Mencadangkan dan memulihkan komputer virtual Azure yang terenkripsi

Artikel
08/28/2023

Artikel ini menjelaskan cara mencadangkan dan memulihkan VM (virtual machine/komputer virtual) Windows atau Linux Azure dengan disk terenkripsi menggunakan layanan Azure Backup. Untuk informasi selengkapnya, lihat Enkripsi cadangan Azure VM.

Enkripsi menggunakan kunci yang dikelola oleh platform

Secara default, semua disk di komputer virtual Anda secara otomatis dienkripsi saat tidak aktif menggunakan PMK (platform managed keys/kunci yang dikelola platform) yang menggunakan enkripsi layanan penyimpanan. Anda dapat mencadangkan komputer virtual ini menggunakan Azure Backup tanpa tindakan tertentu yang diperlukan untuk mendukung enkripsi di ujung Anda. Untuk informasi selengkapnya tentang enkripsi dengan kunci yang dikelola platform, lihat artikel ini.

Encrypted disks

Enkripsi menggunakan kunci yang dikelola pelanggan

Saat Anda mengenkripsi disk dengan CMK (customer managed keys/kunci yang dikelola pelanggan), kunci yang digunakan untuk mengenkripsi disk disimpan di Azure Key Vault dan dikelola oleh Anda. SSE (Storage Service Encryption/Enkripsi Layanan Penyimpanan) menggunakan CMK berbeda dari enkripsi Azure Disk Encryption (ADE). Azure Disk Encryption menggunakan alat enkripsi dari sistem operasi. SSE mengenkripsi data dalam layanan penyimpanan, memungkinkan Anda menggunakan OS atau gambar apa pun untuk komputer virtual Anda.

Anda tidak perlu melakukan tindakan eksplisit untuk pencadangan atau pemulihan komputer virtual yang menggunakan kunci yang dikelola pelanggan untuk mengenkripsi disk mereka. Data cadangan untuk komputer virtual yang disimpan di dalam brankas ini akan dienkripsi dengan metode yang sama dengan enkripsi yang digunakan pada vault.

Untuk informasi selengkapnya tentang enkripsi disk terkelola dengan kunci yang dikelola pelanggan, lihat artikel ini.

Dukungan enkripsi menggunakan Azure Disk Encryption

Azure Backup mendukung pencadangan Azure VM yang disk OS/datanya dienkripsi dengan Azure Disk Encryption. Azure Disk Encryption menggunakan BitLocker untuk enkripsi komputer virtual Windows, dan fitur dm-crypt untuk komputer virtual Linux. Azure Disk Encryption terintegrasi dengan Azure Key Vault untuk mengelola kunci dan rahasia enkripsi disk. Key Vault KEK dapat digunakan untuk menambahkan lapisan keamanan tambahan, mengenkripsi rahasia enkripsi sebelum menulisnya ke Key Vault.

Azure Backup dapat mencadangkan dan memulihkan Azure VM menggunakan ADE dengan dan tanpa aplikasi Microsoft Entra, seperti yang dirangkum dalam tabel berikut.

Jenis disk komputer virtual	Azure Disk Encryption (BEK/dm-crypt)	Azure Disk Encryption dan KEK
Tidak terkelola	Ya	Ya
Terkelola	Ya	Ya

Pelajari lebih lanjut tentang Azure Disk Encryption, Key Vault, dan KEK.
Baca FAQ untuk enkripsi disk Azure VM.

Batasan

Anda dapat mencadangkan dan memulihkan komputer virtual terenkripsi Azure Disk Encryption dalam langganan yang sama.
Azure Backup mendukung komputer virtual yang dienkripsi menggunakan kunci mandiri. Kunci apa pun yang merupakan bagian dari sertifikat yang digunakan untuk mengenkripsi komputer virtual saat ini tidak didukung.
Azure Backup mendukung Pemulihan Lintas Wilayah pada mesin virtual Azure yang terenkripsi ke wilayah pasangan Azure. Untuk informasi selengkapnya, lihat matriks dukungan.
Komputer Virtual terenkripsi Azure Disk Encryption tidak dapat dipulihkan pada tingkat file/folder. Anda perlu memulihkan seluruh komputer virtual untuk memulihkan file dan folder.
Saat memulihkan komputer virtual, Anda tidak dapat menggunakan opsi ganti komputer virtual yang ada untuk komputer virtual terenkripsi Azure Disk Encryption. Opsi ini hanya didukung untuk disk terkelola yang tidak terenkripsi.

Sebelum memulai

Lakukan hal berikut ini sebelum memulai:

Pastikan Anda memiliki satu atau beberapa Komputer virtual Windows atau Linux dengan Azure Disk Encryption yang diaktifkan.
Tinjau matriks dukungan untuk cadangan Komputer Virtual Azure
Buat brankas Azure Backup Layanan Pemulihan jika Anda tidak memilikinya.
Jika Anda mengaktifkan enkripsi untuk komputer virtual yang sudah diaktifkan untuk pencadangan, Anda hanya perlu memberi Azure Backup izin untuk mengakses Key Vault sehingga pencadangan dapat dilanjutkan tanpa gangguan. Pelajari selengkapnya tentang menetapkan izin ini.

Selain itu, ada beberapa hal yang mungkin perlu Anda lakukan dalam beberapa keadaan tertentu:

Instal agen komputer virtual pada komputer virtual: Azure Backup mencadangkan Azure VM dengan menginstal ekstensi ke agen Azure VM yang berjalan di komputer. Jika komputer virtual Anda dibuat dari citra Azure Marketplace, agen akan diinstal dan berjalan. Jika Anda membuat komputer virtual kustom, atau Anda memigrasikan komputer lokal, Anda mungkin perlu menginstal agen secara manual.

Mengkonfigurasi kebijakan pencadangan

Jika Anda belum membuat brankas cadangan Layanan Pemulihan, ikuti instruksi berikut ini.
Navigasi ke pusat Pencadangan dan klik +Microsoft Azure Backup dari tab Ringkasan
Pilih Mesin Azure Virtual sebagai tipe Datasource dan pilih kubah yang telah Anda buat, lalu klik Lanjutkan.
Pilih kebijakan yang ingin Anda kaitkan dengan kubah, lalu pilih OK.
- Kebijakan pencadangan menentukan kapan cadangan diambil, dan berapa lama cadangan tersebut disimpan.
- Detail kebijakan default tercantum pada menu drop-down.
Jika Anda tidak ingin menggunakan kebijakan default, pilih Buat Baru,dan buat kebijakan kustom.
Di bawah Komputer Virtual, pilih Tambahkan.
Pilih komputer virtual terenkripsi yang ingin Anda cadangkan menggunakan kebijakan pilih, dan pilih OK.
Jika Anda menggunakan Azure Key Vault, di halaman brankas, Anda akan melihat pesan bahwa Azure Backup memerlukan akses baca-saja ke kunci dan rahasia di Vault Kunci.
- Jika Anda menerima pesan ini, tidak ada tindakan yang perlu dilakukan.
- Jika Anda menerima pesan ini, Anda perlu mengatur izin seperti yang dijelaskan dalam prosedur di bawah ini.
Pilih Aktifkan Pencadangan untuk menyebarkan kebijakan cadangan dalam brankas, dan aktifkan pencadangan untuk komputer virtual yang dipilih.

Mencadangkan VM terenkripsi ADE dengan brankas kunci yang diaktifkan RBAC

Untuk mengaktifkan pencadangan untuk VM terenkripsi ADE menggunakan brankas kunci yang diaktifkan Azure RBAC, Anda perlu menetapkan peran Administrator Key Vault ke aplikasi Microsoft Entra Layanan Manajemen Cadangan dengan menambahkan penetapan peran di Kontrol Akses brankas kunci.

Pelajari tentang berbagai peran yang tersedia. Peran Administrator Key Vault dapat memungkinkan izin untuk mendapatkan, mencantumkan, dan mencadangkan rahasia dan kunci.

Untuk brankas kunci yang diaktifkan Azure RBAC, Anda dapat membuat peran kustom dengan sekumpulan izin berikut. Pelajari cara membuat peran kustom.

Tindakan	Deskripsi
Microsoft.KeyVault/vaults/keys/backup/action	Membuat file cadangan kunci.
Microsoft.KeyVault/vaults/secrets/backup/action	Membuat file cadangan rahasia.
Microsoft.KeyVault/vaults/secrets/getSecret/action	Mendapatkan nilai rahasia.
Microsoft.KeyVault/vaults/keys/read	Cantumkan kunci dalam vault yang ditentukan atau properti baca dan materi publik.
Microsoft.KeyVault/vaults/secrets/readMetadata/action	Mencantumkan atau menampilkan properti rahasia, tetapi bukan nilainya.

"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Screenshot shows how to add permissions to key vault.

Memicu pencadangan

Pencadangan awal akan berjalan sesuai dengan jadwal, tetapi Anda dapat menjalankannya segera dengan cara berikut:

Navigasi ke pusat Backup dan pilih item menu Instans Backup .
Pilih komputer Azure Virtual sebagai tipe Datasource dan cari VM yang telah Anda konfigurasi untuk cadangan.
Klik kanan baris yang relevan atau pilih ikon lainnya (...), dan klik Backup Sekarang.
Di Cadangkan Sekarang, gunakan kontrol kalender untuk memilih hari terakhir dimana titik pemulihan harus dipertahankan. Kemudian pilih OK.
Pantau pemberitahuan portal. Untuk memantau kemajuan pekerjaan, buka pusat Pencadangan>Pekerjaan Pencadangan dan filter daftar untuk pekerjaan sedang berlangsung. Tergantung pada ukuran komputer virtual Anda, pembuatan cadangan awal mungkin memakan waktu cukup lama.

Menyediakan izin

Azure Backup memerlukan akses baca-saja untuk mencadangkan kunci dan rahasia, bersama dengan komputer virtual terkait.

Key Vault Anda dikaitkan dengan penyewa Microsoft Entra dari langganan Azure. Jika Anda adalah Pengguna anggota, Azure Backup memperoleh akses ke Key Vault tanpa tindakan lebih lanjut.
Jika Anda adalah Pengguna tamu, Anda harus memberikan izin bagi Azure Backup untuk mengakses brankas kunci. Anda perlu memiliki akses ke brankas kunci untuk mengonfigurasi Backup untuk VM terenkripsi.

Untuk memberikan izin Azure RBAC di Key Vault, lihat artikel ini.

Mengatur izin:

Di portal Azure, pilih Semua layanan, dan cari Brankas kunci.
Pilih brankas kunci yang terkait dengan komputer virtual terenkripsi yang Anda cadangkan.

Tip

Untuk mengidentifikasi brankas kunci yang terkait dengan komputer virtual, gunakan perintah PowerShell berikut. Ganti nama grup sumber daya dan nama komputer virtual Anda:

Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

Cari nama brankas kunci pada baris ini:

SecretUrl : https://<keyVaultName>.vault.azure.net
Pilih Kebijakan akses>Tambahkan Kebijakan Akses.
Di Tambahkan kebijakan akses>Konfigurasikan dari templat (opsional), pilih Azure Backup.
- Izin yang diperlukan telah diisi sebelumnya untuk Izin kunci dan Izin rahasia.
- Jika komputer virtual Anda dienkripsi menggunakan BEK saja, hapus pilihan untuk Izin kunci karena Anda hanya memerlukan izin untuk rahasia.
Pilih Tambahkan. Layanan Manajemen Cadangan ditambahkan ke Kebijakan akses.
Pilih Simpan untuk menyediakan Izin Azure Backup.