Säkerhetskopiera och återställa krypterade virtuella Azure-datorer

Den här artikeln beskriver hur du säkerhetskopierar och återställer virtuella Windows- eller Linux Azure-datorer med krypterade diskar med hjälp av Azure Backup-tjänsten. Mer information finns i Kryptering av säkerhetskopiering av virtuella Azure-datorer.

Kryptering med plattformshanterade nycklar

Som standard krypteras alla diskar i dina virtuella datorer automatiskt i vila med hjälp av plattformshanterade nycklar (PMK) som använder kryptering av lagringstjänsten. Du kan säkerhetskopiera dessa virtuella datorer med hjälp av Azure Backup utan några specifika åtgärder som krävs för att stödja kryptering på din sida. Mer information om kryptering med plattformshanterade nycklar finns i den här artikeln.

Krypterade diskar

Kryptering med kundhanterade nycklar

När du krypterar diskar med kundhanterade nycklar (CMK) lagras nyckeln som används för att kryptera diskarna i Azure-Key Vault och hanteras av dig. Lagringstjänstkryptering (SSE) med CMK skiljer sig från ADE-kryptering (Azure Disk Encryption). ADE använder operativsystemets krypteringsverktyg. SSE krypterar data i lagringstjänsten så att du kan använda operativsystem eller avbildningar för dina virtuella datorer.

Du behöver inte utföra några explicita åtgärder för säkerhetskopiering eller återställning av virtuella datorer som använder kundhanterade nycklar för att kryptera sina diskar. Säkerhetskopieringsdata för dessa virtuella datorer som lagras i valvet krypteras med samma metoder som krypteringen som används i valvet.

Mer information om kryptering av hanterade diskar med kundhanterade nycklar finns i den här artikeln.

Krypteringsstöd med ADE

Azure Backup stöder säkerhetskopiering av virtuella Azure-datorer som har sina OS/datadiskar krypterade med Azure Disk Encryption (ADE). ADE använder BitLocker för kryptering av virtuella Windows-datorer och dm-crypt-funktionen för virtuella Linux-datorer. ADE integreras med Azure Key Vault för att hantera diskkrypteringsnycklar och hemligheter. Key Vault nyckelkrypteringsnycklar (KEK:er) kan användas för att lägga till ytterligare ett säkerhetslager och kryptera krypteringshemligheter innan de skrivs till Key Vault.

Azure Backup kan säkerhetskopiera och återställa virtuella Azure-datorer med ADE med och utan Azure AD app, enligt sammanfattningen i följande tabell.

Disktyp för virtuell dator ADE (BEK/dm-crypt) ADE och KEK
Ohanterade Ja Ja
Hanterade Ja Ja

Begränsningar

  • Du kan säkerhetskopiera och återställa ADE-krypterade virtuella datorer i samma prenumeration.
  • Azure Backup stöder virtuella datorer som krypterats med fristående nycklar. Alla nycklar som ingår i ett certifikat som används för att kryptera en virtuell dator stöds inte för närvarande.
  • Azure Backup stöder återställning mellan regioner av krypterade virtuella Azure-datorer till de azure-kopplade regionerna. Mer information finns i supportmatris.
  • ADE-krypterade virtuella datorer kan inte återställas på fil-/mappnivå. Du måste återställa hela den virtuella datorn för att återställa filer och mappar.
  • När du återställer en virtuell dator kan du inte använda alternativet ersätt befintlig virtuell dator för ADE-krypterade virtuella datorer. Det här alternativet stöds endast för okrypterade hanterade diskar.

Innan du börjar

Innan du börjar gör du följande:

  1. Kontrollera att du har en eller flera virtuella Windows - eller Linux-datorer med ADE aktiverat.
  2. Granska supportmatrisen för säkerhetskopiering av virtuella Azure-datorer
  3. Skapa ett Recovery Services Backup-valv om du inte har något.
  4. Om du aktiverar kryptering för virtuella datorer som redan är aktiverade för säkerhetskopiering behöver du bara ge Säkerhetskopiering behörighet att komma åt Key Vault så att säkerhetskopiorna kan fortsätta utan avbrott. Läs mer om att tilldela dessa behörigheter.

Dessutom finns det några saker som du kan behöva göra under vissa omständigheter:

  • Installera VM-agenten på den virtuella datorn: Azure Backup säkerhetskopierar virtuella Azure-datorer genom att installera ett tillägg till Azure VM-agenten som körs på datorn. Om den virtuella datorn skapades från en Azure Marketplace avbildning installeras och körs agenten. Om du skapar en anpassad virtuell dator eller om du migrerar en lokal dator kan du behöva installera agenten manuellt.

Konfigurera en säkerhetskopieringspolicy

  1. Om du ännu inte har skapat ett Recovery Services-säkerhetskopieringsvalv följer du dessa instruktioner.

  2. Gå till Säkerhetskopieringscenter och klicka på +Säkerhetskopiering på fliken Översikt

    Fönstret Säkerhetskopiering

  3. Välj Azure Virtual Machines som Datasource-typ och välj det valv som du har skapat och klicka sedan på Fortsätt.

    Scenariofönster

  4. Välj den princip som du vill associera med valvet och välj sedan OK.

    • En säkerhetskopieringsprincip anger när säkerhetskopieringar tas och hur länge de lagras.
    • Information om standardprincipen visas under den nedrullningsbara menyn.

