Delen via


Back-up en herstel van versleutelde virtuele Azure-machines

In dit artikel wordt beschreven hoe u een back-up maakt van virtuele Windows- of Linux Azure-machines (VM's) met versleutelde schijven met behulp van de Azure Backup-service . Zie Versleuteling van Azure VM-back-ups voor meer informatie.

Ondersteunde scenario's voor back-up en herstel van versleutelde Azure-VM's

In deze sectie worden de ondersteunde scenario's beschreven voor back-up en herstel van versleutelde Azure-VM's.

Versleuteling met door platform beheerde sleutels

Standaard worden alle schijven in uw VM's automatisch versleuteld in rust met behulp van door platform beheerde sleutels (PMK) die gebruikmaken van opslagserviceversleuteling. U kunt een back-up maken van deze VM's met behulp van Azure Backup zonder specifieke acties die nodig zijn om versleuteling aan uw kant te ondersteunen. Zie dit artikel voor meer informatie over versleuteling met door platform beheerde sleutels.

Versleutelde schijven

Versleuteling met door de klant beheerde sleutels

Wanneer u schijven versleutelt met door de klant beheerde sleutels (CMK), wordt de sleutel die wordt gebruikt voor het versleutelen van de schijven opgeslagen in Azure Key Vault en wordt door u beheerd. SSE (Storage Service Encryption) die CMK gebruikt, verschilt van ADE-versleuteling (Azure Disk Encryption). ADE maakt gebruik van de versleutelingshulpprogramma's van het besturingssysteem. SSE versleutelt gegevens in de opslagservice, zodat u elk besturingssysteem of installatiekopieën voor uw VM's kunt gebruiken.

U hoeft geen expliciete acties uit te voeren voor het maken van back-ups of het herstellen van virtuele machines die door de klant beheerde sleutels gebruiken voor het versleutelen van hun schijven. De back-upgegevens voor deze VM's die zijn opgeslagen in de kluis, worden versleuteld met dezelfde methoden als de versleuteling die in de kluis wordt gebruikt.

Zie dit artikel voor meer informatie over versleuteling van beheerde schijven met door de klant beheerde sleutels.

Ondersteuning voor versleuteling met behulp van ADE

Azure Backup ondersteunt back-ups van Azure-VM's met hun besturingssysteem/gegevensschijven die zijn versleuteld met Azure Disk Encryption (ADE). ADE maakt gebruik van BitLocker voor versleuteling van Windows-VM's en de dm-crypt-functie voor Linux-VM's. ADE kan worden geïntegreerd met Azure Key Vault om sleutels en geheimen voor schijfversleuteling te beheren. Key Vault Key Encryption Keys (KEKs) kan worden gebruikt om een extra beveiligingslaag toe te voegen, versleutelingsgeheimen te versleutelen voordat ze naar Key Vault worden geschreven.

Azure Backup kan een back-up maken van azure-VM's en deze herstellen met behulp van ADE met en zonder de Microsoft Entra-app, zoals samengevat in de volgende tabel.

Type VM-schijf ADE (BEK/dm-crypt) ADE en KEK
Onbeheerde Ja Ja
Beheerd Ja Ja

Beperkingen

Bekijk de volgende beperkingen voordat u een back-up maakt van versleutelde Azure-VM's of deze herstelt:

  • U kunt een back-up maken van versleutelde ADE-VM's en deze herstellen binnen hetzelfde abonnement.
  • Azure Backup ondersteunt vm's die zijn versleuteld met zelfstandige sleutels. Een sleutel die deel uitmaakt van een certificaat dat wordt gebruikt om een virtuele machine te versleutelen, wordt momenteel niet ondersteund.
  • Azure Backup biedt ondersteuning voor herstel tussen regio's van versleutelde Azure-VM's naar de gekoppelde Azure-regio's. Zie de ondersteuningsmatrix voor meer informatie.
  • Versleutelde ADE-VM's kunnen niet worden hersteld op bestand/mapniveau. U moet de hele virtuele machine herstellen om bestanden en mappen te herstellen.
  • Wanneer u een VIRTUELE machine herstelt, kunt u de bestaande VM-optie niet gebruiken voor met ADE versleutelde VM's. Deze optie wordt alleen ondersteund voor niet-versleutelde beheerde schijven.

Voordat u begint

Doe voordat u begint het volgende:

  1. Zorg ervoor dat u een of meer Virtuele Windows - of Linux-machines hebt waarvoor ADE is ingeschakeld.
  2. Bekijk de ondersteuningsmatrix voor Back-up van Azure-VM's
  3. Maak een Recovery Services Backup-kluis als u er nog geen hebt.
  4. Als u versleuteling inschakelt voor VM's die al zijn ingeschakeld voor back-up, hoeft u Alleen back-up machtigingen te geven voor toegang tot de Sleutelkluis, zodat back-ups zonder onderbreking kunnen worden voortgezet. Meer informatie over het toewijzen van deze machtigingen.

Daarnaast zijn er een aantal dingen die u mogelijk in sommige gevallen moet doen:

  • Installeer de VM-agent op de VM: Azure Backup maakt een back-up van Azure-VM's door een extensie te installeren voor de Azure VM-agent die op de machine wordt uitgevoerd. Als uw VIRTUELE machine is gemaakt op basis van een Azure Marketplace-installatiekopieën, wordt de agent geïnstalleerd en uitgevoerd. Als u een aangepaste VM maakt of een on-premises machine migreert, moet u de agent mogelijk handmatig installeren.

Een back-upbeleid configureren

Voer de volgende stappen uit om een back-upbeleid te configureren:

  1. Als u nog geen Recovery Services-back-upkluis hebt gemaakt, volgt u deze instructies.

  2. Ga naar het back-upcentrum en klik op +Back-up op het tabblad Overzicht

    Back-upvenster

  3. Selecteer virtuele Azure-machines als het gegevensbrontype en selecteer de kluis die u hebt gemaakt en klik vervolgens op Doorgaan.

    Deelvenster Scenario

  4. Selecteer het beleid dat u aan de kluis wilt koppelen en selecteer vervolgens OK.

    • Een back-upbeleid geeft aan wanneer back-ups worden gemaakt en hoe lang ze worden opgeslagen.
    • De details van het standaardbeleid worden onder de vervolgkeuzelijst weergegeven.

    Back-upbeleid kiezen

  5. Als u het standaardbeleid niet wilt gebruiken, selecteert u Nieuw maken en maakt u een aangepast beleid.

  6. Selecteer onder Virtuele machines de optie Toevoegen.

    Virtuele machines toevoegen

  7. Kies de versleutelde VM's waarvoor u een back-up wilt maken met behulp van het beleid selecteren en selecteer OK.

    Versleutelde VM's selecteren

  8. Als u Azure Key Vault gebruikt, ziet u op de kluispagina een bericht dat Azure Backup alleen-lezentoegang nodig heeft tot de sleutels en geheimen in de Sleutelkluis.

    • Als u dit bericht ontvangt, is er geen actie vereist.

      Toegang OK

    • Als u dit bericht ontvangt, moet u machtigingen instellen zoals beschreven in de onderstaande procedure.

      Toegangswaarschuwing

  9. Selecteer Back-up inschakelen om het back-upbeleid in de kluis te implementeren en schakel back-up in voor de geselecteerde VM's.

Een back-up maken van met ADE versleutelde VM's met sleutelkluizen met RBAC

Als u back-ups wilt inschakelen voor met ADE versleutelde VM's met behulp van sleutelkluizen met Azure RBAC, moet u de rol Key Vault-beheerder toewijzen aan de Microsoft Entra-app Backup Management Service door een roltoewijzing toe te voegen in Toegangsbeheer van de sleutelkluis.

Schermopname van het selectievakje om versleutelde ADE-sleutelkluis in te schakelen.

Meer informatie over de verschillende beschikbare rollen. De rol Key Vault-beheerder kan machtigingen toestaan om zowel geheim als sleutel op te halen, weer te geven en er een back-up van te maken.

Voor sleutelkluizen met Azure RBAC kunt u een aangepaste rol maken met de volgende set machtigingen. Meer informatie over het maken van een aangepaste rol.

Actie Beschrijving
Microsoft.KeyVault/vaults/keys/backup/action Hiermee maakt u het back-upbestand van een sleutel.
Microsoft.KeyVault/vaults/secrets/backup/action Hiermee maakt u het back-upbestand van een geheim.
Microsoft.KeyVault/vaults/secrets/getSecret/action Hiermee haalt u de waarde van een geheim op.
Microsoft.KeyVault/vaults/keys/read Sleutels weergeven in de opgegeven kluis of eigenschappen en openbare materialen lezen.
Microsoft.KeyVault/vaults/secrets/readMetadata/action De eigenschappen van een geheim weergeven of weergeven, maar niet de waarden.
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Schermopname van het toevoegen van machtigingen aan de sleutelkluis.

Een back-uptaak activeren

De eerste back-up wordt uitgevoerd volgens het schema, maar u kunt deze direct als volgt uitvoeren:

  1. Navigeer naar het back-upcentrum en selecteer de menuopdracht Back-upexemplaren .
  2. Selecteer Virtuele Azure-machines als het gegevensbrontype en zoek naar de VM die u hebt geconfigureerd voor back-up.
  3. Klik met de rechtermuisknop op de relevante rij of selecteer het pictogram meer (...) en klik op Nu back-up maken.
  4. Gebruik in Nu back-up het agenda-besturingselement om de laatste dag te selecteren waarop het herstelpunt moet worden bewaard. Selecteer vervolgens OK.
  5. Bewaak de portalmeldingen. Als u de voortgang van de taak wilt controleren, gaat u naar Back-upcentrumback-uptaken> en filtert u de lijst voor taken die worden uitgevoerd. Afhankelijk van de grootte van de virtuele machine kan het maken van de eerste back-up even duren.

Machtigingen opgeven

Azure Backup heeft alleen-lezentoegang nodig om een back-up te maken van de sleutels en geheimen, samen met de bijbehorende VM's.

  • Uw Key Vault is gekoppeld aan de Microsoft Entra-tenant van het Azure-abonnement. Als u lid bent, krijgt Azure Backup zonder verdere actie toegang tot de Key Vault.
  • Als u een gastgebruiker bent, moet u machtigingen opgeven voor Azure Backup voor toegang tot de sleutelkluis. U moet toegang hebben tot sleutelkluizen om Back-up te configureren voor versleutelde VM's.

Raadpleeg dit artikel als u Azure RBAC-machtigingen wilt opgeven voor Key Vault.

Machtigingen instellen:

  1. Selecteer alle services in Azure Portal en zoek naar Sleutelkluizen.

  2. Selecteer de sleutelkluis die is gekoppeld aan de versleutelde VM waarop u een back-up maakt.

    Tip

    Gebruik de volgende PowerShell-opdracht om de gekoppelde sleutelkluis van een virtuele machine te identificeren. Vervang de naam van de resourcegroep en de VM-naam:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Zoek op deze regel naar de naam van de sleutelkluis:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Selecteer Access-beleid>Toegangsbeleid toevoegen.

    Toegangsbeleid toevoegen

  4. Selecteer In Het toegangsbeleid>configureren vanuit sjabloon (optioneel) de optie Azure Backup.

    • De vereiste machtigingen zijn vooraf ingevuld voor sleutelmachtigingen en geheime machtigingen.
    • Als uw VIRTUELE machine alleen is versleuteld met BEK, verwijdert u de selectie voor sleutelmachtigingen, omdat u alleen machtigingen voor geheimen nodig hebt.

    Selectie van Azure Backup

  5. Selecteer Toevoegen. Backup Management Service wordt toegevoegd aan toegangsbeleid.

    Toegangsbeleid

  6. Selecteer Opslaan om Azure Backup de machtigingen te geven.

U kunt het toegangsbeleid ook instellen met behulp van PowerShell of CLI.

Volgende stap

Versleutelde virtuele Azure-machines herstellen

Als u problemen ondervindt, raadpleegt u deze artikelen: