Condividi tramite

Eseguire il backup e ripristinare le macchine virtuali crittografate di Azure

Questo articolo descrive come eseguire il backup e il ripristino di macchine virtuali windows o Linux di Azure con dischi crittografati usando Backup di Azure. Per altre informazioni, vedere Crittografia dei backup delle macchine virtuali di Azure.

Scenari supportati per il backup e il ripristino di macchine virtuali di Azure crittografate

Questa sezione descrive gli scenari supportati per il backup e il ripristino di macchine virtuali di Azure crittografate.

Crittografia tramite chiavi gestite dalla piattaforma

Per impostazione predefinita, tutti i dischi delle tue macchine virtuali vengono crittografati automaticamente quando non sono attivi, utilizzando chiavi gestite dalla piattaforma (PMK) che usano la crittografia del servizio di archiviazione (SSE). È possibile eseguire il backup di queste macchine virtuali usando Backup di Azure senza azioni specifiche necessarie per supportare la crittografia alla fine. Per altre informazioni sulla crittografia con chiavi gestite dalla piattaforma, vedere Eseguire il backup e il ripristino di macchine virtuali di Azure crittografate.

Screenshot che mostra i dischi crittografati.

Crittografia tramite chiavi gestite dal cliente

Quando si crittografa i dischi con chiavi gestite dal cliente, la chiave usata per crittografare i dischi viene archiviata in Azure Key Vault, gestita dall'utente. La crittografia del servizio di archiviazione tramite CMK è diversa dalla crittografia dischi di Azure (ADE). Active Directory usa gli strumenti di crittografia del sistema operativo. SSE crittografa i dati nel servizio di archiviazione, che consente di usare qualsiasi sistema operativo o immagini per le macchine virtuali.

Non è necessario eseguire azioni esplicite per il backup o il ripristino di macchine virtuali che usano ICM per crittografare i dischi. I dati di backup di queste macchine virtuali memorizzati nel vault sono crittografati con gli stessi metodi della crittografia usata per il vault.

Per altre informazioni sulla crittografia dei dischi gestiti con cmk, vedere Crittografia lato server dell'archiviazione su disco di Azure.

Supporto della crittografia tramite ADE

Backup di Azure supporta il backup di macchine virtuali di Azure con dischi del sistema operativo/dati crittografati con AdE. AdE usa Azure BitLocker per la crittografia delle macchine virtuali Windows e la funzionalità dm-crypt per le macchine virtuali Linux. ADE si integra con Azure Key Vault per gestire chiavi e segreti di crittografia del disco. È anche possibile usare le chiavi di crittografia delle chiavi di Key Vault (KEK) per aggiungere un ulteriore livello di sicurezza. Kek crittografa i segreti prima di scriverli in Key Vault.

Backup di Azure può eseguire il backup e il ripristino di macchine virtuali di Azure usando ADE con e senza l'app Microsoft Entra, come riepilogato nella tabella seguente.

Tipo di disco della macchina virtuale ADE (BEK/dm-crypt) ADE e KEK
Non gestito
Gestito

Limiti

Prima di eseguire il backup o il ripristino di macchine virtuali crittografate di Azure, esaminare le limitazioni seguenti:

  • È possibile eseguire il backup e il ripristino di macchine virtuali crittografate da ADE all'interno della stessa sottoscrizione.
  • È possibile crittografare le macchine virtuali solo usando chiavi autonome. Qualsiasi chiave che fa parte di un certificato usato per crittografare una macchina virtuale non è attualmente supportata.
  • È possibile ripristinare i dati in un'area secondaria. Backup di Azure supporta il ripristino interregionale di macchine virtuali di Azure crittografate nelle regioni abbinate di Azure. Per altre informazioni, vedere Matrice di supporto.
  • È possibile ripristinare le macchine virtuali crittografate da ADE a livello di file o di cartella. È necessario ripristinare l'intera macchina virtuale per ripristinare file e cartelle.
  • Non è possibile usare l'opzione sostituisci macchina virtuale esistente per le macchine virtuali crittografate da ADE quando si ripristina una macchina virtuale. Questa opzione è supportata solo per i dischi gestiti non crittografati.

Prima di iniziare

Prima di iniziare, seguire questa procedura:

  1. Assicurarsi di disporre di una o più macchine virtuali Windows o Linux con ADE abilitato.
  2. Esaminare la matrice di supporto per il backup di macchine virtuali di Azure.
  3. Creare un insieme di credenziali di Servizi di ripristino, se non ancora presente.
  4. Se si abilita la crittografia per le macchine virtuali già abilitate per il backup, fornire a Backup di Azure le autorizzazioni per accedere all'insieme di credenziali delle chiavi in modo che i backup possano continuare senza interruzioni. Altre informazioni sull'assegnazione di queste autorizzazioni.

In alcuni casi, potrebbe anche essere necessario installare l'agente di macchine virtuali nella macchina virtuale.

Backup di Azure esegue il backup di macchine virtuali di Azure installando un'estensione per l'agente di macchine virtuali di Azure in esecuzione nel computer. Se la macchina virtuale è stata creata da un'immagine di Azure Marketplace, l'agente è installato e in esecuzione. Se si crea una macchina virtuale personalizzata o si esegue la migrazione di un computer locale, potrebbe essere necessario installare manualmente l'agente.

Configurare un criterio di backup

Per configurare un criterio di backup, seguire questa procedura:

  1. Se non si dispone di una cassetta di backup di Servizi di ripristino, seguire queste istruzioni per crearne una.

  2. Passare al Centro backup e nella scheda Panoramica selezionare + Backup.

    Screenshot che mostra il Centro backup.

  3. Per tipo di origine dati, selezionare Macchine virtuali di Azure e scegliere l'insieme di credenziali creato. Selezionare quindi Continua.

    Screenshot che mostra il riquadro dello scenario.

  4. Selezionare i criteri da associare all'insieme di credenziali, quindi selezionare OK.

    • I criteri di backup specificano quando vengono eseguiti i backup e per quanto tempo vengono archiviati.
    • I dettagli dei criteri predefiniti sono elencati nel menu a discesa.

    Screenshot che mostra la scelta dei criteri di backup.

  5. Se non si vuole usare i criteri predefiniti, selezionare Crea nuovo e creare un criterio personalizzato.

  6. In Macchine virtuali selezionare Aggiungi.

    Screenshot che mostra l'aggiunta di macchine virtuali.

  7. Scegliere le macchine virtuali crittografate di cui si vuole eseguire il backup usando i criteri di selezione e selezionare OK.

    Screenshot che mostra la selezione di macchine virtuali crittografate.

  8. Se si usa Key Vault, nella pagina di Key Vault viene visualizzato un messaggio che informa che Azure Backup richiede l'accesso in sola lettura alle chiavi e ai segreti nel Key Vault.

    • Se viene visualizzato questo messaggio, non è necessaria alcuna azione:

      Screenshot che mostra che l'accesso è OK.

    • Se viene visualizzato questo messaggio, impostare le autorizzazioni come descritto nella procedura seguente:

      Screenshot che mostra l'avviso di accesso.

  9. Selezionare Abilita backup per distribuire i criteri di backup nell'insieme di credenziali e abilitare il backup per le macchine virtuali selezionate.

Eseguire il backup di macchine virtuali crittografate con crittografia dischi di Azure con insiemi di credenziali delle chiavi abilitati per il controllo degli accessi in base al ruolo

Per abilitare i backup per le macchine virtuali crittografate con ADE usando insiemi di credenziali delle chiavi abilitati dal controllo degli accessi in base al ruolo di Azure (RBAC), assegnare il ruolo di Amministratore dell'insieme di credenziali delle chiavi all'app Backup Management Service di Microsoft Entra aggiungendo un'assegnazione di ruolo su Controllo di accesso per l'insieme di credenziali delle chiavi.

Per accedere all'insieme di credenziali delle chiavi, le operazioni di backup delle macchine virtuali usano l'app Servizio di gestione del backup anziché l'identità gestita dell'insieme di credenziali di Servizi di ripristino. Per il corretto funzionamento dei backup, è necessario concedere all'app le autorizzazioni necessarie per l'insieme di credenziali delle chiavi.

Screenshot che mostra la casella di controllo per abilitare un archivio di chiavi crittografato da ADE.

Informazioni sui ruoli disponibili. Il ruolo di Key Vault Administrator consente di ottenere, elencare ed eseguire il backup sia dei segreti che delle chiavi.

Per i key vault abilitati a RBAC di Azure, è possibile creare un ruolo personalizzato con il seguente insieme di autorizzazioni. Informazioni su come creare un ruolo personalizzato.

