrar en estos.

• Una vez habilitado para un almacén de Recovery Services, el cifrado con claves administradas por el cliente no se puede revertir para usar claves administradas por la plataforma (predeterminadas). Puede cambiar las claves de cifrado según los requisitos.

• Actualmente, esta característica no admite la copia de seguridad mediante el agente de MARS, y es posible que no pueda usar un almacén cifrado por CMK para este. El agente de MARS usa un cifrado basado en una frase de contraseña del usuario. Esta característica tampoco admite la copia de seguridad de máquinas virtuales clásicas.

• Esta característica no está relacionada con Azure Disk Encryption, que usa el cifrado basado en invitados del disco de una máquina virtual con BitLocker (para Windows) y DM-Crypt (para Linux).

• El almacén de Recovery Services solo se puede cifrar con las claves almacenadas en Azure Key Vault, que se encuentra en la misma región. Además, las claves deben ser solo claves de RSAcompatibles y deben estar en estado habilitado.

• Actualmente no se admite la migración del almacén de Recovery Services cifrado de CMK entre grupos de recursos y suscripciones.

• Actualmente, los almacenes de Recovery Services cifrados con claves administradas por el cliente no admiten la restauración entre regiones de las instancias de copia de seguridad.

• Al trasladar un almacén de Recovery Services ya cifrado con claves administradas por el cliente a un nuevo inquilino, deberá actualizar el almacén de Recovery Services para volver a crear y configurar la identidad administrada del almacén y la clave administrada por el cliente (que debe estar en el nuevo inquilino). Si esto no se hace, se producirán errores en las operaciones de copia de seguridad y restauración. Además, los permisos del control de acceso basado en roles de Azure (Azure RBAC) que se hayan configurado en la suscripción deberán volver a configurarse.

• Esta característica se puede configurar mediante Azure Portal y PowerShell.

  Nota:

  Use el módulo Az 5.3.0 o posterior para usar las claves administradas por el cliente para realizar copias de seguridad en el almacén de Recovery Services.

  Advertencia

  Si usa PowerShell para administrar claves de cifrado para copia de seguridad, no se recomienda actualizar las claves desde el portal.
  Si actualiza la clave desde el portal, no puede usar PowerShell para actualizar también la clave de cifrado hasta que esté disponible una actualización de PowerShell que admita el nuevo modelo. Sin embargo, puede seguir actualizando la clave desde Azure Portal.

Si no ha creado y configurado el almacén de Recovery Services, vea cómo hacerlo aquí.

Configurar un almacén para cifrar con claves administradas por el cliente

Para configurar un almacén, realice las siguientes acciones en la secuencia dada para lograr los resultados previstos. Cada acción se describe detalladamente en las secciones siguientes:

1. Habilitación de la identidad administrada para el almacén de Recovery Services.

2. Asigne permisos al almacén para obtener acceso a la clave de cifrado en Azure Key Vault.

3. Habilite la protección contra eliminación y purga en Azure Key Vault.

4. Asignación de la clave de cifrado al almacén de Recovery Services,

Habilitación de la identidad administrada para el almacén de Recovery Services

Azure Backup usa identidades administradas asignadas por el sistema e identidades administradas asignadas por el usuario para autenticar el almacén de Recovery Services para obtener acceso a las claves de cifrado almacenadas en Azure Key Vault. Para habilitar la identidad administrada para el almacén de Recovery Services, siga estos pasos:

Nota:

Una vez habilitada, no debe deshabilitar la identidad administrada (incluso temporalmente). Deshabilitar la identidad administrada puede provocar un comportamiento incoherente.

Habilitación de una identidad administrada asignada por el sistema en el almacén

Elija un cliente:

Azure Portal

1. Vaya al almacén de Recovery Services ->Identidad

   

2. Vaya a la pestaña Asignado por el sistema.

3. Cambie el estado a Activado.

4. Haga clic en Guardar para habilitar la identidad en el almacén.

Se genera un identificador de objeto, que es la identidad administrada del almacén.

Nota:

Una vez habilitada, la identidad administrada no debe deshabilitarse (ni siquiera temporalmente). Deshabilitar la identidad administrada puede provocar un comportamiento incoherente.

PowerShell

Use el comando Update-AzRecoveryServicesVault para habilitar la identidad administrada asignada por el sistema para el almacén de Recovery Services.

Ejemplo:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault

$vault.Identity | fl

Salida:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

Use el comando az backup vault identity assign para habilitar la identidad administrada asignada por el sistema para el almacén de Recovery Services.

Ejemplo:

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

Salida:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Asignación de una identidad administrada asignada por el usuario al almacén (en versión preliminar)

Nota:

• Los almacenes que usan identidades administradas asignadas por el usuario para el cifrado de CMK no admiten el uso de puntos de conexión privados para Backup.
• Aún no se admite el uso conjunto de almacenes de Azure Key Vault que limitan el acceso a redes específicas e identidades administradas asignadas por el usuario para el cifrado de CMK.

Para asignar la identidad administrada asignada por el usuario para el almacén de Recovery Services, elija un cliente:

Azure Portal

1. Vaya al almacén de Recovery Services ->Identidad

   

2. Vaya a la pestaña Asignado por el usuario.

3. Haga clic en + Agregar para agregar una identidad asignada por el usuario.

4. En la hoja Agregar identidad administrada asignada por el usuario que se abre, seleccione la suscripción de la identidad.

5. Seleccione la identidad de la lista. También puede filtrar por el nombre de la identidad o el grupo de recursos.

6. Una vez hecho esto, haga clic en Agregar para terminar de asignar la identidad.

PowerShell

Use el comando Update-AzRecoveryServicesVault para habilitar la identidad administrada asignada por el usuario para el almacén de Recovery Services.

Ejemplo:

$vault = Get-AzRecoveryServicesVault -Name "vaultName" -ResourceGroupName "resourceGroupName"
$identity1 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity1"
$identity2 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity2"
$updatedVault = Update-AzRecoveryServicesVault -ResourceGroupName $vault.ResourceGroupName -Name $vault.Name -IdentityType UserAssigned -IdentityId $identity1.Id, $identity2.Id

$updatedVault.Identity | fl

Salida:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity1, Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity],[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity2,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

CLI

Use el comando az backup vault identity assign para habilitar la identidad administrada asignada por el sistema para el almacén de Recovery Services.

Ejemplo:

az backup vault identity assign --user-assigned MyIdentityId1 --resource-group MyResourceGroup --name MyVault

Salida:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyIdentityId1,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

Asignar permisos al almacén de Recovery Services para obtener acceso a la clave de cifrado en Azure Key Vault

Nota:

Si usa identidades asignadas por el usuario, se deben asignar los mismos permisos a la identidad asignada por el usuario.

Ahora debe permitir que el almacén de Recovery Services tenga acceso al almacén de Azure Key Vault que contiene la clave de cifrado. Para ello, se permite que la identidad administrada del almacén de Recovery Services tenga acceso al almacén de Key Vault.

Elija un cliente:

Azure Portal

1. Vaya a Azure Key Vault: >Directivas de acceso. Continúe a +Add Access Policies (+Agregar directivas de acceso).

   

2. En Permisos de clave, seleccione las operaciones Obtener, Enumerar, Encapsular clave y Desencapsular clave. Esto especifica las acciones de la clave que se permitirán.

   

3. Vaya a Seleccionar la entidad de seguridad y busque el almacén en el cuadro de búsqueda con su nombre o identidad administrada. Una vez que se muestra, seleccione el almacén y elija Seleccionar en la parte inferior del panel.

   

4. A continuación, seleccione Agregar para agregar la nueva directiva de acceso.

5. Seleccione Guardar para guardar los cambios realizados en la directiva de acceso de Azure Key Vault.

Nota:

También puede asignar un rol RBAC al almacén de Recovery Services que contiene los permisos mencionados anteriormente, como el rol Agente criptográfico de Key Vault .

Estos roles pueden contener permisos adicionales distintos de los descritos anteriormente.

