Eseguire il backup e ripristinare le macchine virtuali crittografate di Azure

Questo articolo descrive come eseguire il backup e il ripristino di macchine virtuali (VM) windows o Linux di Azure con dischi crittografati usando il servizio Backup di Azure. Per altre informazioni, vedere Crittografia dei backup delle macchine virtuali di Azure.

Crittografia con chiavi gestite dalla piattaforma

Per impostazione predefinita, tutti i dischi nelle macchine virtuali vengono crittografati automaticamente inattivi usando chiavi gestite dalla piattaforma (PMK) che usano la crittografia del servizio di archiviazione. È possibile eseguire il backup di queste macchine virtuali usando Backup di Azure senza alcuna azione specifica necessaria per supportare la crittografia alla fine. Per altre informazioni sulla crittografia con chiavi gestite dalla piattaforma, vedere questo articolo.

Encrypted disks

Crittografia con chiavi gestite dal cliente

Quando si crittografa i dischi con chiavi gestite dal cliente ( CMK), la chiave usata per crittografare i dischi viene archiviata nell'insieme di credenziali delle chiavi di Azure ed è gestita dall'utente. Archiviazione Service Encryption (S edizione Standard) che usano cmk differisce dalla crittografia Crittografia dischi di Azure (ADE). Active Directory usa gli strumenti di crittografia del sistema operativo. S edizione Standard crittografa i dati nel servizio di archiviazione, consentendo di usare qualsiasi sistema operativo o immagini per le macchine virtuali.

Non è necessario eseguire azioni esplicite per il backup o il ripristino di macchine virtuali che usano chiavi gestite dal cliente per crittografare i dischi. I dati di backup per queste macchine virtuali archiviati nell'insieme di credenziali verranno crittografati con gli stessi metodi della crittografia usata nell'insieme di credenziali.

Per altre informazioni sulla crittografia dei dischi gestiti con chiavi gestite dal cliente, vedere questo articolo.

Supporto della crittografia con AdE

Backup di Azure supporta il backup di macchine virtuali di Azure con dischi del sistema operativo/dati crittografati con Crittografia dischi di Azure (ADE). AdE usa BitLocker per la crittografia delle macchine virtuali Windows e la funzionalità dm-crypt per le macchine virtuali Linux. Azure Key Vault si integra con Azure Key Vault per gestire chiavi e segreti di crittografia del disco. Le chiavi di crittografia delle chiavi dell'insieme di credenziali delle chiavi (KEK) possono essere usate per aggiungere un ulteriore livello di sicurezza, crittografando i segreti di crittografia prima di scriverli in Key Vault.

Backup di Azure possibile eseguire il backup e il ripristino di macchine virtuali di Azure usando ADE con e senza l'app Microsoft Entra, come riepilogato nella tabella seguente.

Tipo di disco VM ADE (BEK/dm-crypt) ADE e KEK
Non gestito
Gestito

Limiti

  • È possibile eseguire il backup e il ripristino di macchine virtuali crittografate di Azure all'interno della stessa sottoscrizione.
  • Backup di Azure supporta le macchine virtuali crittografate tramite chiavi autonome. Qualsiasi chiave che fa parte di un certificato usato per crittografare una macchina virtuale non è attualmente supportata.
  • Backup di Azure supporta il ripristino tra aree di macchine virtuali di Azure crittografate nelle aree abbinate di Azure. Per altre informazioni, vedere Matrice di supporto.
  • Le macchine virtuali crittografate di Azure non possono essere recuperate a livello di file/cartella. È necessario ripristinare l'intera macchina virtuale per ripristinare file e cartelle.
  • Quando si ripristina una macchina virtuale, non è possibile usare l'opzione sostituisci macchina virtuale esistente per le macchine virtuali crittografate di Azure. Questa opzione è supportata solo per i dischi gestiti non crittografati.

Prima di iniziare

Prima di iniziare, eseguire le operazioni seguenti:

  1. Assicurarsi di disporre di una o più macchine virtuali Windows o Linux con ADE abilitato.
  2. Esaminare la matrice di supporto per il backup di macchine virtuali di Azure
  3. Creare un insieme di credenziali di Backup di Servizi di ripristino se non ne è disponibile uno.
  4. Se si abilita la crittografia per le macchine virtuali già abilitate per il backup, è sufficiente fornire a Backup le autorizzazioni per accedere all'insieme di credenziali delle chiavi in modo che i backup possano continuare senza interruzioni. Altre informazioni sull'assegnazione di queste autorizzazioni.

In alcune circostanze può anche essere necessario eseguire alcune operazioni:

  • Installare l'agente di macchine virtuali nella macchina virtuale: Backup di Azure esegue il backup delle macchine virtuali di Azure installando un'estensione per l'agente di macchine virtuali di Azure in esecuzione nel computer. Se la macchina virtuale è stata creata da un'immagine di Azure Marketplace, l'agente è installato e in esecuzione. Se si crea una macchina virtuale personalizzata o si esegue la migrazione di una macchina virtuale locale, può essere necessario installare l'agente manualmente.

Configurare un criterio di backup

  1. Se non è ancora stato creato un insieme di credenziali di backup di Servizi di ripristino, seguire queste istruzioni.

  2. Passare al Centro backup e fare clic su +Backup nella scheda Panoramica

    Backup pane

  3. Selezionare Macchine virtuali di Azure come tipo di origine dati e selezionare l'insieme di credenziali creato, quindi fare clic su Continua.

    Scenario pane

  4. Selezionare i criteri da associare all'insieme di credenziali, quindi selezionare OK.

    • Un criterio di backup specifica quando vengono eseguiti i backup e per quanto tempo vengono archiviati.
    • I dettagli dei criteri predefiniti vengono elencati nel menu a discesa.

    Choose backup policy

  5. Se non si vuole usare i criteri predefiniti, selezionare Crea nuovo e creare un criterio personalizzato.

  6. In Macchine virtuali selezionare Aggiungi.

    Add virtual machines

  7. Scegliere le macchine virtuali crittografate di cui si vuole eseguire il backup usando il criterio di selezione e selezionare OK.

    Select encrypted VMs

  8. Se si usa Azure Key Vault, nella pagina dell'insieme di credenziali verrà visualizzato un messaggio che Backup di Azure richiede l'accesso in sola lettura alle chiavi e ai segreti nell'insieme di credenziali delle chiavi.

    • Se si riceve questo messaggio, non è necessaria alcuna azione.

      Access OK

    • Se viene visualizzato questo messaggio, è necessario impostare le autorizzazioni come descritto nella procedura seguente.

      Access warning

  9. Selezionare Abilita backup per distribuire i criteri di backup nell'insieme di credenziali e abilitare il backup per le macchine virtuali selezionate.

Eseguire il backup di macchine virtuali crittografate con controllo degli accessi in base al ruolo con insiemi di credenziali delle chiavi abilitati per il controllo degli accessi in base al ruolo

Per abilitare i backup per le macchine virtuali crittografate di Azure usando gli insiemi di credenziali delle chiavi abilitati per il controllo degli accessi in base al ruolo di Azure, è necessario assegnare il ruolo di Key Vault Amministrazione istrator all'app Microsoft Entra del servizio di gestione dei backup aggiungendo un'assegnazione di ruolo in Controllo di accesso dell'insieme di credenziali delle chiavi.

Screenshot shows the checkbox to enable ADE encrypted key vault.

Informazioni sui diversi ruoli disponibili. Il ruolo dell'insieme di credenziali delle chiavi Amministrazione istrator può consentire le autorizzazioni per ottenere, elencare ed eseguire il backup sia del segreto che della chiave.

Per gli insiemi di credenziali delle chiavi abilitati per il controllo degli accessi in base al ruolo di Azure, è possibile creare un ruolo personalizzato con il set di autorizzazioni seguente. Informazioni su come creare un ruolo personalizzato.

Azione Descrizione
Microsoft.KeyVault/vaults/keys/backup/action Crea il file di backup di una chiave.
Microsoft.KeyVault/vaults/secrets/backup/action Crea il file di backup di un segreto.
Microsoft.KeyVault/vaults/secrets/getSecret/action Ottiene il valore di un segreto.
Microsoft.KeyVault/vaults/keys/read Elencare le chiavi nell'insieme di credenziali specificato o leggere proprietà e materiali pubblici.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Elencare o visualizzare le proprietà di un segreto, ma non i relativi valori.
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Screenshot shows how to add permissions to key vault.

Attivare un processo di backup

Il backup iniziale verrà eseguito in base alla pianificazione, ma è possibile eseguirlo immediatamente come segue:

  1. Passare al Centro backup e selezionare la voce di menu Istanze di backup.
  2. Selezionare Macchine virtuali di Azure come tipo di origine dati e cercare la macchina virtuale configurata per il backup.
  3. Fare clic con il pulsante destro del mouse sulla riga pertinente o selezionare l'icona (...), quindi fare clic su Esegui backup.
  4. In Esegui backup usare il comando del calendario per selezionare l'ultimo giorno di conservazione del punto di ripristino. Quindi, seleziona OK.
  5. Monitorare le notifiche del portale. Per monitorare lo stato del processo, passare a Processi di backup del Centro>backup e filtrare l'elenco per Processi in corso. A seconda delle dimensioni della macchina virtuale, la creazione del backup iniziale potrebbe richiedere un po' di tempo.

Fornire le autorizzazioni

Backup di Azure richiede l'accesso in sola lettura per eseguire il backup delle chiavi e dei segreti, insieme alle macchine virtuali associate.

  • L'insieme di credenziali delle chiavi è associato al tenant Di Microsoft Entra della sottoscrizione di Azure. Se si è un utente membro, Backup di Azure acquisisce l'accesso all'insieme di credenziali delle chiavi senza ulteriori azioni.
  • Se si è un utente guest, è necessario fornire le autorizzazioni per Backup di Azure per accedere all'insieme di credenziali delle chiavi. È necessario avere accesso agli insiemi di credenziali delle chiavi per configurare il backup per le macchine virtuali crittografate.

Per fornire le autorizzazioni di Controllo degli accessi in base al ruolo di Azure in Key Vault, vedere questo articolo.

Per impostare le autorizzazioni:

  1. Nella portale di Azure selezionare Tutti i servizi e cercare Insiemi di credenziali delle chiavi.

  2. Selezionare l'insieme di credenziali delle chiavi associato alla macchina virtuale crittografata di cui si esegue il backup.

    Suggerimento

    Per identificare l'insieme di credenziali delle chiavi associato a una macchina virtuale, usare il comando di PowerShell seguente. Sostituire il nome del gruppo di risorse e il nome della macchina virtuale:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Cercare il nome dell'insieme di credenziali delle chiavi in questa riga:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Selezionare Criteri di accesso>Aggiungi criteri di accesso.

    Add access policy

  4. In Aggiungi criterio di accesso>Configura dal modello (facoltativo) selezionare Backup di Azure.

    • Le autorizzazioni necessarie sono precompilate per Autorizzazioni chiave e Autorizzazioni segrete.
    • Se la macchina virtuale è crittografata solo con BEK, rimuovere la selezione per Autorizzazioni chiave perché sono necessarie solo le autorizzazioni per i segreti.

    Azure Backup selection

  5. Seleziona Aggiungi. Il servizio di gestione dei backup viene aggiunto ai criteri di accesso.

    Access policies

  6. Selezionare Salva per fornire Backup di Azure con le autorizzazioni.

È anche possibile impostare i criteri di accesso usando PowerShell o l'interfaccia della riga di comando.

Passaggi successivi

Ripristinare le macchine virtuali crittografate di Azure

In caso di problemi, vedere gli articoli seguenti: