Criar cópias de segurança e restaurar máquinas virtuais do Azure encriptadas

Artigo
10/18/2023

Este artigo descreve como fazer backup e restaurar máquinas virtuais (VMs) do Windows ou Linux Azure com discos criptografados usando o serviço de Backup do Azure. Para obter mais informações, consulte Criptografia de backups de VM do Azure.

Criptografia usando chaves gerenciadas pela plataforma

Por padrão, todos os discos em suas VMs são automaticamente criptografados em repouso usando chaves gerenciadas por plataforma (PMK) que usam criptografia de serviço de armazenamento. Você pode fazer backup dessas VMs usando o Backup do Azure sem nenhuma ação específica necessária para dar suporte à criptografia em sua extremidade. Para obter mais informações sobre criptografia com chaves gerenciadas por plataforma, consulte este artigo.

Encrypted disks

Encriptação com chaves geridas pelo cliente

Quando você criptografa discos com chaves gerenciadas pelo cliente (CMK), a chave usada para criptografar os discos é armazenada no Cofre de Chaves do Azure e gerenciada por você. A Criptografia do Serviço de Armazenamento (SSE) usando CMK difere da criptografia do Azure Disk Encryption (ADE). O ADE usa as ferramentas de criptografia do sistema operacional. O SSE criptografa dados no serviço de armazenamento, permitindo que você use qualquer sistema operacional ou imagens para suas VMs.

Você não precisa executar nenhuma ação explícita para backup ou restauração de VMs que usam chaves gerenciadas pelo cliente para criptografar seus discos. Os dados de backup dessas VMs armazenados no cofre serão criptografados com os mesmos métodos que a criptografia usada no cofre.

Para obter mais informações sobre criptografia de discos gerenciados com chaves gerenciadas pelo cliente, consulte este artigo.

Suporte de criptografia usando ADE

O Backup do Azure dá suporte ao backup de VMs do Azure que têm seus discos de SO/dados criptografados com o Azure Disk Encryption (ADE). O ADE usa o BitLocker para criptografia de VMs do Windows e o recurso dm-crypt para VMs Linux. O ADE integra-se ao Azure Key Vault para gerenciar chaves e segredos de criptografia de disco. Key Vault Key Encryption Keys (KEKs) pode ser usado para adicionar uma camada adicional de segurança, criptografando segredos de criptografia antes de gravá-los no Key Vault.

O Backup do Azure pode fazer backup e restaurar VMs do Azure usando o ADE com e sem o aplicativo Microsoft Entra, conforme resumido na tabela a seguir.

Tipo de disco da VM	ADE (BEK/dm-cripta)	ADE e KEK
Não gerido	Sim	Sim
Geridas	Sim	Sim

Saiba mais sobre ADE, Key Vault e KEKs.
Leia as Perguntas frequentes sobre criptografia de disco de VM do Azure.

Limitações

Você pode fazer backup e restaurar VMs criptografadas ADE dentro da mesma assinatura.
O Backup do Azure dá suporte a VMs criptografadas usando chaves autônomas. Qualquer chave que faça parte de um certificado usado para criptografar uma VM não é suportada no momento.
O Backup do Azure dá suporte à Restauração entre Regiões de VMs do Azure criptografadas para as regiões emparelhadas do Azure. Para obter mais informações, consulte a matriz de suporte.
As VMs criptografadas do ADE não podem ser recuperadas no nível de arquivo/pasta. Você precisa recuperar toda a VM para restaurar arquivos e pastas.
Ao restaurar uma VM, você não pode usar a opção substituir VM existente para VMs criptografadas ADE. Esta opção só é suportada para discos geridos não encriptados.

Antes de começar

Antes de começar, faça o seguinte:

Verifique se você tem uma ou mais VMs Windows ou Linux com o ADE habilitado.
Revise a matriz de suporte para backup de VM do Azure
Crie um cofre de Backup dos Serviços de Recuperação se não tiver um.
Se você habilitar a criptografia para VMs que já estão habilitadas para backup, basta fornecer ao Backup permissões para acessar o Cofre da Chave para que os backups possam continuar sem interrupções. Saiba mais sobre como atribuir essas permissões.

Além disso, há algumas coisas que você pode precisar fazer em algumas circunstâncias:

Instale o agente de VM na VM: o Backup do Azure faz backup das VMs do Azure instalando uma extensão para o agente de VM do Azure em execução na máquina. Se a sua VM foi criada a partir de uma imagem do Azure Marketplace, o agente está instalado e em execução. Se você criar uma VM personalizada ou migrar uma máquina local, talvez seja necessário instalar o agente manualmente.

Configurar uma política de backup

Se você ainda não criou um cofre de backup dos Serviços de Recuperação, siga estas instruções.
Navegue até Centro de backup e clique em +Backup na guia Visão geral
Selecione Máquinas Virtuais do Azure como o tipo de Fonte de Dados e selecione o cofre que você criou e clique em Continuar.
Selecione a política que pretende associar ao cofre e, em seguida, selecione OK.
- Uma política de backup especifica quando os backups são feitos e por quanto tempo eles são armazenados.
- Os detalhes da política predefinida estão listados no menu pendente.
Se você não quiser usar a política padrão, selecione Criar novo e crie uma política personalizada.
Em Máquinas Virtuais, selecione Adicionar.
Escolha as VMs criptografadas das quais deseja fazer backup usando a política de seleção e selecione OK.
Se você estiver usando o Cofre da Chave do Azure, na página do cofre, verá uma mensagem informando que o Backup do Azure precisa de acesso somente leitura às chaves e segredos no Cofre da Chave.
- Se você receber essa mensagem, nenhuma ação será necessária.
- Se você receber essa mensagem, precisará definir permissões conforme descrito no procedimento abaixo.
Selecione Habilitar backup para implantar a política de backup no cofre e habilite o backup para as VMs selecionadas.

Faça backup de VMs criptografadas ADE com cofres de chaves habilitados para RBAC

Para habilitar backups para VMs criptografadas ADE usando cofres de chaves habilitados para RBAC do Azure, você precisa atribuir a função de Administrador do Cofre de Chaves ao aplicativo Microsoft Entra do Serviço de Gerenciamento de Backup adicionando uma atribuição de função no Controle de Acesso do cofre de chaves.

Saiba mais sobre as diferentes funções disponíveis. A função de Administrador do Cofre de Chaves pode permitir permissões para obter, listar e fazer backup de segredos e chaves.

Para cofres de chaves habilitados para RBAC do Azure, você pode criar uma função personalizada com o seguinte conjunto de permissões. Saiba como criar uma função personalizada.

Ação	Descrição
Microsoft.KeyVault/vaults/chaves/backup/ação	Cria o arquivo de backup de uma chave.
Microsoft.KeyVault/vaults/secrets/backup/action	Cria o arquivo de backup de um segredo.
Microsoft.KeyVault/vaults/secrets/getSecret/action	Obtém o valor de um segredo.
Microsoft.KeyVault/vaults/chaves/leitura	Listar chaves no cofre especificado ou ler propriedades e materiais públicos.
Microsoft.KeyVault/vaults/secrets/readMetadata/action	Liste ou exiba as propriedades de um segredo, mas não seus valores.

"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Screenshot shows how to add permissions to key vault.

Acionar uma tarefa de backup

O backup inicial será executado de acordo com o agendamento, mas você pode executá-lo imediatamente da seguinte maneira:

Navegue até Centro de backup e selecione o item de menu Instâncias de backup.
Selecione Máquinas Virtuais do Azure como o tipo de Fonte de Dados e procure a VM que você configurou para backup.
Clique com o botão direito do mouse na linha relevante ou selecione o ícone mais (...) e clique em Fazer backup agora.
Em Backup Agora, use o controle de calendário para selecionar o último dia em que o ponto de recuperação deve ser mantido. Em seguida, selecione OK.
Monitore as notificações do portal. Para monitorar o progresso do trabalho, vá para Trabalhos de backup do centro>de backup e filtre a lista de trabalhos em andamento. Dependendo do tamanho da sua VM, a criação da cópia de segurança inicial poderá demorar algum tempo.

Fornecer permissões

O Backup do Azure precisa de acesso somente leitura para fazer backup das chaves e segredos, juntamente com as VMs associadas.

Seu Cofre da Chave está associado ao locatário do Microsoft Entra da assinatura do Azure. Se você for um usuário Membro, o Backup do Azure adquirirá acesso ao Cofre da Chave sem ação adicional.
Se você for um usuário convidado, deverá fornecer permissões para o Backup do Azure para acessar o cofre de chaves. Você precisa ter acesso aos cofres de chaves para configurar o Backup para VMs criptografadas.

Para fornecer permissões do Azure RBAC no Cofre da Chave, consulte este artigo.

Para definir permissões:

No portal do Azure, selecione Todos os serviços e procure Cofres de chave.
Selecione o cofre de chaves associado à VM criptografada da qual você está fazendo backup.

Gorjeta

Para identificar o cofre de chaves associado de uma VM, use o seguinte comando do PowerShell. Substitua o nome do grupo de recursos e o nome da VM:

Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

Procure o nome do cofre de chaves nesta linha:

SecretUrl : https://<keyVaultName>.vault.azure.net
Selecione Políticas>de acesso Adicionar política de acesso.
Em Adicionar política>de acesso Configurar a partir do modelo (opcional), selecione Backup do Azure.
- As permissões necessárias são pré-preenchidas para permissões de chave e permissões secretas.
- Se sua VM estiver criptografada usando apenas BEK, remova a seleção de permissões de chave, pois você só precisa de permissões para segredos.
Selecione Adicionar. O Serviço de Gerenciamento de Backup é adicionado às políticas do Access.
Selecione Salvar para fornecer o Backup do Azure com as permissões.