Crittografia dei dati di backup tramite chiavi gestite dal cliente

Backup di Azure consente di crittografare i dati di backup usando chiavi gestite dal cliente anziché usare chiavi gestite dalla piattaforma, abilitate per impostazione predefinita. Le chiavi crittografano i dati di backup devono essere archiviati in Azure Key Vault.

La chiave di crittografia usata per crittografare i backup può essere diversa da quella usata per l'origine. I dati sono protetti usando una chiave di crittografia dei dati basata su AES 256 (DEK), che a sua volta è protetta usando le chiavi di crittografia delle chiavi (KEK). In questo modo è possibile controllare completamente i dati e le chiavi. Per consentire la crittografia, è necessario concedere all'insieme di credenziali di Servizi di ripristino le autorizzazioni per accedere alla chiave di crittografia nel Key Vault di Azure. È possibile modificare la chiave quando necessario.

In questo articolo si apprenderà come:

• Creare un insieme di credenziali di Servizi di ripristino
• Configurare l'insieme di credenziali di Servizi di ripristino per crittografare i dati di backup usando chiavi gestite dal cliente (CMK)
• Eseguire il backup in insiemi di credenziali crittografati usando chiavi gestite dal cliente
• Ripristinare i dati dai backup

Prima di iniziare

• Questa funzionalità consente di crittografare solo nuovi insiemi di credenziali di Servizi di ripristino. Tutti gli insiemi di credenziali contenenti elementi registrati o tentativi di registrazione non sono supportati.

• Dopo aver abilitato l'insieme di credenziali di Servizi di ripristino, la crittografia tramite chiavi gestite dal cliente non può essere ripristinata per l'uso delle chiavi gestite dalla piattaforma (impostazione predefinita). È possibile modificare le chiavi di crittografia in base ai requisiti.

• Questa funzionalità attualmente non supporta il backup usando l'agente MARS e potrebbe non essere possibile usare un insieme di credenziali crittografato da CMK per lo stesso. L'agente MARS usa una crittografia basata su passphrase dell'utente. Questa funzionalità non supporta anche il backup delle macchine virtuali classiche.

• Questa funzionalità non è correlata alla crittografia dischi di Azure, che usa la crittografia basata su guest del disco di una macchina virtuale usando BitLocker (per Windows) e DM-Crypt (per Linux).

• L'insieme di credenziali di Servizi di ripristino può essere crittografato solo con le chiavi archiviate in Azure Key Vault, che si trovano nella stessa area. Inoltre, le chiavi devono essere supportate solo dalle chiavi RSA e devono essere abilitate.

• Lo spostamento dell'insieme di credenziali di Servizi di ripristino crittografato in gruppi di risorse e sottoscrizioni non è attualmente supportato.

• Gli insiemi di credenziali di Servizi di ripristino crittografati con chiavi gestite dal cliente attualmente non supportano il ripristino tra aree delle istanze di backup.

• Quando si sposta un insieme di credenziali di Servizi di ripristino già crittografato con le chiavi gestite dal cliente in un nuovo tenant, è necessario aggiornare l'insieme di credenziali di Servizi di ripristino per ricreare e riconfigurare l'identità gestita dell'insieme di credenziali e cmK (che dovrebbe trovarsi nel nuovo tenant). In caso contrario, le operazioni di backup e ripristino avranno esito negativo. Inoltre, tutte le autorizzazioni di controllo degli accessi in base al ruolo di Azure configurate all'interno della sottoscrizione dovranno essere riconfigurate.

• Questa funzionalità può essere configurata tramite il portale di Azure e PowerShell.

  Nota

  Usare az module 5.3.0 o versioni successive per usare chiavi gestite dal cliente per i backup nell'insieme di credenziali di Servizi di ripristino.

  Avviso

  Se si usa PowerShell per la gestione delle chiavi di crittografia per il backup, non è consigliabile aggiornare le chiavi dal portale.
  Se si aggiorna la chiave dal portale, non è possibile usare PowerShell per aggiornare ulteriormente la chiave di crittografia, fino a quando non è disponibile un aggiornamento di PowerShell per supportare il nuovo modello. È tuttavia possibile continuare a aggiornare la chiave dal portale di Azure.

Se l'insieme di credenziali di Servizi di ripristino non è stato creato e configurato, vedere come eseguire questa operazione qui.

Configurare un insieme di credenziali per crittografare tramite chiavi gestite dal cliente

Per configurare un insieme di credenziali, eseguire le azioni seguenti nella sequenza specificata per ottenere i risultati previsti. Ogni azione viene illustrata in dettaglio nelle sezioni seguenti:

1. Abilitare l'identità gestita per l'insieme di credenziali di Servizi di ripristino.

2. Assegnare le autorizzazioni all'insieme di credenziali per accedere alla chiave di crittografia in Azure Key Vault.

3. Abilitare la protezione di eliminazione temporanea ed eliminazione in Azure Key Vault.

4. Assegnare la chiave di crittografia all'insieme di credenziali di Servizi di ripristino,

Abilitare l'identità gestita per l'insieme di credenziali di Servizi di ripristino

Backup di Azure usa identità gestite assegnate dal sistema e identità gestite assegnate dall'utente per autenticare l'insieme di credenziali di Servizi di ripristino per accedere alle chiavi di crittografia archiviate in Azure Key Vault. Per abilitare l'identità gestita per l'insieme di credenziali di Servizi di ripristino, seguire questa procedura:

Nota

Dopo aver abilitato, non è necessario disabilitare l'identità gestita (anche temporaneamente). La disabilitazione dell'identità gestita può causare un comportamento incoerente.

Abilitare l'identità gestita assegnata dal sistema per l'insieme di credenziali

Scegliere un client:

Portale di Azure

1. Passare all'insieme di credenziali di Servizi di ripristino ->Identity

   

2. Passare alla scheda Sistema assegnata .

3. Modificare lo stato su Attivato.

4. Fare clic su Salva per abilitare l'identità per l'insieme di credenziali.

Viene generato un ID oggetto, ovvero l'identità gestita assegnata dal sistema dell'insieme di credenziali.

Nota

Una volta abilitata, l'identità gestita non deve essere disabilitata (anche temporaneamente). La disabilitazione dell'identità gestita può causare un comportamento incoerente.

PowerShell

Usare il comando Update-AzRecoveryServicesVault per abilitare l'identità gestita assegnata dal sistema per l'insieme di credenziali dei servizi di ripristino.

Esempio:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault

$vault.Identity | fl

Output:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

Usare il comando az backup vault identity assign per abilitare l'identità gestita assegnata dal sistema per l'insieme di credenziali di Servizi di ripristino.

Esempio:

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

Output:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Assegnare l'identità gestita assegnata dall'utente all'insieme di credenziali (in anteprima)

Nota

• Gli insiemi di credenziali che usano identità gestite assegnate dall'utente per la crittografia CMK non supportano l'uso di endpoint privati per il backup.
• Azure Key Vaults limita l'accesso a reti specifiche non è ancora supportato per l'uso insieme alle identità gestite assegnate dall'utente per la crittografia CMK.

Per assegnare l'identità gestita assegnata dall'utente per l'insieme di credenziali di Servizi di ripristino, scegliere un client:

Portale di Azure

1. Passare all'insieme di credenziali di Servizi di ripristino ->Identity

   

2. Passare alla scheda Utente assegnato .

3. Fare clic su +Aggiungi per aggiungere un'identità gestita assegnata dall'utente.

4. Nel pannello Aggiungi identità gestita assegnata dall'utente visualizzato selezionare la sottoscrizione per l'identità.

5. Selezionare l'identità dall'elenco. È anche possibile filtrare in base al nome dell'identità o al gruppo di risorse.

6. Al termine, fare clic su Aggiungi per completare l'assegnazione dell'identità.

PowerShell

Usare il comando Update-AzRecoveryServicesVault per abilitare l'identità gestita assegnata dall'utente per l'insieme di credenziali dei servizi di ripristino.

Esempio:

$vault = Get-AzRecoveryServicesVault -Name "vaultName" -ResourceGroupName "resourceGroupName"
$identity1 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity1"
$identity2 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity2"
$updatedVault = Update-AzRecoveryServicesVault -ResourceGroupName $vault.ResourceGroupName -Name $vault.Name -IdentityType UserAssigned -IdentityId $identity1.Id, $identity2.Id

$updatedVault.Identity | fl

Output:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity1, Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity],[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity2,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

CLI

Usare il comando az backup vault identity assign per abilitare l'identità gestita assegnata dal sistema per l'insieme di credenziali di Servizi di ripristino.

Esempio:

az backup vault identity assign --user-assigned MyIdentityId1 --resource-group MyResourceGroup --name MyVault

Output:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyIdentityId1,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

Assegnare le autorizzazioni all'insieme di credenziali di Servizi di ripristino per accedere alla chiave di crittografia in Azure Key Vault

Nota

Se si usano identità assegnate dall'utente, è necessario assegnare le stesse autorizzazioni all'identità assegnata dall'utente.

È ora necessario consentire all'insieme di credenziali di Servizi di ripristino di accedere all'Key Vault di Azure contenente la chiave di crittografia. Questa operazione viene eseguita consentendo all'identità gestita dell'insieme di credenziali di Servizi di ripristino di accedere all'Key Vault.

Scegliere un client:

Portale di Azure

1. Passare a Azure Key Vault ->Criteri di accesso. Continuare con +Aggiungi criteri di accesso.

   

2. In Autorizzazioni chiave selezionare Get, List, Unwrap Key and Wrapping Key operations .In Key Permissions (Autorizzazioni chiave chiave) selezionare Get, List, Unwrap Key operations (Recupera, Elenco) e Annulla il wrapping delle operazioni chiave. In questo modo vengono specificate le azioni sulla chiave che saranno consentite.

   

3. Passare a Seleziona entità e cercare l'insieme di credenziali nella casella di ricerca usando il nome o l'identità gestita. Dopo aver visualizzato, selezionare l'insieme di credenziali e scegliere Seleziona nella parte inferiore del riquadro.

   

4. Al termine, selezionare Aggiungi per aggiungere i nuovi criteri di accesso.

5. Selezionare Salva per salvare le modifiche apportate ai criteri di accesso del Key Vault di Azure.

Nota

È anche possibile assegnare un ruolo RBAC all'insieme di credenziali di Servizi di ripristino che contiene le autorizzazioni indicate in precedenza, ad esempio il ruolo Key Vault Crypto Officer.

Questi ruoli possono contenere autorizzazioni aggiuntive diverse da quelle descritte in precedenza.

PowerShell

Usare il comando Get-AzADServicePrincipal per ottenere l'ID principale dell'insieme di credenziali di Servizi di ripristino e quindi usare questo ID nel comando Get-AzADServicePrincipal per impostare un criterio di accesso per l'insieme di credenziali delle chiavi.

Esempio:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

CLI

Usare il comando az ad sp list per ottenere l'ID principale dell'insieme di credenziali di Servizi di ripristino e quindi usare questo ID nel comando az keyvault set-policy per impostare un criterio di accesso per l'insieme di credenziali delle chiavi.

Esempio:

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

Abilitare la protezione di eliminazione temporanea ed eliminazione in Azure Key Vault

È necessario abilitare l'eliminazione temporanea ed eliminare la protezione nel Key Vault di Azure che archivia la chiave di crittografia.

Per abilitare la protezione di eliminazione temporanea ed eliminazione, scegliere un client:

Portale di Azure

È possibile eseguire questa operazione dall'interfaccia utente di Azure Key Vault, come illustrato di seguito. In alternativa, è possibile impostare queste proprietà durante la creazione del Key Vault. Altre informazioni su queste proprietà Key Vault.

PowerShell

1. Accedere all'account Azure personale.

   Login-AzAccount
   

2. Selezionare la sottoscrizione che contiene l'insieme di credenziali.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Abilitare l'eliminazione temporanea

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Abilita la protezione dall'eliminazione

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

CLI

1. Accedere all'account Azure personale.

   az login
   

2. Selezionare la sottoscrizione che contiene l'insieme di credenziali.

   az account set --subscription "Subscription1"
   

3. Abilitare l'eliminazione temporanea

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Abilita la protezione dall'eliminazione

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
   
   

Assegnare la chiave di crittografia all'insieme di credenziali di Servizi di ripristino

Nota

Prima di procedere ulteriormente, assicurarsi quanto segue:

• Tutti i passaggi indicati in precedenza sono stati completati correttamente:
  • L'identità gestita dell'insieme di credenziali di Servizi di ripristino è stata abilitata ed è stata assegnata le autorizzazioni necessarie
  • L'Key Vault di Azure include l'eliminazione temporanea e la protezione dell'eliminazione abilitata
• Insieme di credenziali di Servizi di ripristino per il quale si vuole abilitare la crittografia CMK non dispone di elementi protetti o registrati in esso

Dopo aver verificato l'operazione precedente, continuare con la selezione della chiave di crittografia per l'insieme di credenziali.

Per assegnare la chiave e seguire la procedura, scegliere un client:

Portale di Azure

1. Passare all'insieme di credenziali di Servizi di ripristino ->Proprietà

   

2. Selezionare Aggiorna in Impostazioni di crittografia.

3. Nel riquadro Impostazioni crittografia selezionare Usa la chiave personalizzata e continuare a specificare la chiave usando uno dei modi seguenti.

   Assicurarsi di usare una chiave RSA, che è in stato abilitato.

   1. Immettere l'URI chiave con cui si desidera crittografare i dati in questo insieme di credenziali di Servizi di ripristino. È anche necessario specificare la sottoscrizione in cui è presente l'Key Vault di Azure (che contiene questa chiave). Questo URI chiave può essere ottenuto dalla chiave corrispondente nell'Key Vault di Azure. Assicurarsi che l'URI della chiave venga copiato correttamente. È consigliabile usare il pulsante Copia negli Appunti fornito con l'identificatore della chiave.

      Nota

      Quando si specifica la chiave di crittografia usando l'URI chiave completa, la chiave non verrà ruotata automaticamente e sarà necessario eseguire manualmente gli aggiornamenti delle chiavi specificando la nuova chiave quando necessario. In alternativa, rimuovere il componente Version dell'URI chiave per ottenere la rotazione automatica.

      

   2. Sfogliare e selezionare la chiave dal Key Vault nel riquadro selezione chiavi.

      Nota

      Quando si specifica la chiave di crittografia usando il riquadro selezione chiavi, la chiave verrà ruotata automaticamente ogni volta che viene abilitata una nuova versione per la chiave. Altre informazioni sull'abilitazione della rotazione automatica delle chiavi di crittografia.

      

4. Selezionare Salva.

5. Rilevamento dello stato e dello stato dell'aggiornamento della chiave di crittografia: è possibile tenere traccia dello stato e dello stato dell'assegnazione della chiave di crittografia usando la visualizzazione Processi di backup sulla barra di spostamento a sinistra. Lo stato dovrebbe essere presto modificato in Completato. L'insieme di credenziali crittograferà ora tutti i dati con la chiave specificata come KEK.

   

   Gli aggiornamenti della chiave di crittografia vengono registrati anche nel log attività dell'insieme di credenziali.

   

PowerShell

Usare il comando Set-AzRecoveryServicesVaultProperty per abilitare la crittografia usando chiavi gestite dal cliente e per assegnare o aggiornare la chiave di crittografia da usare.

Esempio:

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

Output:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

CLI

Usare il comando az backup vault encryption update per abilitare la crittografia usando chiavi gestite dal cliente e per assegnare o aggiornare la chiave di crittografia da usare.

Esempio:

az backup vault encryption update --encryption-key-id MyEncryptionKeyId --mi-system-assigned --resource-group MyResourceGroup --name MyVault

Output:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

Nota

Questo processo rimane invariato quando si desidera aggiornare o modificare la chiave di crittografia. Se si vuole aggiornare e usare una chiave da un'altra Key Vault (diversa da quella attualmente usata), assicurarsi che:

• L'insieme di credenziali delle chiavi si trova nella stessa area dell'insieme di credenziali di Servizi di ripristino

• L'insieme di credenziali delle chiavi ha la protezione di eliminazione temporanea e eliminazione abilitata

• L'insieme di credenziali di Servizi di ripristino dispone delle autorizzazioni necessarie per accedere all'insieme di credenziali delle chiavi.

Eseguire il backup in un insieme di credenziali crittografato con chiavi gestite dal cliente

Prima di procedere alla configurazione della protezione, è consigliabile assicurarsi che l'elenco di controllo seguente sia rispettato. Ciò è importante poiché dopo che un elemento è stato configurato per il backup (o tentativo di essere configurato) in un insieme di credenziali crittografato non CMK, la crittografia tramite chiavi gestite dal cliente non può essere abilitata e continuerà a usare chiavi gestite dalla piattaforma.

Importante

Prima di procedere alla configurazione della protezione, è necessario aver completato correttamente i passaggi seguenti:

1. Creare l'insieme di credenziali di Servizi di ripristino
2. Abilitato l'identità gestita assegnata dal sistema dell'insieme di credenziali di Servizi di ripristino o assegnata a un'identità gestita assegnata dall'utente all'insieme di credenziali
3. Autorizzazioni assegnate all'insieme di credenziali di Servizi di ripristino (o all'identità gestita assegnata dall'utente) per accedere alle chiavi di crittografia dal Key Vault
4. Protezione di eliminazione temporanea e eliminazione temporanea per il Key Vault
5. Assegnato una chiave di crittografia valida per l'insieme di credenziali di Servizi di ripristino

Se tutti i passaggi precedenti sono stati confermati, procedere solo con la configurazione del backup.

Il processo per configurare ed eseguire backup in un insieme di credenziali di Servizi di ripristino crittografato con chiavi gestite dal cliente è uguale a quello di un insieme di credenziali che usa chiavi gestite dalla piattaforma, senza modifiche all'esperienza. Ciò vale per il backup di macchine virtuali di Azure e per il backup dei carichi di lavoro in esecuzione all'interno di una macchina virtuale( ad esempio, SAP HANA, SQL Server database).

Ripristinare i dati dal backup

Backup di macchine virtuali

I dati archiviati nell'insieme di credenziali di Servizi di ripristino possono essere ripristinati in base ai passaggi descritti qui. Quando si esegue il ripristino da un insieme di credenziali di Servizi di ripristino crittografato usando chiavi gestite dal cliente, è possibile scegliere di crittografare i dati ripristinati con un set di crittografia dischi (DES).

Ripristinare una macchina virtuale o un disco

1. Quando si ripristina il disco o la macchina virtuale da un punto di ripristino snapshot , i dati ripristinati verranno crittografati con il des usato per crittografare i dischi della macchina virtuale di origine.

2. Quando si ripristina un disco o una macchina virtuale da un punto di ripristino con tipo di ripristino come "Insieme di credenziali", è possibile scegliere di crittografare i dati ripristinati usando un des, specificato al momento del ripristino. In alternativa, è possibile scegliere di continuare con il ripristino dei dati senza specificare des, nel qual caso verrà crittografato usando chiavi gestite da Microsoft.

3. Durante il ripristino tra aree, cmk (chiavi gestite dal cliente) abilitate per le macchine virtuali di Azure, che non vengono sottoposte a backup in un insieme di credenziali di Servizi di ripristino abilitato per la chiave gestita dal cliente, vengono ripristinate come macchine virtuali non abilitate per la chiave gestita dal cliente nell'area secondaria.

È possibile crittografare il disco/macchina virtuale ripristinato al termine del ripristino, indipendentemente dalla selezione effettuata durante l'avvio del ripristino.

Selezionare un set di crittografia dischi durante il ripristino dal punto di ripristino dell'insieme di credenziali

Scegliere un client:

Portale di Azure

Per specificare il set di crittografia dischi in Impostazioni di crittografia nel riquadro di ripristino, seguire questa procedura:

1. In Crittografa dischi usando la chiave selezionare Sì.

2. Nell'elenco a discesa selezionare il des che si vuole usare per i dischi ripristinati. Assicurarsi di avere accesso alla des.

Nota

La possibilità di scegliere una des durante il ripristino non è disponibile se si ripristina una macchina virtuale che usa Crittografia dischi di Azure.

PowerShell

Usare il comando Get-AzRecoveryServicesBackupItem con il parametro [-DiskEncryptionSetId <string>] per specificare il des da usare per crittografare il disco ripristinato. Per altre informazioni sul ripristino dei dischi dal backup delle macchine virtuali, vedere questo articolo.

Esempio:

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId "testdes1" -VaultId $vault.ID

CLI

Usare il comando az backup restore restore-disks con il parametro [-DiskEncryptionSetId <string>] per specificare il des da usare per crittografare il disco ripristinato.

Esempio:

az backup recoverypoint list --container-name MyContainer --item-name MyItem --resource-group MyResourceGroup --vault-name MyVault
az backup restore restore-disks --container-name MyContainer --disk-encryption-set-id testdes1 --item-name MyItem --resource-group MyResourceGroup --rp-name MyRp --storage-account mystorageaccount --vault-name MyVault

Ripristinare i file

Quando si esegue un ripristino di file, i dati ripristinati verranno crittografati con la chiave usata per crittografare il percorso di destinazione.

Ripristinare database SAP HANA/SQL nelle macchine virtuali di Azure

Quando si esegue il ripristino da un database SAP HANA/SQL di cui è stato eseguito il backup in una macchina virtuale di Azure, i dati ripristinati verranno crittografati usando la chiave di crittografia usata nel percorso di archiviazione di destinazione. Può trattarsi di una chiave gestita dal cliente o di una chiave gestita dalla piattaforma usata per crittografare i dischi della macchina virtuale.

Argomenti aggiuntivi

Abilitare la crittografia usando chiavi gestite dal cliente durante la creazione dell'insieme di credenziali (in anteprima)

Nota

L'abilitazione della crittografia all'insieme di credenziali tramite chiavi gestite dal cliente è in anteprima pubblica limitata e richiede l'elenco di sottoscrizioni consentite. Per iscriversi all'anteprima, compilare il modulo e scrivere all'indirizzo AskAzureBackupTeam@microsoft.com.

Quando la sottoscrizione è consentita, verrà visualizzata la scheda Crittografia backup . In questo modo è possibile abilitare la crittografia nel backup usando chiavi gestite dal cliente durante la creazione di un nuovo insieme di credenziali di Servizi di ripristino. Per abilitare la crittografia, seguire questa procedura:

1. Accanto alla scheda Informazioni di base , nella scheda Crittografia backup specificare la chiave di crittografia e l'identità da usare per la crittografia.

   

   Nota

   Le impostazioni si applicano solo a Backup e sono facoltative.

2. Selezionare Usa chiave gestita dal cliente come tipo di crittografia.

3. Per specificare la chiave da usare per la crittografia, selezionare l'opzione appropriata.

   È possibile specificare l'URI per la chiave di crittografia oppure sfogliare e selezionare la chiave. Quando si specifica la chiave usando l'opzione Seleziona il Key Vault, la rotazione automatica della chiave di crittografia verrà abilitata automaticamente. Altre informazioni sulla rotazione automatica.

4. Specificare l'identità gestita assegnata dall'utente per gestire la crittografia con chiavi gestite dal cliente. Fare clic su Seleziona per esplorare e selezionare l'identità richiesta.

5. Procedere con l'aggiunta di tag (facoltativo) e continuare a creare l'insieme di credenziali.

Abilitare la rotazione automatica delle chiavi di crittografia

Quando si specifica la chiave gestita dal cliente che deve essere usata per crittografare i backup, usare i metodi seguenti per specificarlo:

• Immettere l'URI della chiave
• Selezionare da Key Vault

L'uso dell'opzione Seleziona da Key Vault consente di abilitare la rotazione automatica per la chiave selezionata. In questo modo si elimina lo sforzo manuale per eseguire l'aggiornamento alla versione successiva. Tuttavia, usando questa opzione:

• L'aggiornamento della versione chiave può richiedere fino a un'ora per rendere effettivo l'aggiornamento della versione.
• Quando viene applicata una nuova versione della chiave, anche la versione precedente deve essere disponibile (in stato abilitato) per almeno un processo di backup successivo dopo l'applicazione dell'aggiornamento della chiave.

Usare Criteri di Azure per controllare e applicare la crittografia con chiavi gestite dal cliente (in anteprima)

Backup di Azure consente di usare Criteri di Azure per controllare e applicare la crittografia, usando chiavi gestite dal cliente, di dati nell'insieme di credenziali di Servizi di ripristino. Uso dei criteri di Azure:

• I criteri di controllo possono essere usati per controllare gli insiemi di credenziali con crittografia usando chiavi gestite dal cliente abilitate dopo il 04/01/2021. Per gli insiemi di credenziali con la crittografia cmk abilitata prima di questa data, è possibile che il criterio non venga applicato o che vengano visualizzati risultati falsi negativi, ovvero questi insiemi di credenziali potrebbero essere segnalati come non conformi, nonostante la crittografia della chiave gestita abilitata.

• Per usare i criteri di controllo per il controllo degli insiemi di credenziali con crittografia della chiave gestita abilitata prima del 01/04/2021, usare il portale di Azure per aggiornare una chiave di crittografia. Ciò consente di eseguire l'aggiornamento al nuovo modello. Se non si vuole modificare la chiave di crittografia, specificare di nuovo la stessa chiave tramite l'URI della chiave o l'opzione di selezione della chiave.

  Avviso

  Se si usa PowerShell per la gestione delle chiavi di crittografia per il backup, non è consigliabile aggiornare le chiavi dal portale.
  Se si aggiorna la chiave dal portale, non è possibile usare PowerShell per aggiornare ulteriormente la chiave di crittografia finché non è disponibile un aggiornamento di PowerShell per supportare il nuovo modello. Tuttavia, è possibile continuare ad aggiornare la chiave dal portale di Azure.

Domande frequenti

È possibile crittografare un insieme di credenziali di backup esistente con chiavi gestite dal cliente?

No, la crittografia cmk può essere abilitata solo per i nuovi insiemi di credenziali. Pertanto, l'insieme di credenziali non deve mai avere elementi protetti. In realtà, non è necessario eseguire alcun tentativo di proteggere gli elementi nell'insieme di credenziali prima di abilitare la crittografia usando chiavi gestite dal cliente.

Si è tentato di proteggere un elemento nell'insieme di credenziali, ma non è riuscito e l'insieme di credenziali non contiene ancora elementi protetti. È possibile abilitare la crittografia cmk per questo insieme di credenziali?

No, l'insieme di credenziali non deve aver provato a proteggerli in passato.

Si dispone di un insieme di credenziali che usa la crittografia della chiave gestita dal cliente. È possibile ripristinare la crittografia in un secondo momento usando chiavi gestite dalla piattaforma anche se sono protetti gli elementi di backup nell'insieme di credenziali?

No, dopo aver abilitato la crittografia della chiave gestita dalla chiave gestita dalla piattaforma, non è possibile ripristinarla. È possibile modificare le chiavi usate in base alle proprie esigenze.

La crittografia cmk per Backup di Azure si applica anche alle Site Recovery di Azure?

No, questo articolo illustra solo la crittografia dei dati di backup. Per Azure Site Recovery, è necessario impostare la proprietà separatamente come disponibile dal servizio.

Ho perso uno dei passaggi descritti in questo articolo e ho continuato a proteggere l'origine dati. È comunque possibile usare la crittografia della chiave gestita dal cliente?

Non seguendo la procedura descritta nell'articolo e continuando a proteggere gli elementi, è possibile che l'insieme di credenziali non sia in grado di usare la crittografia usando chiavi gestite dal cliente. È quindi consigliabile fare riferimento a questo elenco di controllo prima di procedere alla protezione degli elementi.

L'uso della crittografia della chiave gestita dalla chiave gestita aggiunge al costo dei backup?

L'uso della crittografia della chiave gestita per il backup non comporta costi aggiuntivi. È tuttavia possibile continuare a sostenere costi per l'uso di Azure Key Vault in cui è archiviata la chiave.

Passaggi successivi

• Panoramica delle funzionalità di sicurezza in Backup di Azure