    Välj säkerhetskopieringsprincip

  5. Om du inte vill använda standardprincipen väljer du Skapa ny och skapar en anpassad princip.

  6. Under Virtual Machines väljer du Lägg till.

    Lägga till virtuella datorer

  7. Välj de krypterade virtuella datorer som du vill säkerhetskopiera med hjälp av select-principen och välj OK.

    Välj krypterade virtuella datorer

  8. Om du använder Azure Key Vault visas ett meddelande på valvsidan om att Azure Backup behöver skrivskyddad åtkomst till nycklar och hemligheter i Key Vault.

  9. Välj Aktivera säkerhetskopiering för att distribuera säkerhetskopieringsprincipen i valvet och aktivera säkerhetskopiering för de valda virtuella datorerna.

Säkerhetskopiera ADE-krypterade virtuella datorer med RBAC-aktiverade nyckelvalv

Om du vill aktivera säkerhetskopior för ADE-krypterade virtuella datorer med Azure RBAC-aktiverade nyckelvalv måste du tilldela Key Vault administratörsroll till appen Backup Management Service Azure AD genom att lägga till en rolltilldelning i Access Control av nyckelvalvet.

Skärmbild som visar kryssrutan för att aktivera ADE-krypterat nyckelvalv.

Läs mer om de olika tillgängliga rollerna. Rollen Key Vault administratör kan tillåta behörigheter att hämta, lista och säkerhetskopiera både hemlighet och nyckel.

För Azure RBAC-aktiverade nyckelvalv kan du skapa en anpassad roll med följande uppsättning behörigheter. Lär dig hur du skapar en anpassad roll.

Åtgärd Beskrivning
Microsoft.KeyVault/vaults/keys/backup/action Skapar säkerhetskopian av en nyckel.
Microsoft.KeyVault/vaults/secrets/backup/action Skapar säkerhetskopian av en hemlighet.
Microsoft.KeyVault/vaults/secrets/getSecret/action Hämtar värdet för en hemlighet.
Microsoft.KeyVault/vaults/keys/read Visa nycklar i det angivna valvet eller läsegenskaper och offentligt material.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Visa egenskaperna för en hemlighet, men inte dess värden.
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Skärmbild som visar hur du lägger till behörigheter i nyckelvalvet.

Utlösa ett säkerhetskopieringsjobb

Den första säkerhetskopieringen körs enligt schemat, men du kan köra den direkt på följande sätt:

  1. Gå till Säkerhetskopieringscenter och välj menyalternativet Säkerhetskopieringsinstanser .
  2. Välj Virtuella Azure-datorer som typ av datakälla och sök efter den virtuella dator som du har konfigurerat för säkerhetskopiering.
  3. Högerklicka på relevant rad eller välj ikonen mer (...) och klicka på Säkerhetskopiera nu.
  4. I Säkerhetskopiering nu använder du kalenderkontrollen för att välja den sista dagen som återställningspunkten ska behållas. Välj sedan OK.
  5. Övervaka portalmeddelandena. Om du vill övervaka jobbstatusen går du till Säkerhetskopieringscenter>Säkerhetskopieringsjobb och filtrerar listan för Pågående jobb. Beroende på den virtuella datorns storlek kan det ta en stund att skapa den första säkerhetskopian.

Ange behörigheter

Azure Backup behöver skrivskyddad åtkomst för att säkerhetskopiera nycklar och hemligheter, tillsammans med de associerade virtuella datorerna.

  • Din Key Vault är associerad med den Azure AD klientorganisationen för Azure-prenumerationen. Om du är medlem får Azure Backup åtkomst till Key Vault utan ytterligare åtgärder.
  • Om du är gästanvändare måste du ange behörigheter för Azure Backup för att få åtkomst till nyckelvalvet. Du måste ha åtkomst till nyckelvalv för att konfigurera säkerhetskopiering för krypterade virtuella datorer.

Så här anger du behörigheter:

  1. I Azure Portal väljer du Alla tjänster och söker efter Nyckelvalv.

  2. Välj det nyckelvalv som är associerat med den krypterade virtuella datorn som du säkerhetskopierar.

    Tips

    Om du vill identifiera en virtuell dators associerade nyckelvalv använder du följande PowerShell-kommando. Ersätt resursgruppens namn och vm-namn:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Leta efter nyckelvalvets namn på den här raden:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Välj Åtkomstprinciper>Lägg till åtkomstprincip.

    Lägg till åtkomstprincip

  4. I Lägg till åtkomstprincip>Konfigurera från mall (valfritt) väljer du Azure Backup.

    • De behörigheter som krävs är förifyllda för nyckelbehörigheter och hemliga behörigheter.
    • Om den virtuella datorn endast krypteras med BEK tar du bort valet för Nyckelbehörigheter eftersom du bara behöver behörigheter för hemligheter.

    Azure Backup markering

  5. Välj Lägg till. Säkerhetskopieringshanteringstjänsten läggs till i Åtkomstprinciper.

    Åtkomstprinciper

  6. Välj Spara för att ange Azure Backup med behörigheterna.

Du kan också ange åtkomstprincipen med hjälp av PowerShell eller CLI.

Nästa steg

Återställa krypterade virtuella Azure-datorer

Om du stöter på problem kan du läsa följande artiklar: