Criptografar dados de backup usando chaves gerenciadas pelo cliente
Você pode usar o Backup do Azure para criptografar seus dados de backup por meio de chaves gerenciadas pelo cliente (CMKs) em vez de chaves gerenciadas por plataforma (PMKs), que são habilitadas por padrão. Suas chaves para criptografar os dados de backup devem ser armazenadas no Cofre de Chaves do Azure.
A chave de criptografia que você usa para criptografar backups pode ser diferente daquela que você usa para a origem. Uma chave de criptografia de dados (DEK) baseada em AES 256 ajuda a proteger os dados. Suas chaves de criptografia de chave (KEKs), por sua vez, ajudam a proteger a DEK. Você tem controle total sobre os dados e as chaves.
Para permitir a criptografia, você deve conceder ao cofre de backup as permissões para acessar a chave de criptografia no cofre de chaves. Você pode alterar a chave quando necessário.
Neste artigo, vai aprender a:
- Crie um cofre dos Serviços de Recuperação.
- Configure o cofre dos Serviços de Recuperação para criptografar os dados de backup usando CMKs.
- Faça backup de dados em um cofre criptografado por meio de CMKs.
- Restaure dados de backups.
Considerações
Você pode usar esse recurso (usando o Backup do Azure para criptografar dados de backup por meio de CMKs) para criptografar apenas novos cofres dos Serviços de Recuperação. Não há suporte para qualquer cofre que contenha itens existentes registrados ou que tenham tentado ser registrados nele.
Depois de habilitar a criptografia usando CMKs para um cofre dos Serviços de Recuperação, você não poderá reverter para o uso de PMKs (o padrão). Você pode alterar as chaves de criptografia para atender aos requisitos.
Atualmente, esse recurso não oferece suporte a backup por meio do agente dos Serviços de Recuperação do Microsoft Azure (MARS) e talvez você não consiga usar um cofre criptografado por CMK para backup por meio do agente MARS. O agente MARS usa criptografia baseada em frase secreta. Esse recurso também não oferece suporte ao backup de máquinas virtuais (VMs) que você criou no modelo de implantação clássico.
Esse recurso não está relacionado à Criptografia de Disco do Azure, que usa a criptografia baseada em convidado do disco de uma VM usando o BitLocker para Windows e o DM-Crypt para Linux.
Você pode criptografar o cofre dos Serviços de Recuperação somente usando chaves armazenadas no Cofre de Chaves do Azure e localizadas na mesma região. Além disso, as chaves devem ser suportadas por chaves RSA e devem estar no estado habilitado.
Atualmente, não há suporte para mover um cofre dos Serviços de Recuperação criptografados por CMK entre grupos de recursos e assinaturas.
Ao mover um cofre dos Serviços de Recuperação já criptografado por meio de CMKs para um novo locatário, você precisa atualizar o cofre dos Serviços de Recuperação para recriar e reconfigurar a identidade gerenciada do cofre e a CMK (que deve estar no novo locatário). Se você não atualizar o cofre, as operações de backup e restauração falharão. Você também precisa reconfigurar quaisquer permissões de controle de acesso baseado em função (RBAC) do Azure que você configurou na assinatura.
Você pode configurar esse recurso por meio do portal do Azure e do PowerShell. Use o módulo Az 5.3.0 ou posterior para usar CMKs para backups no cofre dos Serviços de Recuperação.
Aviso
Se você estiver usando o PowerShell para gerenciar chaves de criptografia para Backup, não recomendamos atualizar as chaves do portal. Se você atualizar as chaves do portal, não poderá usar o PowerShell para atualizar ainda mais as chaves até que uma atualização do PowerShell para dar suporte ao novo modelo esteja disponível. No entanto, você pode continuar a atualizar as chaves do portal do Azure.
Se você não criou e configurou seu cofre dos Serviços de Recuperação, consulte este artigo.
Configurar um cofre para criptografar usando chaves gerenciadas pelo cliente
Para configurar um cofre, execute as seguintes ações em sequência:
Habilite uma identidade gerenciada para seu cofre dos Serviços de Recuperação.
Atribua permissões ao cofre dos Serviços de Recuperação para aceder à chave de encriptação no Cofre de Chaves do Azure.
Habilite a proteção de exclusão suave e limpeza no Cofre da Chave do Azure.
Atribuir a chave de encriptação ao cofre dos Serviços de Recuperação.
As seções a seguir discutem cada uma dessas ações em detalhes.
Habilite uma identidade gerenciada para seu cofre dos Serviços de Recuperação
O Backup do Azure usa identidades gerenciadas atribuídas pelo sistema e identidades gerenciadas atribuídas pelo usuário para autenticar o cofre dos Serviços de Recuperação para acessar chaves de criptografia armazenadas no Cofre de Chaves do Azure. Você pode escolher qual identidade gerenciada usar.
Nota
Depois de habilitar uma identidade gerenciada, você não deve desativá-la (mesmo temporariamente). A desativação da identidade gerenciada pode levar a um comportamento inconsistente.
Habilitar uma identidade gerenciada atribuída pelo sistema para o cofre
Escolha um cliente:
Aceda à Identidade do cofre>dos Serviços de Recuperação.
Selecione o separador Sistema atribuído .
Altere o status para Ativado.
Selecione Salvar para ativar a identidade do cofre.
As etapas anteriores geram um ID de objeto, que é a identidade gerenciada atribuída pelo sistema do cofre.
Atribuir uma identidade gerenciada atribuída pelo usuário ao cofre (na visualização)
Nota
Os cofres que usam identidades gerenciadas atribuídas pelo usuário para criptografia CMK não suportam o uso de pontos de extremidade privados para backup.
Os cofres de chaves que limitam o acesso a redes específicas ainda não são suportados para uso com identidades gerenciadas atribuídas pelo usuário para criptografia CMK.
Para atribuir a identidade gerenciada atribuída pelo usuário ao cofre dos Serviços de Recuperação, escolha um cliente:
Aceda à Identidade do cofre>dos Serviços de Recuperação.
Selecione a guia Usuário atribuído (visualização).
Selecione +Adicionar para adicionar uma identidade gerenciada atribuída pelo usuário.
No painel Adicionar identidade gerenciada atribuída ao usuário, selecione a assinatura para sua identidade.
Selecione a identidade na lista. Você também pode filtrar pelo nome da identidade ou do grupo de recursos.
Selecione Adicionar para concluir a atribuição da identidade.
Atribuir permissões ao cofre dos Serviços de Recuperação para aceder à chave de encriptação no Cofre da Chave do Azure
Agora você precisa permitir a identidade gerenciada do cofre dos Serviços de Recuperação para acessar o cofre de chaves que contém a chave de criptografia.
Se estiver a utilizar uma identidade atribuída pelo utilizador, tem de lhe atribuir as mesmas permissões.
Escolha um cliente:
Aceda às políticas de acesso ao cofre>de chaves. Selecione +Adicionar Política de Acesso.
Especifique as ações a serem permitidas na chave. Para permissões de chave, selecione as operações Get, List, Unwrap Key e Wrap Key .
Vá para Selecionar entidade e procure seu cofre na caixa de pesquisa usando seu nome ou identidade gerenciada. Quando o cofre aparecer, selecione-o e, em seguida, escolha Selecionar na parte inferior do painel.
Selecione Adicionar para adicionar a nova política de acesso.
Selecione Salvar para salvar as alterações feitas na política de acesso do cofre de chaves.
Você também pode atribuir uma função RBAC ao cofre dos Serviços de Recuperação que contenha as permissões mencionadas anteriormente, como a função Key Vault Crypto Officer . Essa função pode conter permissões adicionais.
Habilitar a proteção de exclusão suave e limpeza no Cofre da Chave do Azure
Você precisa ativar a proteção de exclusão suave e limpeza no cofre de chaves que armazena sua chave de criptografia.
Escolha um cliente:
Você pode habilitar a proteção de exclusão suave e limpeza da interface do Cofre da Chave do Azure, conforme mostrado na captura de tela a seguir. Como alternativa, você pode definir essas propriedades ao criar o cofre de chaves. Saiba mais sobre essas propriedades do Cofre da Chave.
