Back-up en herstel van versleutelde virtuele Azure-machines

In dit artikel wordt beschreven hoe u een back-up maakt van virtuele Windows- of Linux-machines (VM's) met versleutelde schijven en deze herstelt met behulp van de Azure Backup-service. Zie Versleuteling van back-ups van Azure-VM's voor meer informatie.

Versleuteling met door het platform beheerde sleutels

Standaard worden alle schijven in uw VM's automatisch versleuteld-at-rest met behulp van door het platform beheerde sleutels (PMK) die gebruikmaken van opslagserviceversleuteling. U kunt een back-up maken van deze VM's met behulp van Azure Backup zonder specifieke acties die nodig zijn om versleuteling aan uw kant te ondersteunen. Zie dit artikel voor meer informatie over versleuteling met door het platform beheerde sleutels.

Versleuteling met door de klant beheerde sleutels

Wanneer u schijven versleutelt met door de klant beheerde sleutels (CMK), wordt de sleutel die wordt gebruikt voor het versleutelen van de schijven opgeslagen in de Azure Key Vault en wordt deze door u beheerd. Storage Service Encryption (SSE) met CMK verschilt van ADE-versleuteling (Azure Disk Encryption). ADE maakt gebruik van de versleutelingshulpprogramma's van het besturingssysteem. SSE versleutelt gegevens in de opslagservice, zodat u alle besturingssystemen of installatiekopieën voor uw VM's kunt gebruiken.

U hoeft geen expliciete acties uit te voeren voor back-up of herstel van VM's die gebruikmaken van door de klant beheerde sleutels voor het versleutelen van hun schijven. De back-upgegevens voor deze VM's die in de kluis zijn opgeslagen, worden versleuteld met dezelfde methoden als de versleuteling die in de kluis wordt gebruikt.

Zie dit artikel voor meer informatie over het versleutelen van beheerde schijven met door de klant beheerde sleutels.

Ondersteuning voor versleuteling met behulp van ADE

Azure Backup ondersteunt back-ups van Azure-VM's waarvoor de besturingssysteem-/gegevensschijven zijn versleuteld met Azure Disk Encryption (ADE). ADE maakt gebruik van BitLocker voor versleuteling van Windows-VM's en de functie dm-crypt voor Linux-VM's. ADE kan worden geïntegreerd met Azure Key Vault voor het beheren van sleutels en geheimen voor schijfversleuteling. Key Vault Key Encryption Keys (KK's) kunnen worden gebruikt om een extra beveiligingslaag toe te voegen, waarbij versleutelingsgeheimen worden versleuteld voordat ze naar Key Vault worden geschreven.

Azure Backup kunt een back-up maken van Azure-VM's en deze herstellen met behulp van ADE met en zonder de Azure AD-app, zoals samengevat in de volgende tabel.

TYPE VM-schijf	ADE (BEK/dm-crypt)	ADE en KEK
Niet-beheerd	Ja	Ja
Beheerd	Ja	Ja

• Meer informatie over ADE, Key Vault en KKS.
• Lees de veelgestelde vragen over Azure VM-schijfversleuteling.

Beperkingen

• U kunt binnen hetzelfde abonnement back-ups maken van met ADE versleutelde VM's en deze herstellen.
• Azure Backup ondersteunt VM's die zijn versleuteld met zelfstandige sleutels. Een sleutel die deel uitmaakt van een certificaat dat wordt gebruikt om een VM te versleutelen, wordt momenteel niet ondersteund.
• Azure Backup ondersteunt herstel tussen regio's van versleutelde Azure-VM's naar de gekoppelde Azure-regio's. Zie ondersteuningsmatrix voor meer informatie.
• Met ADE versleutelde VM's kunnen niet worden hersteld op bestand-/mapniveau. U moet de hele VM herstellen om bestanden en mappen te herstellen.
• Wanneer u een VM herstelt, kunt u de optie Bestaande VM vervangen niet gebruiken voor met ADE versleutelde VM's. Deze optie wordt alleen ondersteund voor niet-versleutelde beheerde schijven.

Voordat u begint

Doe voordat u begint het volgende:

1. Zorg ervoor dat u een of meer Virtuele Windows- of Linux-machines hebt waarvoor ADE is ingeschakeld.
2. Bekijk de ondersteuningsmatrix voor back-ups van Azure-VM's
3. Maak een Recovery Services Backup-kluis als u er nog geen hebt.
4. Als u versleuteling inschakelt voor VM's die al zijn ingeschakeld voor back-up, hoeft u back-up alleen machtigingen te geven voor toegang tot de Key Vault zodat back-ups zonder onderbreking kunnen worden voortgezet. Meer informatie over het toewijzen van deze machtigingen.

Daarnaast zijn er een aantal dingen die u in sommige omstandigheden moet doen:

• Installeer de VM-agent op de VM: Azure Backup maakt back-ups van Azure-VM's door een extensie te installeren op de Azure VM-agent die op de machine wordt uitgevoerd. Als uw VM is gemaakt op basis van een Azure Marketplace-installatiekopieën, wordt de agent geïnstalleerd en uitgevoerd. Als u een aangepaste VM maakt of een on-premises machine migreert, moet u de agent mogelijk handmatig installeren.

Een back-upbeleid configureren

1. Als u nog geen Recovery Services-back-upkluis hebt gemaakt, volgt u deze instructies.

2. Navigeer naar Back-upcentrum en klik op +Back-up op het tabblad Overzicht

   

3. Selecteer Virtuele Azure-machines als het gegevensbrontype , selecteer de kluis die u hebt gemaakt en klik vervolgens op Doorgaan.

   

4. Selecteer het beleid dat u aan de kluis wilt koppelen en selecteer vervolgens OK.

   • Een back-upbeleid geeft aan wanneer back-ups worden gemaakt en hoe lang ze worden opgeslagen.
   • De details van het standaardbeleid worden onder de vervolgkeuzelijst weergegeven.

   

5. Als u het standaardbeleid niet wilt gebruiken, selecteert u Nieuwe maken en maakt u een aangepast beleid.

6. Selecteer onder Virtuele machines de optie Toevoegen.

   

7. Kies de versleutelde VM's waar u een back-up van wilt maken met behulp van het select-beleid en selecteer OK.

   

8. Als u Azure Key Vault gebruikt, ziet u op de kluispagina een bericht dat Azure Backup alleen-lezentoegang nodig heeft tot de sleutels en geheimen in de Key Vault.

   • Als u dit bericht ontvangt, is er geen actie vereist.

     

   • Als u dit bericht ontvangt, moet u machtigingen instellen zoals beschreven in de onderstaande procedure.

     

9. Selecteer Back-up inschakelen om het back-upbeleid in de kluis te implementeren en back-up in te schakelen voor de geselecteerde VM's.

Een back-up maken van met ADE versleutelde VM's met sleutelkluizen met RBAC

Als u back-ups wilt inschakelen voor met ADE versleutelde VM's met behulp van sleutelkluizen met Azure RBAC, moet u Key Vault beheerdersrol toewijzen aan de back-upbeheerservice Azure AD-app door een roltoewijzing toe te voegen in Access Control van de sleutelkluis.

Meer informatie over de verschillende beschikbare rollen. De Key Vault beheerdersrol kan machtigingen toestaan om zowel het geheim als de sleutel op te halen, weer te geven en er een back-up van te maken.

Voor sleutelkluizen met Azure RBAC kunt u een aangepaste rol maken met de volgende set machtigingen. Meer informatie over het maken van een aangepaste rol.

