Azure Key Vault backup e ripristino

Questo documento illustra come eseguire il backup di segreti, chiavi e certificati archiviati nel Key Vault. Un backup è destinato a fornire una copia offline di tutti i tuoi segreti nell'improbabile caso in cui si perda l'accesso al tuo archivio di chiavi.

Informazioni generali

Azure Key Vault offre più opzioni per garantire la disponibilità e la recuperabilità dei dati del tuo vault.

• Ridondanza automatica e failover: Key Vault replica automaticamente i dati tra aree e gestisce il failover durante le interruzioni. Vedere Azure Key Vault disponibilità e ridondanza
• Eliminazione temporanea e protezione dalla purga: impedisce l'eliminazione accidentale o dannosa del tuo insieme di credenziali o degli oggetti dell'insieme - vedi Gestione del recupero di Azure Key Vault con eliminazione temporanea e protezione dalla purga
• Backup e ripristino manuali (descritti in questo articolo): per singoli segreti, chiavi e certificati

Questo articolo è incentrato sulle operazioni di backup e ripristino manuali per singoli oggetti all'interno di Key Vault.

Quando usare i backup

Azure Key Vault fornisce automaticamente funzionalità che consentono di mantenere la disponibilità e prevenire la perdita di dati. Eseguire il backup dei segreti solo se si dispone di una giustificazione aziendale critica. Il backup dei segreti nell'insieme di credenziali delle chiavi può introdurre problemi operativi come la gestione di più set di log, autorizzazioni e backup quando i segreti scadono o ruotano.

Prendere in considerazione l'uso dei backup in questi scenari:

• È necessario spostare oggetti tra Key Vault o regioni Azure
• Si vuole una copia offline dei segreti per motivi normativi o di conformità
• Si usa un'area che non supporta la replica automatica tra aree (Brasile meridionale, Brasile sud-orientale o Stati Uniti occidentali 3)
• È necessaria una protezione contro l'eliminazione accidentale di oggetti specifici

Per la maggior parte degli scenari, le funzionalità predefinite di ridondanza e eliminazione temporanea di Key Vault offrono una protezione sufficiente senza richiedere backup manuali. Per ulteriori informazioni, vedere disponibilità e ridondanza di Azure Key Vault.

Limitazioni

Importante

Key Vault non supporta la possibilità di eseguire il backup di più di 500 versioni precedenti di una chiave, di un segreto o di un oggetto certificato e di tentare di eseguire questa operazione può causare un errore. Non è possibile eliminare le versioni precedenti di una chiave, un segreto o un certificato.

Key Vault attualmente non offre un modo per eseguire il backup di un'intera key vault in un'unica operazione e chiavi, segreti e certificati devono essere di backup singolarmente.

Considerare anche i problemi seguenti:

• Il backup di segreti con più versioni potrebbe causare errori di timeout.
• Un backup crea uno snapshot temporizzato. I segreti possono essere rinnovati durante un backup, causando una mancata corrispondenza delle chiavi di crittografia.
• Se si superano i limiti del servizio Key Vault per le richieste al secondo, il Key Vault subirà un throttling e il backup fallirà.

Considerazioni sulla progettazione

Quando si esegue il backup di un oggetto di un key vault, come un segreto, una chiave o un certificato, l'operazione di backup scarica l'oggetto come BLOB crittografato. Questo BLOB non può essere decrittografato all'esterno di Azure. Per ottenere dati utilizzabili da questo Blob, è necessario ripristinare il Blob in un Azure Key Vault all'interno della stessa sottoscrizione Azure e della stessa geografia Azure.

Considerazioni relative alla sicurezza

Quando si ripristina una chiave in una cassaforte diversa, la copia ripristinata è completamente indipendente dall'originale. La disabilitazione, l'eliminazione o la rimozione della chiave originale non ha alcun effetto sulle copie ripristinate. Rimangono completamente funzionanti nei rispettivi caveaux. Non esiste alcun meccanismo in Azure Key Vault per revocare o invalidare un BLOB di backup creato in precedenza o una chiave già ripristinata in un altro vault.

Questa indipendenza ha implicazioni importanti per la risposta agli incidenti. Se si sospetta che una chiave sia stata compromessa tramite backup e ripristino non autorizzato, non disabilitare o eliminare immediatamente la chiave. In questo modo tutti i servizi dipendenti vengono disattivati (ad esempio, i database TDE SQL di Azure diventano inaccessibili, Archiviazione di Azure con chiavi gestite dal cliente restituisce errori e le macchine virtuali protette tramite la Crittografia dischi di Azure non possono essere avviate), ma ciò non influisce sulle copie che un utente malintenzionato potrebbe aver ripristinato in un altro vault.

Seguire invece questa sequenza di risposta agli eventi imprevisti:

1. Contenere la violazione: esaminare e revocare immediatamente le identità con autorizzazioni di backup o ripristino nell'archivio compromesso. Esaminare i log di controllo di Key Vault per le attività di backup e ripristino non autorizzate per comprendere l'ambito della compromissione.
2. Creare una chiave di sostituzione in una cassaforte separata con accesso strettamente limitato. Usare una nuova chiave (non una nuova versione della chiave compromessa) per assicurarsi che la sostituzione non possa essere ottenuta dai BLOB di backup esistenti.
3. Riconfigurare i servizi dipendenti per l'uso della chiave di sostituzione (ogni servizio esegue nuovamente il wrapping delle chiavi di crittografia dei dati con la nuova chiave).
4. Verificare che tutti i servizi dipendenti funzionino normalmente con la chiave di sostituzione.
5. Disabilitare la chiave compromessa solo dopo la migrazione completa dei servizi dipendenti. Se la protezione dalla cancellazione permanente è attivata nel vault, la chiave non può essere eliminata definitivamente fino alla scadenza del periodo di conservazione, quindi lasciala disabilitata fino ad allora.

Per ridurre il rischio di esfiltrazione di backup non autorizzata, limitare le autorizzazioni di backup e ripristino solo alle identità effettivamente necessarie. Monitorare i log di controllo di Key Vault per le operazioni KeyBackup, KeyRestore, SecretBackup, SecretRestore, CertificateBackup e CertificateRestore in caso di attività impreviste. Per altre informazioni, vedere Log di Azure Key Vault.

Per procedure consigliate per la sicurezza specifiche e procedure di risposta di compromissione delle chiavi, vedere Proteggere le chiavi di Azure Key Vault.

Prerequisiti

Per eseguire il backup di un oggetto del key vault, è necessario disporre di:

• Autorizzazioni di livello collaboratore o superiore per una sottoscrizione Azure.
• Un insieme di credenziali delle chiavi primario che contiene i segreti di cui si vuole eseguire il backup.
• Un insieme di credenziali delle chiavi secondario in cui verranno ripristinati i segreti.

Eseguire il backup e il ripristino dal portale di Azure

Seguire i passaggi descritti in questa sezione per eseguire il backup e il ripristino di oggetti usando il portale di Azure.

Fai un backup

1. Passare al portale di Azure.

2. Selezionare l'insieme di credenziali delle chiavi.

3. Passare all'oggetto (segreto, chiave o certificato) di cui si vuole eseguire il backup.

   

4. Selezionare l'oggetto .

5. Selezionare Scarica backup.

   

6. Selezionare Download.

   

7. Archiviare il blob crittografato in un luogo sicuro.

Ripristina

1. Passare al portale di Azure.

2. Selezionare l'insieme di credenziali delle chiavi.

3. Passare al tipo di oggetto (segreto, chiave o certificato) da ripristinare.

4. Selezionare Ripristina il backup.

   

5. Vai al percorso in cui è stato archiviato il BLOB crittografato.

6. Seleziona OK.

Eseguire il backup e il ripristino dal Azure CLI o dal Azure PowerShell

Interfaccia della riga di comando di Azure

## Log in to Azure
az login

## Set your subscription
az account set --subscription <subscription-id>

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file <file-path> --name <certificate-name> --vault-name <vault-name> --subscription <subscription-id>

## Back up a key in Key Vault
az keyvault key backup --file <file-path> --name <key-name> --vault-name <vault-name> --subscription <subscription-id>

## Back up a secret in Key Vault
az keyvault secret backup --file <file-path> --name <secret-name> --vault-name <vault-name> --subscription <subscription-id>

## Restore a certificate in Key Vault
az keyvault certificate restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Restore a key in Key Vault
az keyvault key restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

## Restore a secret in Key Vault
az keyvault secret restore --file <file-path> --vault-name <vault-name> --subscription <subscription-id>

Azure PowerShell

## Log in to Azure
Connect-AzAccount

## Set your subscription
Set-AzContext -Subscription '<subscription-id>'

## Back up a certificate in Key Vault
Backup-AzKeyVaultCertificate -VaultName '<vault-name>' -Name '<certificate-name>'

## Back up a key in Key Vault
Backup-AzKeyVaultKey -VaultName '<vault-name>' -Name '<key-name>'

## Back up a secret in Key Vault
Backup-AzKeyVaultSecret -VaultName '<vault-name>' -Name '<secret-name>'

## Restore a certificate in Key Vault
Restore-AzKeyVaultCertificate -VaultName '<vault-name>' -InputFile '<file-path>'

## Restore a key in Key Vault
Restore-AzKeyVaultKey -VaultName '<vault-name>' -InputFile '<file-path>'

## Restore a secret in Key Vault
Restore-AzKeyVaultSecret -VaultName '<vault-name>' -InputFile '<file-path>'

Passaggi successivi

• Disponibilità e ridondanza di Azure Key Vault
• Gestione del ripristino di Azure Key Vault con eliminazione temporanea e protezione contro la cancellazione
• Spostare un Gestore di chiavi Azure tra regioni
• Abilita il logging di Key Vault per Key Vault