PowerShell

Use el comando Get-AzADServicePrincipal para obtener el id. principal del almacén de Recovery Services y, después, use este id. en el comando Get-AzADServicePrincipal para establecer una directiva de acceso para el almacén de claves.

Ejemplo:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

CLI

Use el comando az ad sp list para obtener el id. principal del almacén de Recovery Services y, a continuación, use este id. en el comando az keyvault set-policy para establecer una directiva de acceso para el almacén de claves.

Ejemplo:

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

Habilite la protección contra eliminación y purga en Azure Key Vault

Debe habilitar la eliminación temporal y la protección de purga en el almacén de Azure Key Vault que almacena la clave de cifrado.

Para habilitar la protección de eliminación y purga, elija un cliente:

Azure Portal

Puede hacerlo desde la interfaz de usuario de Azure Key Vault, como se muestra a continuación. Como alternativa, puede establecer estas propiedades al crear el almacén de claves. Obtenga más información sobre estas propiedades del almacén de claves.

PowerShell

1. Inicie sesión en la cuenta de Azure.

   Login-AzAccount
   

2. Seleccione la suscripción que contiene el almacén.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Habilitación de la eliminación temporal

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Habilitación de la protección de purga

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

CLI

1. Inicie sesión en la cuenta de Azure.

   az login
   

2. Seleccione la suscripción que contiene el almacén.

   az account set --subscription "Subscription1"
   

3. Habilitación de la eliminación temporal

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Habilitación de la protección de purga

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
   
   

Asignar clave de cifrado al almacén de Recovery Services

Nota:

Compruebe los siguientes puntos antes de continuar:

• Todos los pasos mencionados con anterioridad se han completado correctamente:
  • La identidad administrada del almacén de Recovery Services se ha habilitado y se le han asignado los permisos necesarios
  • El almacén de Azure Key Vault tiene habilitadas la eliminación temporal y la protección de purga.
• El almacén de Recovery Services para el que desea habilitar el cifrado de CMK no tiene elementos protegidos ni registrados en él.

Una vez comprobado lo anterior, continúe con la selección de la clave de cifrado para el almacén.

Para asignar la clave y seguir los pasos, elija un cliente:

Azure Portal

1. Vaya al almacén de Recovery Services: >Propiedades

   

2. Seleccione Actualizar en Configuración de cifrado.

3. En el panel Configuración de cifrado, seleccione Usar su propia clave y continúe especificando la clave mediante una de las siguientes formas.

   Asegúrese de que utiliza una clave de RSA, que está en estado habilitado.

   1. Escriba el URI de clave con el que quiere cifrar los datos de este almacén de Recovery Services. También debe especificar la suscripción en la que está presente el almacén de Azure Key Vault (que contiene esta clave). Este URI de clave se puede obtener a partir de la clave correspondiente en el almacén de Azure Key Vault. Asegúrese de que el URI de la clave se copia correctamente. Se recomienda usar el botón Copiar en el Portapapeles proporcionado con el identificador de clave.

      Nota:

      Al especificar la clave de cifrado mediante el URI completo de la clave, la clave no se rotará automáticamente y deberá actualizar las claves manualmente especificando la nueva clave cuando sea necesario. Como alternativa, quite el componente de versión del URI de la clave para aplicar la rotación automática.

      

   2. Busque y seleccione la clave en el almacén de Key Vault en el panel del selector de claves.

      Nota:

      Al especificar la clave de cifrado mediante el panel Selector de claves, la clave rotará automáticamente cada vez que se habilite una versión nueva de la clave. Más información sobre la habilitación de la rotación automática de claves de cifrado.

      

4. Seleccione Guardar.

5. Seguimiento del progreso y estado de la actualización de la clave de cifrado: puede llevar un seguimiento del progreso y el estado de la asignación de la clave de cifrado mediante la vista Trabajos de copia de seguridad de la barra de navegación de la izquierda. El estado pronto debería cambiar a Correcto. El almacén cifrará ahora todos los datos con la clave especificada como KEK.

   

   Las actualizaciones de la clave de cifrado también se registran en el registro de actividad del almacén.

   

PowerShell

Use el comando Set-AzRecoveryServicesVaultProperty para habilitar el cifrado mediante claves administradas por el cliente y para asignar o actualizar la clave de cifrado que se va a usar.

Ejemplo:

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

Salida:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

CLI

Use el comando az backup vault encryption update para habilitar el cifrado con claves administradas por el cliente y para asignar o actualizar la clave de cifrado que se va a usar.

Ejemplo:

az backup vault encryption update --encryption-key-id MyEncryptionKeyId --mi-system-assigned --resource-group MyResourceGroup --name MyVault

Salida:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

Nota

El proceso para actualizar o cambiar la clave de cifrado sigue siendo el mismo. Si desea actualizar y usar una clave de otro almacén de Key Vault (diferente del que se está usando actualmente), asegúrese de lo siguiente:

• El almacén de claves se encuentra en la misma región que el almacén de Recovery Services.

• El almacén de claves tiene habilitadas la eliminación temporal y la protección de purga.

• El almacén de Recovery Services tiene los permisos necesarios para obtener acceso al almacén de claves.

Hacer una copia de seguridad en un almacén cifrado con claves administradas por el cliente

Antes de continuar con la configuración de la protección, recomendamos encarecidamente verificar que se cumplen los puntos de la siguiente lista de comprobación. Es importante porque una vez que se haya configurado un elemento para que se haga una copia de seguridad de él (o se haya intentado la configuración) en un almacén cifrado que no es CMK, no se podrá habilitar el cifrado mediante claves administradas por el cliente y se seguirán usando claves administradas por la plataforma.

Importante

Antes de continuar con la configuración de la protección, debe haber completado correctamente los siguientes pasos:

1. Se creó el almacén de Recovery Services.
2. Se habilitó la identidad administrada asignada por el sistema del almacén de Recovery Services o se utilizó una identidad administrada asignada por el usuario para el almacén.
3. Se asignaron permisos al almacén de Recovery Services (o a la identidad administrada asignada por el usuario) para acceder a las claves de cifrado desde Key Vault.
4. Se habilitó la eliminación temporal y la protección de purga para el almacén de Key Vault.
5. Se asignó una clave de cifrado válida para el almacén de Recovery Services.

Si se han confirmado todos los pasos anteriores, siga con la configuración de la copia de seguridad.

El proceso para configurar y realizar copias de seguridad en un almacén de Recovery Services cifrado con claves administradas por el cliente es igual que para un almacén que usa claves administradas por la plataforma, sin cambios en la experiencia. Esto se aplica igualmente a la copia de seguridad de máquinas virtuales de Azure, así como a la copia de seguridad de cargas de trabajo que se ejecutan dentro de una máquina virtual (por ejemplo, bases de datos de SAP HANA o SQL Server).

Restaurar datos de la copia de seguridad

Copia de seguridad de máquinas virtuales

Los datos almacenados en el almacén de Recovery Services se pueden restaurar según los pasos descritos aquí. Al restaurar desde un almacén de Recovery Services cifrado con claves administradas por el cliente, puede optar por cifrar los datos restaurados con un conjunto de cifrado de disco (DES).

Restauración de máquina virtual o disco.

1. Al recuperar el disco o la VM desde un punto de recuperación de Instantánea, los datos restaurados se cifrarán con el DES que se usó para cifrar los discos de la VM de origen.

2. Al restaurar el disco o la máquina virtual desde un punto de recuperación con el tipo de recuperación como "Almacén", puede elegir que los datos restaurados se cifren mediante un DES, que se especifica en el momento de la restauración. Como alternativa, puede optar por continuar con la restauración de los datos sin especificar un DES, en cuyo caso se cifrarán mediante claves administradas por Microsoft.

3. Durante la restauración entre regiones, las máquinas virtuales de Azure habilitadas para CMK (claves administradas por el cliente), de las que no se hace una copia de seguridad en un almacén de Recovery Services habilitado para CMK, se restauran como máquinas virtuales no habilitadas para CMK en la región secundaria.

Puede cifrar el disco o la máquina virtual restaurados una vez completada la restauración, independientemente de la selección realizada al inicio del proceso.

Selección de un conjunto de cifrado de discos durante la restauración desde el punto de recuperación del almacén

Elija un cliente:

Azure Portal

Para especificar el conjunto de cifrado de disco en Configuración en el panel de restauración, siga estos pasos:

1. En Encrypt disk(s) using your key (Cifrar discos con su clave), seleccione Sí.

2. En el menú desplegable, seleccione el DES que quiere usar para los discos restaurados. Asegúrese de que tiene acceso al DES.

Nota:

No es posible elegir un DES durante la restauración si va a restaurar una máquina virtual que usa Azure Disk Encryption.

PowerShell

Use el comando Get-AzRecoveryServicesBackupItem con el parámetro [-DiskEncryptionSetId <string>] para especificar el DES que se usará para cifrar el disco restaurado. Para más información sobre cómo restaurar discos a partir de una copia de seguridad de VM, consulte este artículo.

Ejemplo:

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId "testdes1" -VaultId $vault.ID

CLI

Use el comando az backup restore restore-disks con el parámetro [-DiskEncryptionSetId <string>] para especificar el DES que se usará para cifrar el disco restaurado.

Ejemplo:

az backup recoverypoint list --container-name MyContainer --item-name MyItem --resource-group MyResourceGroup --vault-name MyVault
az backup restore restore-disks --container-name MyContainer --disk-encryption-set-id testdes1 --item-name MyItem --resource-group MyResourceGroup --rp-name MyRp --storage-account mystorageaccount --vault-name MyVault

Restauración de archivos

Al realizar una restauración de archivos, los datos restaurados se cifrarán con la clave usada para cifrar la ubicación de destino.

Restaurar bases de datos de SAP HANA/SQL en máquinas virtuales de Azure

Al restaurar desde una copia de seguridad de una base de datos de SAP HANA o de SQL que se ejecuta en una VM de Azure, los datos restaurados se cifrarán con la clave de cifrado usada en la ubicación del almacenamiento de destino. Puede ser una clave administrada por el cliente o una clave administrada por la plataforma que se usa para cifrar los discos de la máquina virtual.

Otros temas

Habilitación del cifrado mediante claves administradas por el cliente en la creación del almacén (en versión preliminar)

Nota:

La habilitación del cifrado al crear el almacén mediante claves administradas por el cliente se encuentra en una versión preliminar pública limitada y solo se aplica a una lista de suscripciones permitidas. Para suscribirse a la versión preliminar, rellene el formulario y escríbanos a la dirección AskAzureBackupTeam@microsoft.com.

Si la suscripción está en la lista de suscripciones permitidas, se mostrará la pestaña Cifrado de copia de seguridad. Esta pestaña le permite habilitar el cifrado en la copia de seguridad mediante claves administradas por el cliente durante la creación de un almacén de Recovery Services. Para habilitar el cifrado, realice los pasos siguientes:

1. Junto a la pestaña Aspectos básicos, en la pestaña Cifrado de copia de seguridad, especifique la clave de cifrado y la identidad que se usarán para el cifrado.

   

   Nota:

   La configuración solo se aplica a la copia de seguridad y es opcional.

2. En Tipo de cifrado, seleccione Usar clave administrada por el cliente.

3. Para especificar la clave que se va a usar para el cifrado, seleccione la opción adecuada.

   Puede proporcionar el URI de la clave de cifrado o buscar la clave y seleccionarla. Cuando se especifica la clave mediante la opción Seleccionar Key Vault, la rotación automática de la clave de cifrado se habilitará automáticamente. Más información sobre la rotación automática.

4. Especifique la identidad administrada asignada por el usuario para administrar el cifrado con claves administradas por el cliente. Haga clic en Seleccionar para buscar la identidad necesaria y seleccionarla.

5. Continúe con la adición de etiquetas (opcional) y con la creación del almacén.

Habilitar la rotación automática de las claves de cifrado

Cuando indique la clave administrada por el cliente que se debe usar para cifrar las copias de seguridad, use los métodos siguientes para especificarla:

• Escribir el URI de la clave
• Seleccionarla de Key Vault

La opción Seleccionar de Key Vault ayuda a habilitar la rotación automática de la clave seleccionada. De esta forma, se elimina el esfuerzo manual de actualizarla a la versión siguiente. Sin embargo, con esta opción:

• La actualización de la versión de la clave puede tardar hasta una hora en surtir efecto.
• Cuando se aplica una nueva versión de la clave, la versión anterior también debe estar disponible (en estado habilitado) durante al menos un trabajo de copia de seguridad posterior después de que la actualización de la clave haya surtido efecto.

Usar directivas de Azure para auditar y exigir el cifrado con claves administradas por el cliente (en versión preliminar)

Azure Backup permite usar las directivas de Azure para auditar y aplicar el cifrado de datos en el almacén de Recovery Services mediante claves administradas por el cliente. Uso de las directivas de Azure:

• La directiva de auditoría se puede usar para auditar almacenes con cifrado mediante claves administradas por el cliente habilitadas después del 01/04/2021. En el caso de los almacenes con el cifrado de CMK habilitado antes de esta fecha, puede que la directiva no se aplique o que se muestren falsos resultados negativos (es decir, estos almacenes se pueden presentar como no compatibles, a pesar de tener habilitado el cifrado de CMK).

• Para usar la directiva de auditoría para auditar almacenes con el cifrado de CMK habilitado antes del 01/04/2021, use Azure Portal para actualizar una clave de cifrado. Esto ayuda a actualizar al nuevo modelo. Si no quiere cambiar la clave de cifrado, vuelva a proporcionar la misma clave mediante el URI de la clave o la opción de selección de clave.

  Advertencia

  Si usa PowerShell para administrar las claves de cifrado para la copia de seguridad, no se recomienda actualizar las claves desde el portal.
  Si actualiza la clave desde el portal, no puede usar PowerShell para actualizar también la clave de cifrado hasta que esté disponible una actualización de PowerShell que admita el nuevo modelo. Sin embargo, puede seguir actualizando la clave desde Azure Portal.

Preguntas más frecuentes

¿Puedo cifrar un almacén de Backup existente con claves administradas por el cliente?

No, el cifrado de CMK solo se puede habilitar para los nuevos almacenes. Por lo tanto, el almacén no debe haber tenido ningún elemento protegido. De hecho, no se debe realizar ningún intento de proteger los elementos del almacén antes de habilitar el cifrado mediante claves administradas por el cliente.

Intenté proteger un elemento en el almacén, pero se produjo un error y el almacén todavía no contiene elementos protegidos. ¿Puedo habilitar el cifrado de CMK para este almacén?

No, no deben haberse producido intentos de proteger ningún elemento del almacén en el pasado.

Tengo un almacén que usa el cifrado CMK. ¿Puedo revertir más adelante el cifrado mediante claves administradas por la plataforma aunque tenga elementos de copia de seguridad protegidos en el almacén?

No, una vez que haya habilitado el cifrado de CMK, no podrá revertir para usar claves administradas por la plataforma. Puede cambiar las claves usadas de acuerdo con sus requisitos.

¿El cifrado de CMK para Azure Backup se aplica también a Azure Site Recovery?

No, en este artículo solo se describe el cifrado de datos de Backup. Para Azure Site Recovery, debe establecer la propiedad por separado como disponible en el servicio.

Me faltó uno de los pasos de este artículo y procedí a proteger el origen de datos. ¿Puedo seguir usando el cifrado de CMK?

No seguir las indicaciones del artículo y proceder con la protección de elementos puede provocar que el almacén no utilice el cifrado con claves administradas por el cliente. Por lo tanto, se recomienda que consulte esta lista de comprobación antes de continuar con la protección de los elementos.

¿El uso de cifrado con CMK añade costos a mis copias de seguridad?

El uso del cifrado de CMK para Backup no conlleva ningún costo adicional. Sin embargo, puede seguir incurriendo en costos de uso del almacén de Azure Key Vault donde se almacena la clave.

Pasos siguientes

• Introducción a las características de seguridad de Azure Backup