Annotazioni

Quando si usa Azure per enti pubblici, assicurarsi che il ruolo di amministratore dell'insieme di credenziali delle chiavi sia assegnato all'applicazione Backup Fairfax Microsoft Entra per abilitare l'accesso e le funzionalità appropriate.

Azione Descrizione
Microsoft.KeyVault/vaults/keys/backup/action Crea il file di backup di una chiave.
Microsoft.KeyVault/vaults/secrets/backup/action Crea il file di backup di un segreto.
Microsoft.KeyVault/vaults/secrets/getSecret/action Consente di ottenere il valore di un segreto.
Microsoft.KeyVault/vaults/keys/read In questo modo elencherà le chiavi nell'insieme di credenziali specificato o leggerà proprietà e materiali pubblici.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Elenca o visualizza le proprietà di un segreto, ma non i relativi valori. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Lo screenshot mostra come aggiungere autorizzazioni a un Key Vault.

Attivare un processo di backup

Il backup iniziale viene eseguito in base alla pianificazione, ma è anche possibile eseguirlo immediatamente:

  1. Passare al Centro backup e selezionare la voce di menu Istanze di backup.

  2. Per Tipo di origine dati selezionare Macchine virtuali di Azure. Cercare quindi la macchina virtuale configurata per il backup.

  3. Fare clic con il pulsante destro del mouse sulla riga pertinente o selezionare Altro (...), quindi selezionare Backup now (Backup Now).

  4. In Backup ora usare il controllo calendario per selezionare l'ultimo giorno in cui deve essere conservato il punto di ripristino. Quindi, seleziona OK.

  5. Monitorare le notifiche del portale.

    Per monitorare lo stato del processo, vai a Centro backup>Processi di backup e filtrare l'elenco per i processi in corso. A seconda delle dimensioni della macchina virtuale, la creazione del backup iniziale potrebbe richiedere del tempo.

Fornire le autorizzazioni

Backup di Azure richiede l'accesso in sola lettura per eseguire il backup delle chiavi e dei segreti, insieme alle macchine virtuali associate.

  • L'insieme di credenziali delle chiavi è associato al tenant di Microsoft Entra della sottoscrizione di Azure. Nel caso degli utenti membri, Backup di Azure acquisisce l'accesso all'insieme di credenziali delle chiavi senza ulteriori azioni.
  • Se sei un utente guest, devi fornire le autorizzazioni per consentire l'accesso di Azure Backup al key vault. È necessario avere accesso agli insiemi di credenziali chiavi per configurare il Backup di Azure per macchine virtuali crittografate.

Per fornire autorizzazioni di controllo degli accessi in base al ruolo di Azure per un insieme di credenziali delle chiavi, vedere Abilitare le autorizzazioni di controllo degli accessi in base al ruolo per un insieme di credenziali delle chiavi.

Per impostare le autorizzazioni:

  1. Nel portale di Azure selezionare Tutti i servizi e cercare Key Vault.

  2. Selezionare l'insieme di credenziali delle chiavi associato alla macchina virtuale crittografata di cui eseguire il backup.

    Suggerimento

    Per identificare il key vault associato a una macchina virtuale, usare il comando PowerShell seguente. Sostituire il nome del gruppo di risorse e il nome della macchina virtuale:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Cercare il nome dell'insieme di credenziali delle chiavi in questa riga:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Selezionare Criteri di accesso>Aggiungi criteri di accesso.

    Screenshot che mostra l'aggiunta dei criteri di accesso.

  4. Per Aggiungi criteri di accesso>Configurare da modello (facoltativo), selezionare Backup di Azure.

    • Le autorizzazioni necessarie sono precompilate per Autorizzazioni chiave e Autorizzazioni segrete.
    • Se la macchina virtuale è crittografata solo tramite BEK, rimuovere la selezione per Autorizzazioni chiave perché sono necessarie autorizzazioni solo per i segreti.

    Screenshot che mostra la selezione di Backup di Azure.

  5. Selezionare Aggiungi per aggiungere il servizio di gestione dei backup in Criteri di accesso correnti.

    Screenshot che mostra i criteri di accesso.

  6. Selezionare Salva per fornire Backup di Azure con le autorizzazioni.

È anche possibile impostare i criteri di accesso usando PowerShell o l'interfaccia della riga di comando di Azure.

Contenuti correlati

In caso di problemi, vedere gli articoli seguenti:

  • Last updated on