Actie	Beschrijving
Microsoft.KeyVault/vaults/keys/backup/action	Hiermee maakt u het back-upbestand van een sleutel.
Microsoft.KeyVault/vaults/secrets/backup/action	Hiermee maakt u het back-upbestand van een geheim.
Microsoft.KeyVault/vaults/secrets/getSecret/action	Hiermee wordt de waarde van een geheim opgehaald.
Microsoft.KeyVault/vaults/keys/read	Geef sleutels weer in de opgegeven kluis of leeseigenschappen en openbaar materiaal.
Microsoft.KeyVault/vaults/secrets/readMetadata/action	De eigenschappen van een geheim weergeven of weergeven, maar niet de waarden.

"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Een back-uptaak activeren

De eerste back-up wordt uitgevoerd volgens het schema, maar u kunt deze onmiddellijk als volgt uitvoeren:

1. Navigeer naar Back-upcentrum en selecteer het menu-item Back-upexemplaren .
2. Selecteer Virtuele Azure-machines als het gegevensbrontype en zoek naar de VM die u hebt geconfigureerd voor back-up.
3. Klik met de rechtermuisknop op de relevante rij of selecteer het pictogram Meer (...) en klik op Nu back-up maken.
4. Gebruik in Nu back-up maken het agenda-besturingselement om de laatste dag te selecteren waarop het herstelpunt moet worden bewaard. Selecteer vervolgens OK.
5. Bewaak de portalmeldingen. Als u de voortgang van de taak wilt controleren, gaat u naar Back-upcentrum>Back-uptaken en filtert u de lijst op taken die worden uitgevoerd . Afhankelijk van de grootte van de virtuele machine kan het maken van de eerste back-up even duren.

Machtigingen opgeven

Azure Backup heeft alleen-lezentoegang nodig om een back-up te maken van de sleutels en geheimen, samen met de bijbehorende VM's.

• Uw Key Vault is gekoppeld aan de Azure AD-tenant van het Azure-abonnement. Als u een lidgebruiker bent, verkrijgt Azure Backup zonder verdere actie toegang tot de Key Vault.
• Als u een gastgebruiker bent, moet u machtigingen opgeven voor Azure Backup om toegang te krijgen tot de sleutelkluis. U moet toegang hebben tot sleutelkluizen om Back-up voor versleutelde VM's te configureren.

Zie dit artikel als u Azure RBAC-machtigingen wilt opgeven voor Key Vault.

Machtigingen instellen:

1. Selecteer in de Azure Portal Alle services en zoek naar Sleutelkluizen.

2. Selecteer de sleutelkluis die is gekoppeld aan de versleutelde VM waar u een back-up van maakt.

   Tip

   Gebruik de volgende PowerShell-opdracht om de gekoppelde sleutelkluis van een VM te identificeren. Vervang de naam van de resourcegroep en de NAAM van de VM:

   Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

   Zoek de naam van de sleutelkluis op deze regel:

   SecretUrl : https://<keyVaultName>.vault.azure.net

3. Selecteer Toegangsbeleid Toegangsbeleid>toevoegen.

   

4. Selecteer in Toegangsbeleid> toevoegenConfigureren vanuit sjabloon (optioneel)de optie Azure Backup.

   • De vereiste machtigingen zijn vooraf ingevuld voor sleutelmachtigingen en geheime machtigingen.
   • Als uw VM is versleuteld met alleen BEK, verwijdert u de selectie voor Sleutelmachtigingen , omdat u alleen machtigingen voor geheimen nodig hebt.

   

5. Selecteer Toevoegen. Back-upbeheerservice wordt toegevoegd aan toegangsbeleid.

   

6. Selecteer Opslaan om Azure Backup de machtigingen te geven.

U kunt het toegangsbeleid ook instellen met behulp van PowerShell of CLI.

Volgende stappen

Versleutelde virtuele Azure-machines herstellen

Als u problemen ondervindt, raadpleegt u deze artikelen:

• Veelvoorkomende fouten bij het maken van back-ups en het herstellen van versleutelde Azure-VM's.
• Problemen met Azure VM-agent/back-upextensie.