Back-up en herstel van versleutelde virtuele Azure-machines

In dit artikel wordt beschreven hoe u een back-up maakt van virtuele Windows- of Linux Azure-machines (VM's) met versleutelde schijven met behulp van de Azure Backup-service . Zie Versleuteling van Azure VM-back-ups voor meer informatie.

Versleuteling met door platform beheerde sleutels

Standaard worden alle schijven in uw VM's automatisch versleuteld in rust met behulp van door platform beheerde sleutels (PMK) die gebruikmaken van opslagserviceversleuteling. U kunt een back-up maken van deze VM's met behulp van Azure Backup zonder specifieke acties die nodig zijn om versleuteling aan uw kant te ondersteunen. Zie dit artikel voor meer informatie over versleuteling met door platform beheerde sleutels.

Encrypted disks

Versleuteling met door de klant beheerde sleutels

Wanneer u schijven versleutelt met door de klant beheerde sleutels (CMK), wordt de sleutel die wordt gebruikt voor het versleutelen van de schijven opgeslagen in Azure Key Vault en wordt door u beheerd. SSE (Storage Service Encryption) die CMK gebruikt, verschilt van ADE-versleuteling (Azure Disk Encryption). ADE maakt gebruik van de versleutelingshulpprogramma's van het besturingssysteem. SSE versleutelt gegevens in de opslagservice, zodat u elk besturingssysteem of installatiekopieën voor uw VM's kunt gebruiken.

U hoeft geen expliciete acties uit te voeren voor het maken van back-ups of het herstellen van virtuele machines die door de klant beheerde sleutels gebruiken voor het versleutelen van hun schijven. De back-upgegevens voor deze VM's die zijn opgeslagen in de kluis, worden versleuteld met dezelfde methoden als de versleuteling die in de kluis wordt gebruikt.

Zie dit artikel voor meer informatie over versleuteling van beheerde schijven met door de klant beheerde sleutels.

Ondersteuning voor versleuteling met behulp van ADE

Azure Backup ondersteunt back-ups van Azure-VM's met hun besturingssysteem/gegevensschijven die zijn versleuteld met Azure Disk Encryption (ADE). ADE maakt gebruik van BitLocker voor versleuteling van Windows-VM's en de dm-crypt-functie voor Linux-VM's. ADE kan worden geïntegreerd met Azure Key Vault om sleutels en geheimen voor schijfversleuteling te beheren. Key Vault Key Encryption Keys (KEKs) kan worden gebruikt om een extra beveiligingslaag toe te voegen, versleutelingsgeheimen te versleutelen voordat ze naar Key Vault worden geschreven.

Azure Backup kan een back-up maken van azure-VM's en deze herstellen met behulp van ADE met en zonder de Microsoft Entra-app, zoals samengevat in de volgende tabel.

Type VM-schijf ADE (BEK/dm-crypt) ADE en KEK
Onbeheerde Ja Ja
Beheerd Ja Ja

Beperkingen

  • U kunt een back-up maken van versleutelde ADE-VM's en deze herstellen binnen hetzelfde abonnement.
  • Azure Backup ondersteunt vm's die zijn versleuteld met zelfstandige sleutels. Een sleutel die deel uitmaakt van een certificaat dat wordt gebruikt om een virtuele machine te versleutelen, wordt momenteel niet ondersteund.
  • Azure Backup biedt ondersteuning voor herstel tussen regio's van versleutelde Azure-VM's naar de gekoppelde Azure-regio's. Zie de ondersteuningsmatrix voor meer informatie.
  • Versleutelde ADE-VM's kunnen niet worden hersteld op bestand/mapniveau. U moet de hele virtuele machine herstellen om bestanden en mappen te herstellen.
  • Wanneer u een VIRTUELE machine herstelt, kunt u de bestaande VM-optie niet gebruiken voor met ADE versleutelde VM's. Deze optie wordt alleen ondersteund voor niet-versleutelde beheerde schijven.

