Eseguire il backup e ripristinare le macchine virtuali crittografate di Azure
Questo articolo descrive come eseguire il backup e il ripristino di macchine virtuali (VM) windows o Linux di Azure con dischi crittografati usando il servizio Backup di Azure. Per altre informazioni, vedere Crittografia dei backup delle macchine virtuali di Azure.
Scenari supportati per il backup e il ripristino di macchine virtuali di Azure crittografate
Questa sezione descrive gli scenari supportati per il backup e il ripristino di macchine virtuali di Azure crittografate.
Crittografia con chiavi gestite dalla piattaforma
Per impostazione predefinita, tutti i dischi nelle macchine virtuali vengono crittografati automaticamente inattivi usando chiavi gestite dalla piattaforma (PMK) che usano la crittografia del servizio di archiviazione. È possibile eseguire il backup di queste macchine virtuali usando Backup di Azure senza alcuna azione specifica necessaria per supportare la crittografia alla fine. Per altre informazioni sulla crittografia con chiavi gestite dalla piattaforma, vedere questo articolo.
Crittografia con chiavi gestite dal cliente
Quando si crittografa i dischi con chiavi gestite dal cliente ( CMK), la chiave usata per crittografare i dischi viene archiviata nell'insieme di credenziali delle chiavi di Azure ed è gestita dall'utente. La crittografia del servizio di archiviazione (SSE) che usa cmk differisce dalla crittografia Crittografia dischi di Azure (ADE). Active Directory usa gli strumenti di crittografia del sistema operativo. SSE crittografa i dati nel servizio di archiviazione, consentendo di usare qualsiasi sistema operativo o immagini per le macchine virtuali.
Non è necessario eseguire azioni esplicite per il backup o il ripristino di macchine virtuali che usano chiavi gestite dal cliente per crittografare i dischi. I dati di backup per queste macchine virtuali archiviati nell'insieme di credenziali verranno crittografati con gli stessi metodi della crittografia usata nell'insieme di credenziali.
Per altre informazioni sulla crittografia dei dischi gestiti con chiavi gestite dal cliente, vedere questo articolo.
Supporto della crittografia con AdE
Backup di Azure supporta il backup di macchine virtuali di Azure con dischi del sistema operativo/dati crittografati con Crittografia dischi di Azure (ADE). AdE usa BitLocker per la crittografia delle macchine virtuali Windows e la funzionalità dm-crypt per le macchine virtuali Linux. Azure Key Vault si integra con Azure Key Vault per gestire chiavi e segreti di crittografia del disco. Le chiavi di crittografia delle chiavi dell'insieme di credenziali delle chiavi (KEK) possono essere usate per aggiungere un ulteriore livello di sicurezza, crittografando i segreti di crittografia prima di scriverli in Key Vault.
Backup di Azure possibile eseguire il backup e il ripristino di macchine virtuali di Azure usando ADE con e senza l'app Microsoft Entra, come riepilogato nella tabella seguente.
Tipo di disco VM | ADE (BEK/dm-crypt) | ADE e KEK |
---|---|---|
Non gestito | Sì | Sì |
Gestito | Sì | Sì |
- Altre informazioni su ADE, Key Vault e KEK.
- Leggere le domande frequenti sulla crittografia dei dischi delle macchine virtuali di Azure.
Limiti
Prima di eseguire il backup o il ripristino di reti virtuali di Azure crittografate, esaminare le limitazioni seguenti:
- È possibile eseguire il backup e il ripristino di macchine virtuali crittografate di Azure all'interno della stessa sottoscrizione.
- Backup di Azure supporta le macchine virtuali crittografate tramite chiavi autonome. Qualsiasi chiave che fa parte di un certificato usato per crittografare una macchina virtuale non è attualmente supportata.
- Backup di Azure supporta il ripristino tra aree di macchine virtuali di Azure crittografate nelle aree abbinate di Azure. Per altre informazioni, vedere Matrice di supporto.
- Le macchine virtuali crittografate di Azure non possono essere recuperate a livello di file/cartella. È necessario ripristinare l'intera macchina virtuale per ripristinare file e cartelle.
- Quando si ripristina una macchina virtuale, non è possibile usare l'opzione sostituisci macchina virtuale esistente per le macchine virtuali crittografate di Azure. Questa opzione è supportata solo per i dischi gestiti non crittografati.
Prima di iniziare
Prima di iniziare, eseguire le operazioni seguenti:
- Assicurarsi di disporre di una o più macchine virtuali Windows o Linux con ADE abilitato.
- Esaminare la matrice di supporto per il backup di macchine virtuali di Azure
- Creare un insieme di credenziali di Backup di Servizi di ripristino se non ne è disponibile uno.
- Se si abilita la crittografia per le macchine virtuali già abilitate per il backup, è sufficiente fornire a Backup le autorizzazioni per accedere all'insieme di credenziali delle chiavi in modo che i backup possano continuare senza interruzioni. Altre informazioni sull'assegnazione di queste autorizzazioni.
In alcune circostanze può anche essere necessario eseguire alcune operazioni:
- Installare l'agente di VM nella VM: Backup di Azure esegue il backup di VM di Azure tramite l'installazione di un'estensione per l'agente di VM di Azure in esecuzione nel computer. Se la macchina virtuale è stata creata da un'immagine di Azure Marketplace, l'agente è installato e in esecuzione. Se si crea una macchina virtuale personalizzata o si esegue la migrazione di una macchina virtuale locale, può essere necessario installare l'agente manualmente.
Configurare un criterio di backup
Per configurare un criterio di backup, seguire questa procedura:
Se non è ancora stato creato un insieme di credenziali di backup di Servizi di ripristino, seguire queste istruzioni.
Passare al Centro backup e fare clic su +Backup nella scheda Panoramica
Selezionare Macchine virtuali di Azure come tipo di origine dati e selezionare l'insieme di credenziali creato, quindi fare clic su Continua.
Selezionare i criteri da associare all'insieme di credenziali, quindi selezionare OK.
- Un criterio di backup specifica quando vengono eseguiti i backup e per quanto tempo vengono archiviati.
- I dettagli dei criteri predefiniti vengono elencati nel menu a discesa.
Se non si vuole usare i criteri predefiniti, selezionare Crea nuovo e creare un criterio personalizzato.
In Macchine virtuali selezionare Aggiungi.
Scegliere le macchine virtuali crittografate di cui si vuole eseguire il backup usando il criterio di selezione e selezionare OK.
Se si usa Azure Key Vault, nella pagina dell'insieme di credenziali verrà visualizzato un messaggio che Backup di Azure richiede l'accesso in sola lettura alle chiavi e ai segreti nell'insieme di credenziali delle chiavi.
Se si riceve questo messaggio, non è necessaria alcuna azione.
Se viene visualizzato questo messaggio, è necessario impostare le autorizzazioni come descritto nella procedura seguente.
Selezionare Abilita backup per distribuire i criteri di backup nell'insieme di credenziali e abilitare il backup per le macchine virtuali selezionate.
Eseguire il backup di macchine virtuali crittografate con controllo degli accessi in base al ruolo con insiemi di credenziali delle chiavi abilitati per il controllo degli accessi in base al ruolo
Per abilitare i backup per le macchine virtuali crittografate di Active Directory usando gli insiemi di credenziali delle chiavi abilitati per il controllo degli accessi in base al ruolo di Azure, è necessario assegnare il ruolo di amministratore dell'insieme di credenziali delle chiavi all'app Servizio di gestione dei backup di Microsoft Entra aggiungendo un'assegnazione di ruolo in Controllo di accesso dell'insieme di credenziali delle chiavi.
Informazioni sui diversi ruoli disponibili. Il ruolo Di amministratore dell'insieme di credenziali delle chiavi può consentire le autorizzazioni per ottenere, elencare ed eseguire il backup sia del segreto che della chiave.
Per gli insiemi di credenziali delle chiavi abilitati per il controllo degli accessi in base al ruolo di Azure, è possibile creare un ruolo personalizzato con il set di autorizzazioni seguente. Informazioni su come creare un ruolo personalizzato.
Azione | Descrizione |
---|---|
Microsoft.KeyVault/vaults/keys/backup/action | Crea il file di backup di una chiave. |
Microsoft.KeyVault/vaults/secrets/backup/action | Crea il file di backup di un segreto. |
Microsoft.KeyVault/vaults/secrets/getSecret/action | Ottiene il valore di un segreto. |
Microsoft.KeyVault/vaults/keys/read | Elencare le chiavi nell'insieme di credenziali specificato o leggere proprietà e materiali pubblici. |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Elencare o visualizzare le proprietà di un segreto, ma non i relativi valori. |
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/secrets/backup/action",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
]
Attivare un processo di backup
Il backup iniziale verrà eseguito in base alla pianificazione, ma è possibile eseguirlo immediatamente come segue:
- Passare al Centro backup e selezionare la voce di menu Istanze di backup.
- Selezionare Macchine virtuali di Azure come tipo di origine dati e cercare la macchina virtuale configurata per il backup.
- Fare clic con il pulsante destro del mouse sulla riga pertinente o selezionare l'icona (...), quindi fare clic su Esegui backup.
- In Esegui backup usare il comando del calendario per selezionare l'ultimo giorno di conservazione del punto di ripristino. Quindi, seleziona OK.
- Monitorare le notifiche del portale. Per monitorare lo stato del processo, andare a Centro backup>Processi di backup e filtrare l'elenco per i lavori In corso. A seconda delle dimensioni della macchina virtuale, la creazione del backup iniziale potrebbe richiedere un po' di tempo.
Fornire le autorizzazioni
Backup di Azure richiede l'accesso in sola lettura per eseguire il backup delle chiavi e dei segreti, insieme alle macchine virtuali associate.
- L'insieme di credenziali delle chiavi è associato al tenant Di Microsoft Entra della sottoscrizione di Azure. Se si è un utente membro, Backup di Azure acquisisce l'accesso all'insieme di credenziali delle chiavi senza ulteriori azioni.
- Se si è un utente guest, è necessario fornire le autorizzazioni per Backup di Azure per accedere all'insieme di credenziali delle chiavi. È necessario avere accesso agli insiemi di credenziali delle chiavi per configurare il backup per le macchine virtuali crittografate.
Per fornire le autorizzazioni di Controllo degli accessi in base al ruolo di Azure in Key Vault, vedere questo articolo.
Per impostare le autorizzazioni:
Nella portale di Azure selezionare Tutti i servizi e cercare Insiemi di credenziali delle chiavi.
Selezionare l'insieme di credenziali delle chiavi associato alla macchina virtuale crittografata di cui si esegue il backup.
Suggerimento
Per identificare l'insieme di credenziali delle chiavi associato a una macchina virtuale, usare il comando di PowerShell seguente. Sostituire il nome del gruppo di risorse e il nome della macchina virtuale:
Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status
Cercare il nome dell'insieme di credenziali delle chiavi in questa riga:
SecretUrl : https://<keyVaultName>.vault.azure.net
Selezionare Criteri di accesso>Aggiungi criteri di accesso.
In Aggiungi criterio di accesso>Configura dal modello (facoltativo) selezionare Backup di Azure.
- Le autorizzazioni necessarie sono precompilate per Autorizzazioni chiave e Autorizzazioni segrete.
- Se la macchina virtuale è crittografata solo con BEK, rimuovere la selezione per Autorizzazioni chiave perché sono necessarie solo le autorizzazioni per i segreti.
Selezionare Aggiungi. Il servizio di gestione dei backup viene aggiunto ai criteri di accesso.
Selezionare Salva per fornire Backup di Azure con le autorizzazioni.
È anche possibile impostare i criteri di accesso usando PowerShell o l'interfaccia della riga di comando.
Passaggio successivo
Ripristinare le macchine virtuali crittografate di Azure
In caso di problemi, vedere gli articoli seguenti:
- Errori comuni durante il backup e il ripristino di macchine virtuali di Azure crittografate.
- Problemi relativi all'agente di macchine virtuali di Azure o all'estensione di backup.