Atribuir uma chave de criptografia ao cofre dos Serviços de Recuperação
Antes de selecionar a chave de encriptação para o cofre, certifique-se de que:
- Habilitou a identidade gerenciada do cofre dos Serviços de Recuperação e atribuiu as permissões necessárias a ele.
- Proteção de exclusão e limpeza suave ativada para o cofre de chaves.
- Não tenha nenhum item protegido ou registrado no cofre dos Serviços de Recuperação para o qual você deseja habilitar a criptografia CMK.
Para atribuir a chave e seguir as etapas, escolha um cliente:
Vá para as Propriedades do cofre dos>Serviços de Recuperação.
Em Configurações de Criptografia, selecione Atualizar.
No painel Configurações de Criptografia, selecione Usar sua própria chave e especifique a chave usando uma das seguintes opções. Certifique-se de usar uma chave RSA que esteja em um estado habilitado.
Selecione Enter key URI. Na caixa Uri da chave, insira o URI da chave que você deseja usar para criptografar dados neste cofre dos Serviços de Recuperação. Você também pode obter esse URI de chave da chave correspondente em seu cofre de chaves. Na caixa Assinatura, especifique a assinatura para o cofre de chaves que contém essa chave.
Certifique-se de copiar o URI da chave corretamente. Recomendamos que você use o botão Copiar para área de transferência fornecido com o identificador de chave.
Quando você estiver especificando a chave de criptografia usando o URI de chave completa com o componente de versão, a chave não será girada automaticamente. Você precisa atualizar as chaves manualmente, especificando a nova chave ou versão quando necessário. Como alternativa, remova o componente de versão do URI de chave para obter rotação automática.
Escolha Selecionar no Cofre da Chave. No painel Seletor de chaves, procure e selecione a chave no cofre de chaves.
Quando você especifica a chave de criptografia usando o painel Seletor de chaves, a chave será girada automaticamente sempre que uma nova versão para a chave estiver habilitada. Saiba mais sobre como ativar a rotação automática de chaves de criptografia.
Selecione Guardar.
Acompanhe o progresso e o status da atribuição da chave de criptografia usando a visualização Trabalhos de backup no menu à esquerda. O status deve mudar em breve para Concluído. Seu cofre agora criptografará todos os dados com a chave especificada como um KEK.
As atualizações da chave de criptografia também são registradas no registro de atividades do cofre.
Faça backup de dados em um cofre criptografado por meio de chaves gerenciadas pelo cliente
Antes de configurar a proteção de backup, confirme se você foi bem-sucedido:
- Criou o cofre dos Serviços de Recuperação.
- Habilitada a identidade gerenciada atribuída pelo sistema do cofre dos Serviços de Recuperação ou atribuída uma identidade gerenciada atribuída pelo usuário ao cofre.
- Permissões atribuídas ao cofre dos Serviços de Recuperação (ou à identidade gerenciada atribuída pelo usuário) para acessar chaves de criptografia do cofre de chaves.
- Proteção de exclusão e limpeza suave ativada para seu cofre de chaves.
- Atribuída uma chave de encriptação válida para o cofre dos Serviços de Recuperação.
Essa lista de verificação é importante porque depois de configurar (ou tentar configurar) um item para fazer backup em um cofre criptografado não CMK, não é possível habilitar a criptografia CMK nele. Continua a utilizar PMKs.
O processo para configurar e executar backups em um cofre dos Serviços de Recuperação criptografado por meio de CMKs é o mesmo que o processo para configurar e executar backups em um cofre que usa PMKs. Não há alterações na experiência. Esta instrução é verdadeira para o backup de VMs do Azure e o backup de cargas de trabalho em execução dentro de uma VM (por exemplo, bancos de dados SAP HANA ou SQL Server ).
Restaurar dados a partir de uma cópia de segurança
Restaurar dados de um backup de VM
Você pode restaurar os dados armazenados no cofre dos Serviços de Recuperação de acordo com as etapas descritas neste artigo. Ao restaurar a partir de um cofre dos Serviços de Recuperação criptografado por meio de CMKs, você pode optar por criptografar os dados restaurados usando um conjunto de criptografia de disco (DES).
A experiência descrita nesta seção se aplica somente quando você restaura dados de cofres criptografados por CMK. Quando você restaura dados de um cofre que não está usando criptografia CMK, os dados restaurados são criptografados por meio de PMKs. Se você restaurar a partir de um instantâneo de recuperação instantânea, os dados restaurados serão criptografados por meio do mecanismo usado para criptografar o disco de origem.
Restaurar um disco ou VM
Quando você recupera um disco ou VM de um ponto de recuperação de instantâneo , os dados restaurados são criptografados com o DES usado para criptografar os discos da VM de origem.
Ao restaurar um disco ou VM a partir de um ponto de recuperação com Tipo de Recuperação como Vault, você pode optar por criptografar os dados restaurados usando um DES especificado. Como alternativa, você pode continuar a restaurar os dados sem especificar um DES. Nesse caso, a configuração de criptografia na VM é aplicada.
Durante a restauração entre regiões, as VMs do Azure habilitadas para CMK (cujo backup não é feito em um cofre dos Serviços de Recuperação habilitado para CMK) são restauradas como VMs não habilitadas para CMK na região secundária.
Você pode criptografar o disco restaurado ou a VM após a conclusão da restauração, independentemente da seleção feita quando iniciou a restauração.
Selecione um conjunto de criptografia de disco durante a restauração a partir de um ponto de recuperação do cofre
Escolha um cliente:
Para especificar um DES em Configurações de criptografia no painel de restauração, execute estas etapas:
Em Criptografar disco(s) usando sua chave?, selecione Sim.
Na lista suspensa Conjunto de criptografia, selecione o DES que você deseja usar para os discos restaurados. Certifique-se de que tem acesso ao DES.
Nota
A capacidade de escolher um DES durante a restauração é suportada se você estiver fazendo uma restauração entre regiões. No entanto, atualmente não há suporte se você estiver restaurando uma VM que usa a Criptografia de Disco do Azure.
Restaurar ficheiros
Quando você executa uma restauração de arquivo, os dados restaurados são criptografados com a chave que você usou para criptografar o local de destino.
Restaurar bancos de dados SAP HANA/SQL em VMs do Azure
Quando você restaura a partir de um banco de dados SAP HANA ou SQL Server de backup em execução em uma VM do Azure, os dados restaurados são criptografados por meio da chave de criptografia usada no local de armazenamento de destino. Pode ser uma CMK ou uma PMK usada para criptografar os discos da VM.
Tópicos adicionais
Habilite a criptografia usando chaves gerenciadas pelo cliente na criação do vault (na visualização)
Habilitar a criptografia na criação do vault usando CMKs está em visualização pública limitada e requer a permissão de listagem de assinaturas. Para se inscrever na pré-visualização, preencha o formulário e escreva-nos para AskAzureBackupTeam@microsoft.com.
Quando sua assinatura é permitida, a guia Criptografia de backup é exibida. Use esta guia para habilitar a criptografia no backup usando CMKs durante a criação de um novo cofre dos Serviços de Recuperação.
Para ativar a encriptação, siga estes passos:
Na guia Criptografia de backup, especifique a chave de criptografia e a identidade a ser usada para criptografia. As configurações aplicam-se apenas ao Backup e são opcionais.
Em Tipo de criptografia, selecione Usar chave gerenciada pelo cliente.
Para especificar a chave a ser usada para criptografia, selecione a opção apropriada para Chave de criptografia. Você pode fornecer o URI para a chave de criptografia ou procurar e selecionar a chave.
Se você especificar a chave usando a opção Selecionar do Cofre da Chave , a rotação automática da chave de criptografia será ativada automaticamente. Saiba mais sobre a rotação automática.
Em Identidade, especifique a identidade gerenciada atribuída pelo usuário para gerenciar a criptografia usando CMKs. Escolha Selecionar para navegar e selecione a identidade necessária.
Adicione tags (opcional) e continue criando o cofre.
Ativar a rotação automática de chaves de encriptação
Para especificar a CMK para criptografar backups, use uma das seguintes opções:
- Insira o URI da chave
- Selecione a partir do Cofre da Chave
O uso da opção Selecionar do Cofre da Chave permite a rotação automática da chave selecionada. Esta opção elimina o esforço manual para atualizar para a próxima versão. No entanto, quando você usa essa opção:
- A atualização para a versão principal pode levar até uma hora para entrar em vigor.
- Depois que uma atualização de chave entrar em vigor, a versão antiga também deverá estar disponível (em um estado habilitado) para pelo menos uma tarefa de backup subsequente.
Quando você especifica a chave de criptografia usando o URI de chave completa, a chave não será girada automaticamente. Você precisa executar atualizações de chave manualmente, especificando a nova chave quando necessário. Para habilitar a rotação automática, remova o componente de versão do URI de chave.
Usar a Política do Azure para auditar e impor a criptografia por meio de chaves gerenciadas pelo cliente (na visualização)
Com o Backup do Azure, você pode usar a Política do Azure para auditar e impor a criptografia de dados no cofre dos Serviços de Recuperação usando CMKs. Você pode usar a política de auditoria para auditar cofres criptografados usando CMKs que foram habilitadas após 1º de abril de 2021.
Para cofres que têm a criptografia CMK habilitada antes de 1º de abril de 2021, a política pode não ser aplicada ou pode mostrar resultados falsos negativos. Ou seja, esses cofres podem ser relatados como não compatíveis, apesar de terem a criptografia CMK habilitada.
Para usar a política de auditoria para auditar cofres com criptografia CMK habilitada antes de 1º de abril de 2021, use o portal do Azure para atualizar uma chave de criptografia. Essa abordagem ajuda você a atualizar para o novo modelo. Se você não quiser alterar a chave de criptografia, forneça a mesma chave novamente por meio do URI da chave ou da opção de seleção de chave.
Aviso
Se você estiver usando o PowerShell para gerenciar chaves de criptografia para Backup, não recomendamos que atualize uma chave de criptografia do portal. Se você atualizar uma chave do portal, não poderá usar o PowerShell para atualizar a chave de criptografia até que uma atualização do PowerShell para dar suporte ao novo modelo esteja disponível. No entanto, pode continuar a atualizar a chave a partir do portal.
Perguntas mais frequentes
Posso criptografar um cofre de backup existente usando chaves gerenciadas pelo cliente?
N.º Você pode habilitar a criptografia CMK apenas para novos cofres. Um cofre nunca deve ter tido nenhum item protegido para ele. Na verdade, você não deve tentar proteger nenhum item no cofre antes de habilitar a criptografia usando CMKs.
Tentei proteger um item para o meu cofre, mas falhou e o cofre ainda não contém nenhum item protegido para ele. Posso ativar a criptografia CMK para este cofre?
N.º O cofre não deve ter tido nenhuma tentativa de proteger quaisquer itens no passado.
Eu tenho um cofre que está usando criptografia CMK. Mais tarde, posso reverter para a criptografia PMK, mesmo que eu tenha itens de backup protegidos no cofre?
N.º Depois de habilitar a criptografia CMK, você não poderá reverter para o uso de PMKs. Você pode alterar as chaves de acordo com suas necessidades.
A criptografia CMK para Backup do Azure também se aplica ao Azure Site Recovery?
N.º Este artigo discute a criptografia somente de dados de backup. Para o Azure Site Recovery, você precisa definir a propriedade separadamente como disponível no serviço.
Perdi uma das etapas deste artigo e continuei a proteger minha fonte de dados. Posso continuar a utilizar encriptação CMK?
Se você não seguir as etapas no artigo e continuar a proteger os itens, o cofre pode não conseguir usar a criptografia CMK. Recomendamos que você use esta lista de verificação antes de proteger os itens.
O uso da criptografia CMK aumenta o custo dos meus backups?
O uso da criptografia CMK para Backup não incorre em custos adicionais. Mas poderá continuar a incorrer em custos pela utilização do cofre de chaves onde a chave está armazenada.