Voordat u begint

Doe voordat u begint het volgende:

  1. Zorg ervoor dat u een of meer Virtuele Windows - of Linux-machines hebt waarvoor ADE is ingeschakeld.
  2. Bekijk de ondersteuningsmatrix voor Back-up van Azure-VM's
  3. Maak een Recovery Services Backup-kluis als u er nog geen hebt.
  4. Als u versleuteling inschakelt voor VM's die al zijn ingeschakeld voor back-up, hoeft u Alleen back-up machtigingen te geven voor toegang tot de Sleutelkluis, zodat back-ups zonder onderbreking kunnen worden voortgezet. Meer informatie over het toewijzen van deze machtigingen.

Daarnaast zijn er een aantal dingen die u mogelijk in sommige gevallen moet doen:

  • Installeer de VM-agent op de VM: Azure Backup maakt een back-up van Azure-VM's door een extensie te installeren voor de Azure VM-agent die op de machine wordt uitgevoerd. Als uw VIRTUELE machine is gemaakt op basis van een Azure Marketplace-installatiekopieën, wordt de agent geïnstalleerd en uitgevoerd. Als u een aangepaste VM maakt of een on-premises machine migreert, moet u de agent mogelijk handmatig installeren.

Een back-upbeleid configureren

  1. Als u nog geen Recovery Services-back-upkluis hebt gemaakt, volgt u deze instructies.

  2. Ga naar het back-upcentrum en klik op +Back-up op het tabblad Overzicht

    Backup pane

  3. Selecteer virtuele Azure-machines als het gegevensbrontype en selecteer de kluis die u hebt gemaakt en klik vervolgens op Doorgaan.

    Scenario pane

  4. Selecteer het beleid dat u aan de kluis wilt koppelen en selecteer vervolgens OK.

    • Een back-upbeleid geeft aan wanneer back-ups worden gemaakt en hoe lang ze worden opgeslagen.
    • De details van het standaardbeleid worden onder de vervolgkeuzelijst weergegeven.

    Choose backup policy

  5. Als u het standaardbeleid niet wilt gebruiken, selecteert u Nieuw maken en maakt u een aangepast beleid.

  6. Selecteer onder Virtuele machines de optie Toevoegen.

    Add virtual machines

  7. Kies de versleutelde VM's waarvoor u een back-up wilt maken met behulp van het beleid selecteren en selecteer OK.

    Select encrypted VMs

  8. Als u Azure Key Vault gebruikt, ziet u op de kluispagina een bericht dat Azure Backup alleen-lezentoegang nodig heeft tot de sleutels en geheimen in de Sleutelkluis.

    • Als u dit bericht ontvangt, is er geen actie vereist.

      Access OK

    • Als u dit bericht ontvangt, moet u machtigingen instellen zoals beschreven in de onderstaande procedure.

      Access warning

  9. Selecteer Back-up inschakelen om het back-upbeleid in de kluis te implementeren en schakel back-up in voor de geselecteerde VM's.

Een back-up maken van met ADE versleutelde VM's met sleutelkluizen met RBAC

Als u back-ups wilt inschakelen voor met ADE versleutelde VM's met behulp van sleutelkluizen met Azure RBAC, moet u de rol Key Vault-Beheer istrator toewijzen aan de Microsoft Entra-app Backup Management Service door een roltoewijzing toe te voegen in Access Control of Key Vault.

Screenshot shows the checkbox to enable ADE encrypted key vault.

Meer informatie over de verschillende beschikbare rollen. De key vault-Beheer istrator-rol kan machtigingen toestaan om zowel geheim als sleutel op te halen, weer te geven en er een back-up van te maken.

Voor sleutelkluizen met Azure RBAC kunt u een aangepaste rol maken met de volgende set machtigingen. Meer informatie over het maken van een aangepaste rol.

Actie Beschrijving
Microsoft.KeyVault/vaults/keys/backup/action Hiermee maakt u het back-upbestand van een sleutel.
Microsoft.KeyVault/vaults/secrets/backup/action Hiermee maakt u het back-upbestand van een geheim.
Microsoft.KeyVault/vaults/secrets/getSecret/action Hiermee haalt u de waarde van een geheim op.
Microsoft.KeyVault/vaults/keys/read Sleutels weergeven in de opgegeven kluis of eigenschappen en openbare materialen lezen.
Microsoft.KeyVault/vaults/secrets/readMetadata/action De eigenschappen van een geheim weergeven of weergeven, maar niet de waarden.
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Screenshot shows how to add permissions to key vault.

Een back-uptaak activeren

De eerste back-up wordt uitgevoerd volgens het schema, maar u kunt deze direct als volgt uitvoeren:

  1. Navigeer naar het back-upcentrum en selecteer de menuopdracht Back-upexemplaren .
  2. Selecteer Virtuele Azure-machines als het gegevensbrontype en zoek naar de VM die u hebt geconfigureerd voor back-up.
  3. Klik met de rechtermuisknop op de relevante rij of selecteer het pictogram meer (...) en klik op Nu back-up maken.
  4. Gebruik in Nu back-up het agenda-besturingselement om de laatste dag te selecteren waarop het herstelpunt moet worden bewaard. Selecteer vervolgens OK.
  5. Bewaak de portalmeldingen. Als u de voortgang van de taak wilt controleren, gaat u naar Back-upcentrumback-uptaken> en filtert u de lijst voor taken die worden uitgevoerd. Afhankelijk van de grootte van de virtuele machine kan het maken van de eerste back-up even duren.

Machtigingen opgeven

Azure Backup heeft alleen-lezentoegang nodig om een back-up te maken van de sleutels en geheimen, samen met de bijbehorende VM's.

  • Uw Key Vault is gekoppeld aan de Microsoft Entra-tenant van het Azure-abonnement. Als u lid bent, krijgt Azure Backup zonder verdere actie toegang tot de Key Vault.
  • Als u een gastgebruiker bent, moet u machtigingen opgeven voor Azure Backup voor toegang tot de sleutelkluis. U moet toegang hebben tot sleutelkluizen om Back-up te configureren voor versleutelde VM's.

Raadpleeg dit artikel als u Azure RBAC-machtigingen wilt opgeven voor Key Vault.

Machtigingen instellen:

  1. Selecteer alle services in Azure Portal en zoek naar Sleutelkluizen.

  2. Selecteer de sleutelkluis die is gekoppeld aan de versleutelde VM waarop u een back-up maakt.

    Fooi

    Gebruik de volgende PowerShell-opdracht om de gekoppelde sleutelkluis van een virtuele machine te identificeren. Vervang de naam van de resourcegroep en de VM-naam:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Zoek op deze regel naar de naam van de sleutelkluis:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Selecteer Access-beleid>Toegangsbeleid toevoegen.

    Add access policy

  4. Selecteer In Het toegangsbeleid>configureren vanuit sjabloon (optioneel) de optie Azure Backup.

    • De vereiste machtigingen zijn vooraf ingevuld voor sleutelmachtigingen en geheime machtigingen.
    • Als uw VIRTUELE machine alleen is versleuteld met BEK, verwijdert u de selectie voor sleutelmachtigingen, omdat u alleen machtigingen voor geheimen nodig hebt.

    Azure Backup selection

  5. Selecteer Toevoegen. Backup Management Service wordt toegevoegd aan toegangsbeleid.

    Access policies

  6. Selecteer Opslaan om Azure Backup de machtigingen te geven.

U kunt het toegangsbeleid ook instellen met behulp van PowerShell of CLI.

Volgende stappen

Versleutelde virtuele Azure-machines herstellen

Als u problemen ondervindt, raadpleegt u deze artikelen: