Megosztás a következőn keresztül:

Titkosított Azure-beli virtuális gépek biztonsági mentése és visszaállítása

Ez a cikk azt ismerteti, hogyan lehet biztonsági másolatot készíteni és visszaállítani a Windows vagy Linux Rendszerű Azure-beli virtuális gépeket (VM-eket) titkosított lemezekkel az Azure Backup szolgáltatás használatával. További információ: Azure-beli virtuális gépek biztonsági mentéseinek titkosítása.

Támogatott forgatókönyvek titkosított Azure-beli virtuális gépek biztonsági mentéséhez és visszaállításához

Ez a szakasz a titkosított Azure-beli virtuális gépek biztonsági mentésének és visszaállításának támogatott forgatókönyveit ismerteti.

Titkosítás platform által felügyelt kulcsokkal

Alapértelmezés szerint a virtuális gépek összes lemeze automatikusan inaktív állapotban titkosítva lesz a tárolószolgáltatás titkosítását használó platform által felügyelt kulcsok (PMK) használatával. Ezekről a virtuális gépekről az Azure Backup használatával biztonsági másolatot készíthet anélkül, hogy a titkosítás támogatásához szükséges konkrét műveletekre van szükség. A platform által felügyelt kulcsokkal történő titkosítással kapcsolatos további információkért tekintse meg ezt a cikket.

Titkosított lemezek

Titkosítás az ügyfelek által felügyelt kulcsokkal

Ha ügyfél által felügyelt kulcsokkal (CMK) titkosítja a lemezeket, a lemezek titkosításához használt kulcs az Azure Key Vaultban lesz tárolva, és ön kezeli. A Storage Service Encryption (SSE) a CMK használatával eltér az Azure Disk Encryption (ADE) titkosításától. Az ADE az operációs rendszer titkosítási eszközeit használja. Az SSE titkosítja a tárolási szolgáltatás adatait, így bármilyen operációs rendszert vagy rendszerképet használhat a virtuális gépekhez.

Nem kell explicit műveleteket végrehajtania olyan virtuális gépek biztonsági mentéséhez vagy visszaállításához, amelyek ügyfél által felügyelt kulcsokat használnak a lemezeik titkosításához. A tárolóban tárolt virtuális gépek biztonsági mentési adatai ugyanazokkal a módszerekkel lesznek titkosítva, mint a tárolóban használt titkosítás.

A felügyelt lemezek ügyfél által felügyelt kulcsokkal történő titkosításával kapcsolatos további információkért lásd ezt a cikket.

Titkosítás támogatása az ADE használatával

Az Azure Backup támogatja azon Azure-beli virtuális gépek biztonsági mentését, amelyek operációs rendszere/adatlemezei Azure Disk Encryption (ADE) titkosítással vannak titkosítva. Az ADE a BitLockert használja a Windows rendszerű virtuális gépek titkosításához, valamint a Linux rendszerű virtuális gépek dm-titkosítási funkcióját. Az ADE integrálható az Azure Key Vaulttal a lemeztitkosítási kulcsok és titkos kódok kezeléséhez. A Key Vault kulcstitkosítási kulcsai (KEK-k) további biztonsági réteg hozzáadására használhatók, titkosítási titkos kulcsokat titkosítva, mielőtt a Key Vaultba írják őket.

Az Azure Backup a Microsoft Entra alkalmazással és anélkül is készíthet biztonsági másolatot és állíthat vissza Azure-beli virtuális gépeket az ADE használatával, az alábbi táblázatban összefoglalva.

VM-lemeztípus ADE (BEK/dm-crypt) ADE és KEK
Menedzseletlen Igen Igen
Felügyelt Igen Igen

Korlátozások

A titkosított Azure-beli virtuális gépek biztonsági mentése vagy visszaállítása előtt tekintse át az alábbi korlátozásokat:

  • Ugyanahhoz az előfizetéshez tartozó ADE-titkosított virtuális gépek biztonsági mentésére és visszaállítására is lehetőség van.
  • Az Azure Backup támogatja az önálló kulcsokkal titkosított virtuális gépeket. A virtuális gépek titkosításához használt tanúsítványok részét képező kulcsok jelenleg nem támogatottak.
  • Az Azure Backup támogatja a titkosított Azure-beli virtuális gépek régiók közötti visszaállítását az Azure párosított régióiba. További információ: támogatási mátrix.
  • Az ADE-titkosított virtuális gépek nem állíthatók helyre fájl-/mappaszinten. A fájlok és mappák visszaállításához a teljes virtuális gépet helyre kell állítania.
  • A virtuális gépek visszaállításakor nem választhatja a meglévő virtuális gép cseréje opciót ADE titkosított virtuális gépek esetén. Ez a beállítás csak titkosítatlan felügyelt lemezek esetén támogatott.

Mielőtt elkezdenéd

Mielőtt hozzákezd, tegye a következőket:

  1. Győződjön meg arról, hogy rendelkezik egy vagy több Olyan Windows vagy Linux rendszerű virtuális géppel, amelyen engedélyezve van az ADE.
  2. Tekintse át az Azure-beli virtuális gépek biztonsági mentésének támogatási mátrixát
  3. Hozzon létre egy Recovery Services Backup-tárolót, ha nincs ilyenje.
  4. Ha engedélyezi a biztonsági mentéshez már engedélyezett virtuális gépek titkosítását, egyszerűen meg kell adnia a Biztonsági mentést a Key Vault eléréséhez szükséges engedélyekkel, hogy a biztonsági mentések zavartalanul folytatódhassanak. További információ az engedélyek hozzárendeléséről.

Emellett néhány dolgot is el kell végeznie bizonyos körülmények között:

  • Telepítse a virtuálisgép-ügynököt a virtuális gépre: Az Azure Backup biztonsági másolatot készít az Azure-beli virtuális gépekről a gépen futó Azure-beli virtuálisgép-ügynök bővítményének telepítésével. Ha a virtuális gép egy Azure Marketplace-rendszerképből lett létrehozva, az ügynök telepítve van és fut. Ha egyéni virtuális gépet hoz létre, vagy helyszíni gépet migrál, előfordulhat, hogy manuálisan kell telepítenie az ügynököt.

Biztonsági mentési szabályzat konfigurálása

Biztonsági mentési szabályzat konfigurálásához kövesse az alábbi lépéseket:

  1. Ha még nem hozott létre Helyreállítási Szolgáltatások biztonsági mentési tárat, kövesse az alábbi utasításokat.

  2. Lépjen a Biztonsági mentési központba, és kattintson a +Biztonsági mentés gombra az Áttekintés lapon

    Panel a biztonsági mentéshez

  3. Válassza ki az Azure-beli virtuális gépeketadatforrástípusként , és válassza ki a létrehozott tárolót, majd kattintson a Folytatás gombra.

    Forgatókönyv ablak

  4. Válassza ki a tárolóhoz társítani kívánt szabályzatot, majd kattintson az OK gombra.

    • A biztonsági mentési szabályzat meghatározza, hogy mikor és mennyi ideig tárolják a biztonsági mentéseket.
    • Az alapértelmezett szabályzat részletei a legördülő menüben jelennek meg.

    Biztonsági mentési szabályzat kiválasztása

  5. Ha nem szeretné használni az alapértelmezett szabályzatot, válassza az Új létrehozása lehetőséget, és hozzon létre egy egyéni szabályzatot.

  6. A Virtuális gépek területen válassza a Hozzáadás lehetőséget.

    Virtuális gépek hozzáadása

  7. Válassza ki a kiválasztott szabályzattal biztonsági másolatot készíteni kívánt titkosított virtuális gépeket, és válassza az OK gombot.

    Titkosított virtuális gépek kiválasztása

  8. Ha Azure Key Vaultot használ, a tároló oldalán egy üzenet jelenik meg, amely szerint az Azure Backupnak írásvédett hozzáférésre van szüksége a Key Vault kulcsaihoz és titkos kulcsaihoz.

    • Ha ezt az üzenetet kapja, nincs szükség műveletre.

      Hozzáférés rendben

    • Ha ezt az üzenetet kapja, az alábbi eljárásnak megfelelően be kell állítania az engedélyeket.

      Hozzáférési figyelmeztetés

  9. Válassza a Biztonsági mentés engedélyezése lehetőséget a biztonsági mentési szabályzat tárolóban való üzembe helyezéséhez, valamint a kijelölt virtuális gépek biztonsági mentésének engedélyezéséhez.

ADE-titkosított virtuális gépek biztonsági mentése RBAC-kompatibilis kulcstartókkal

Az ADE-titkosított virtuális gépek biztonsági mentésének engedélyezéséhez az Azure RBAC által engedélyezett kulcstartókat kell használni. Ehhez a Key Vault rendszergazda szerepkörét hozzá kell rendelnie a Microsoft Entra biztonsági mentéskezelő szolgáltatáshoz, oly módon, hogy egy szerepkör-hozzárendelést ad hozzá a kulcstartó Hozzáférés-vezérlésében.

Megjegyzés:

A VM biztonsági mentési műveletek a Recovery Services-tároló felügyelt szolgáltatás identitása (MSI) helyett a Backup Management Service alkalmazást használják a Key Vault eléréséhez. A biztonsági mentések megfelelő működéséhez meg kell adnia a szükséges Key Vault-engedélyeket ehhez az alkalmazáshoz.

Képernyőkép az ADE titkosított kulcstartó engedélyezéséhez szükséges jelölőnégyzetről.

Ismerje meg a különböző elérhető szerepköröket. A Key Vault rendszergazdai szerepköre jogosultságokat ad a titkok és kulcsok lekérésére, listázására, és biztonsági mentésére.

Az Azure RBAC-kompatibilis kulcstartókhoz az alábbi engedélykészlettel hozhat létre egyéni szerepkört. Megtudhatja, hogyan hozhat létre egyéni szerepkört.

Megjegyzés:

Az Azure Government használata esetén győződjön meg arról, hogy a Key Vault rendszergazdai szerepköre hozzá van rendelve a Backup Fairfax Entra alkalmazáshoz a megfelelő hozzáférés és működés engedélyezéséhez.

Tevékenység Leírás
Microsoft.KeyVault/vaults/keys/backup/action Létrehozza egy kulcs biztonsági mentési fájlját.
Microsoft.KeyVault/vaults/secrets/backup/action Létrehozza egy titok biztonsági mentését.
Microsoft.KeyVault/vaults/secrets/getSecret/action Lekéri egy titkos kód értékét.
Microsoft.KeyVault/vaults/keys/read Kulcsok felsorolása a megadott tárolóban, vagy kulcsok tulajdonságainak és nyilvános adatoknak olvasása.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Egy titkos kód tulajdonságait listázhatja vagy tekintheti meg, az értékeit azonban nem. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Képernyőkép arról, hogyan adhat hozzá engedélyeket a Key Vaulthoz.

Biztonsági mentési feladat aktiválása

A kezdeti biztonsági mentés az ütemezésnek megfelelően fog futni, de azonnal futtathatja az alábbiak szerint:

  1. Lépjen a Biztonsági mentési központba , és válassza a Backup Instances (Példányok biztonsági mentése) menüelemet.
  2. Válassza ki az Azure-beli virtuális gépeketadatforrástípusként , és keresse meg a biztonsági mentéshez konfigurált virtuális gépet.
  3. Kattintson a jobb gombbal a megfelelő sorra, vagy válassza a további ikont (...), majd kattintson a Biztonsági mentés most parancsra.
  4. A Azonnali biztonsági mentés területen a naptár vezérlőelem használatával jelölje ki a legutolsó napot, amikor a helyreállítási pontot meg kell őrizni. Ezután válassza OKlehetőséget.
  5. A portál értesítéseinek figyelése. A feladat előrehaladásának figyeléséhez nyissa meg a Biztonsági mentési központ>Biztonsági mentési feladatait, és szűrje a folyamatban lévő feladatok listáját. A virtuális gép méretétől függően a kezdeti biztonsági mentés létrehozása hosszabb időt vehet igénybe.

Engedélyek megadása

Az Azure Backupnak írásvédett hozzáférésre van szüksége a kulcsok és titkos kódok biztonsági mentéséhez, valamint a kapcsolódó virtuális gépekhez.

  • A Key Vault az Azure-előfizetés Microsoft Entra-bérlőjéhez van társítva. Ha Ön tagfelhasználó, az Azure Backup további művelet nélkül hozzáférést szerez a Key Vaulthoz.
  • Ha Ön vendégfelhasználó, meg kell adnia az Azure Backup engedélyeit a kulcstartó eléréséhez. A titkosított virtuális gépek biztonsági mentésének konfigurálásához hozzáféréssel kell rendelkeznie a kulcstartókhoz.

Ha Azure RBAC-engedélyeket szeretne biztosítani a Key Vaulthoz, tekintse meg ezt a cikket.

Engedélyek beállítása:

  1. Az Azure Portalon válassza a Minden szolgáltatás lehetőséget, és keresse meg a Kulcstárak.

  2. Válassza ki a titkosított virtuális géphez társított kulcstárat, amelyet biztonsági mentéshez használ.

    Jótanács

    A virtuális gép társított kulcstartójának azonosításához használja a következő PowerShell-parancsot. Cserélje le az erőforráscsoport nevét és a virtuális gép nevét:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Keresse meg a kulcstár nevét ebben a sorban:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Válassza az Access-szabályzatok>hozzáférési szabályzat hozzáadása lehetőséget.

    Hozzáférési szabályzat hozzáadása

  4. Az Add access policy>Configure from template (nem kötelező) területen válassza az Azure Backup lehetőséget.

    • A kulcs- és titkoskulcsengedélyek esetében a szükséges engedélyek előre be vannak töltve.
    • Ha a virtuális gép csak a BEK használatával van titkosítva, távolítsa el a kulcsengedélyek kijelölését, mivel csak titkos kulcsokra vonatkozó engedélyekre van szüksége.

    Az Azure Backup kiválasztása

  5. Válassza a Hozzáadás lehetőséget. A biztonsági mentéskezelési szolgáltatás hozzá lesz adva az Access-szabályzatokhoz.

    Hozzáférési szabályzatok

  6. Válassza a Mentés lehetőséget, ha meg szeretné adni az Azure Backupnak az engedélyeket.

A hozzáférési szabályzatot a PowerShell vagy a parancssori felület használatával is beállíthatja.

Következő lépés

Titkosított Azure-beli virtuális gépek visszaállítása

Ha bármilyen problémába ütközik, tekintse át az alábbi cikkeket: