Kryptering av säkerhetskopieringsdata med kundhanterade nycklar

Azure Backup gör att du kan kryptera dina säkerhetskopierade data med hjälp av kundhanterade nycklar (CMK) i stället för att använda plattformshanterade nycklar, som är aktiverade som standard. Dina nycklar krypterar säkerhetskopierade data måste lagras i Azure 密钥保管库.

Krypteringsnyckeln som används för kryptering av säkerhetskopior kan skilja sig från den som används för källan. Data skyddas med hjälp av en AES 256-baserad datakrypteringsnyckel (DEK), som i sin tur skyddas med hjälp av dina nyckelkrypteringsnycklar (KEK). Detta ger dig fullständig kontroll över data och nycklar. Om du vill tillåta kryptering måste du ge Recovery Services-valvet behörighet att komma åt krypteringsnyckeln i Azure 密钥保管库. Du kan ändra nyckeln när det behövs.

I den här artikeln får du lära dig att:

  • skapar ett Recovery Services-valv
  • Konfigurera Recovery Services-valvet för att kryptera säkerhetskopierade data med hjälp av kundhanterade nycklar (CMK)
  • Säkerhetskopiera till valv som krypterats med kundhanterade nycklar
  • Återställa data från säkerhetskopior

Innan du börjar

  • Med den här funktionen kan du endast kryptera nya Recovery Services-valv. Valv som innehåller befintliga objekt som registrerats eller försökt att registreras i det stöds inte.

  • När du har aktiverat det för ett Recovery Services-valv kan kryptering med kundhanterade nycklar inte återställas till att använda plattformshanterade nycklar (standard). Du kan ändra krypteringsnycklarna enligt kraven.

  • Den här funktionen stöder för närvarande inte säkerhetskopiering med MARS-agenten och du kanske inte kan använda ett CMK-krypterat valv för samma sak. MARS-agenten använder en användarlösenfrasbaserad kryptering. Den här funktionen stöder inte heller säkerhetskopiering av klassiska virtuella datorer.

  • Den här funktionen är inte relaterad till Azure Disk Encryption, som använder gästbaserad kryptering av en virtuell dators disk med BitLocker (för Windows) och DM-Crypt (för Linux).

  • Recovery Services-valvet kan endast krypteras med nycklar som lagras i Azure 密钥保管库, som finns i samma region. Dessutom måste nycklarna endast vara RSA-nycklar och ska vara i aktiverat tillstånd.

  • Det finns för närvarande inte stöd för att flytta CMK-krypterat Recovery Services-valv mellan resursgrupper och prenumerationer.

  • Recovery Services-valv som krypterats med kundhanterade nycklar stöder för närvarande inte återställning mellan regioner av säkerhetskopierade instanser.

  • När du flyttar ett Recovery Services-valv som redan är krypterat med kundhanterade nycklar till en ny klient måste du uppdatera Recovery Services-valvet för att återskapa och konfigurera om valvets hanterade identitet och CMK (som ska finnas i den nya klientorganisationen). Om detta inte görs misslyckas säkerhetskopierings- och återställningsåtgärderna. Dessutom måste eventuella azure-behörigheter för rollbaserad åtkomstkontroll (Azure RBAC) som konfigurerats i prenumerationen konfigureras om.

  • Den här funktionen kan konfigureras via Azure-Portal och PowerShell.

    Anteckning

    Använd Az-modulen 5.3.0 eller senare för att använda kundhanterade nycklar för säkerhetskopior i Recovery Services-valvet.

    Varning

    Om du använder PowerShell för att hantera krypteringsnycklar för säkerhetskopiering rekommenderar vi inte att du uppdaterar nycklarna från portalen.
    Om du uppdaterar nyckeln från portalen kan du inte använda PowerShell för att uppdatera krypteringsnyckeln ytterligare förrän det finns en PowerShell-uppdatering som stöder den nya modellen. Du kan dock fortsätta att uppdatera nyckeln från Azure-Portal.

Om du inte har skapat och konfigurerat Recovery Services-valvet kan du läsa mer här.

Konfigurera ett valv för kryptering med kundhanterade nycklar

Om du vill konfigurera ett valv utför du följande åtgärder i den angivna sekvensen för att uppnå de avsedda resultaten. Varje åtgärd beskrivs i detalj i avsnitten nedan:

  1. Aktivera hanterad identitet för ditt Recovery Services-valv.

  2. Tilldela behörigheter till valvet för åtkomst till krypteringsnyckeln i Azure 密钥保管库.

  3. Aktivera mjuk borttagning och rensningsskydd i Azure 密钥保管库.

  4. Tilldela krypteringsnyckeln till Recovery Services-valvet,

Aktivera hanterad identitet för ditt Recovery Services-valv

Azure Backup använder systemtilldelade hanterade identiteter och användartilldelade hanterade identiteter för att autentisera Recovery Services-valvet för att få åtkomst till krypteringsnycklar som lagras i Azure 密钥保管库. Följ dessa steg om du vill aktivera hanterad identitet för Recovery Services-valvet:

Anteckning

När den har aktiverats får du inte inaktivera den hanterade identiteten (även tillfälligt). Inaktivering av den hanterade identiteten kan leda till inkonsekvent beteende.

Aktivera systemtilldelad hanterad identitet för valvet

Välj en klient:

  1. Gå till recovery services-valvet –>identitet

    Identitetsinställningar

  2. Gå till fliken Systemtilldelade .

  3. Ändra Status till .

  4. Klicka på Spara för att aktivera identiteten för valvet.

Ett objekt-ID genereras, vilket är den systemtilldelade hanterade identiteten för valvet.

Anteckning

När den hanterade identiteten har aktiverats får den inte inaktiveras (inte ens tillfälligt). Inaktivering av den hanterade identiteten kan leda till inkonsekvent beteende.

Tilldela användartilldelad hanterad identitet till valvet (i förhandsversion)

Anteckning

  • Valv som använder användartilldelade hanterade identiteter för CMK-kryptering stöder inte användning av privata slutpunkter för säkerhetskopiering.
  • Azure Key Vaults som begränsar åtkomsten till specifika nätverk stöds ännu inte för användning tillsammans med användartilldelade hanterade identiteter för CMK-kryptering.

Om du vill tilldela den användartilldelade hanterade identiteten för Recovery Services-valvet väljer du en klient:

  1. Gå till recovery services-valvet –>identitet

    Tilldela användartilldelad hanterad identitet till valvet

  2. Gå till fliken Användartilldelade .

  3. Klicka på +Lägg till för att lägga till en användartilldelad hanterad identitet.

  4. På bladet Lägg till användartilldelad hanterad identitet som öppnas väljer du prenumerationen för din identitet.

  5. Välj identiteten i listan. Du kan också filtrera efter namnet på identiteten eller resursgruppen.

  6. När du är klar klickar du på Lägg till för att slutföra tilldelningen av identiteten.

Tilldela behörigheter till Recovery Services-valvet för åtkomst till krypteringsnyckeln i Azure 密钥保管库

Anteckning

Om du använder användartilldelade identiteter måste samma behörigheter tilldelas till den användartilldelade identiteten.

Nu måste du tillåta Recovery Services-valvet att komma åt Azure-密钥保管库 som innehåller krypteringsnyckeln. Detta görs genom att ge Recovery Services-valvets hanterade identitet åtkomst till 密钥保管库.

Välj en klient:

  1. Gå till azure-密钥保管库 –>åtkomstprinciper. Fortsätt till +Lägg till åtkomstprinciper.

    Lägg till åtkomstprinciper

  2. Under Nyckelbehörigheter väljer du Åtgärderna Hämta, Lista, Packa upp nyckel och Radbryt nyckel . Detta anger vilka åtgärder för nyckeln som ska tillåtas.

    Tilldela nyckelbehörigheter

  3. Gå till Välj huvudkonto och sök efter ditt valv i sökrutan med dess namn eller hanterade identitet. När det visas väljer du valvet och väljer Välj längst ned i fönstret.

    Välj huvudkonto

  4. När du är klar väljer du Lägg till för att lägga till den nya åtkomstprincipen.

  5. Välj Spara för att spara ändringar som gjorts i åtkomstprincipen för Azure 密钥保管库.

Anteckning

Du kan också tilldela en RBAC-roll till Recovery Services-valvet som innehåller ovan nämnda behörigheter, till exempel rollen 密钥保管库 kryptografiansvarig.

De här rollerna kan innehålla andra behörigheter än de som beskrivs ovan.

Aktivera mjuk borttagning och rensningsskydd i Azure 密钥保管库

Du måste aktivera mjuk borttagning och rensningsskydd på azure-密钥保管库 som lagrar krypteringsnyckeln.

Om du vill aktivera mjuk borttagning och rensningsskydd väljer du en klient:

Du kan göra detta från Användargränssnittet för Azure 密钥保管库 enligt nedan. Du kan också ange dessa egenskaper när du skapar 密钥保管库. Mer informasjon om dessa 密钥保管库 egenskaper.

Aktivera mjuk borttagning eller rensningsskydd

Tilldela krypteringsnyckel till Recovery Services-valvet

Anteckning

Kontrollera följande innan du fortsätter:

  • Alla steg som nämns ovan har slutförts:
    • Recovery Services-valvets hanterade identitet har aktiverats och har tilldelats nödvändiga behörigheter
    • Azure-密钥保管库 har mjuk borttagning och rensningsskydd aktiverat
  • Recovery Services-valvet som du vill aktivera CMK-kryptering för har inga objekt skyddade eller registrerade för det

När ovanstående har säkerställts fortsätter du med att välja krypteringsnyckeln för valvet.

Om du vill tilldela nyckeln och följa stegen väljer du en klient:

  1. Gå till Recovery Services-valvet –>Egenskaper

    Krypteringsinställningar

  2. Välj Uppdatera under Krypteringsinställningar.

  3. I fönstret Krypteringsinställningar väljer du Använd din egen nyckel och fortsätter att ange nyckeln på något av följande sätt.

    Se till att du använder en RSA-nyckel, som är i aktiverat tillstånd.

    1. Ange den nyckel-URI som du vill kryptera data med i det här Recovery Services-valvet. Du måste också ange den prenumeration där Azure-密钥保管库 (som innehåller den här nyckeln) finns. Den här nyckel-URI:n kan hämtas från motsvarande nyckel i din Azure-密钥保管库. Kontrollera att nyckel-URI:n kopieras korrekt. Vi rekommenderar att du använder knappen Kopiera till Urklipp som medföljer nyckelidentifieraren.

      Anteckning

      När du anger krypteringsnyckeln med hjälp av nyckel-URI:n roteras inte nyckeln automatiskt. Viktiga uppdateringar måste därför göras manuellt genom att ange den nya nyckeln vid behov.

      Ange nyckel-URI

    2. Bläddra och välj nyckeln från 密钥保管库 i nyckelväljaren.

      Anteckning

      När du anger krypteringsnyckeln med hjälp av nyckelväljaren roteras nyckeln automatiskt när en ny version av nyckeln aktiveras. Mer informasjon på aktivering av automatisk rotation av krypteringsnycklar.

      Välj nyckel från nyckelvalvet

  4. Välj Spara.

  5. Spåra förlopp och status för uppdatering av krypteringsnyckel: Du kan spåra förloppet och statusen för krypteringsnyckeltilldelningen med hjälp av vyn Säkerhetskopieringsjobb i det vänstra navigeringsfältet. Statusen bör snart ändras till Slutförd. Valvet krypterar nu alla data med den angivna nyckeln som KEK.

    Statusen har slutförts

    Uppdateringarna av krypteringsnyckeln loggas också i valvets aktivitetslogg.

    Aktivitetslogg

Säkerhetskopiera till ett valv som krypterats med kundhanterade nycklar

Innan du fortsätter med att konfigurera skydd rekommenderar vi starkt att du ser till att följande checklista följs. Detta är viktigt eftersom när ett objekt har konfigurerats för att säkerhetskopieras (eller försöka konfigureras) till ett icke-CMK-krypterat valv kan kryptering med kundhanterade nycklar inte aktiveras på det och det fortsätter att använda plattformshanterade nycklar.

Viktigt

Innan du fortsätter att konfigurera skyddet måste du ha slutfört följande steg:

  1. Skapade ditt Recovery Services-valv
  2. Aktiverade Recovery Services-valvets systemtilldelade hanterade identitet eller tilldelade en användartilldelad hanterad identitet till valvet
  3. Tilldelade behörigheter till ditt Recovery Services-valv (eller den användartilldelade hanterade identiteten) för åtkomst till krypteringsnycklar från din 密钥保管库
  4. Aktiverat skydd mot mjuk borttagning och rensning för din 密钥保管库
  5. Tilldelat en giltig krypteringsnyckel för Ditt Recovery Services-valv

Om alla ovanstående steg har bekräftats fortsätter du först med att konfigurera säkerhetskopieringen.

Processen för att konfigurera och utföra säkerhetskopior till ett Recovery Services-valv som krypterats med kundhanterade nycklar är densamma som för ett valv som använder plattformshanterade nycklar, utan ändringar i upplevelsen. Detta gäller för säkerhetskopiering av virtuella Azure-datorer samt säkerhetskopiering av arbetsbelastningar som körs i en virtuell dator (till exempel SAP HANA, SQL Server databaser).

Återställa data från säkerhetskopiering

Säkerhetskopiering av virtuella datorer

Data som lagras i Recovery Services-valvet kan återställas enligt stegen som beskrivs här. När du återställer från ett Recovery Services-valv som krypterats med kundhanterade nycklar kan du välja att kryptera återställda data med en diskkrypteringsuppsättning (DES).

Återställa virtuell dator/disk

  1. När du återställer disk/virtuell dator från en återställningspunkt för ögonblicksbilder krypteras återställda data med de DES som används för kryptering av den virtuella källdatorns diskar.

  2. När du återställer disken/den virtuella datorn från en återställningspunkt med återställningstypen som "Valv" kan du välja att kryptera återställda data med hjälp av en DES, som angavs vid tidpunkten för återställningen. Du kan också välja att fortsätta med återställningen av data utan att ange en DES, i så fall krypteras den med hjälp av Microsoft hanterade nycklar.

  3. Under återställning mellan regioner återställs CMK (kundhanterade nycklar) aktiverade virtuella Azure-datorer, som inte säkerhetskopieras i ett CMK-aktiverat Recovery Services-valv, som icke-CMK-aktiverade virtuella datorer i den sekundära regionen.

Du kan kryptera den återställda disken/den virtuella datorn när återställningen har slutförts, oavsett vilket val som gjordes när återställningen initierades.

Återställningspunkter

Välj en diskkrypteringsuppsättning när du återställer från valvåterställningspunkten

Välj en klient:

Följ dessa steg för att ange diskkrypteringsuppsättningen under Krypteringsinställningar i återställningsfönstret:

  1. I Kryptera diskar med din nyckel väljer du Ja.

  2. I listrutan väljer du de DES som du vill använda för de återställde diskarna. Kontrollera att du har åtkomst till DES.

Anteckning

Möjligheten att välja en DES när du återställer är inte tillgänglig om du återställer en virtuell dator som använder Azure Disk Encryption.

Kryptera disken med din nyckel

Återställa filer

När du utför en filåterställning krypteras återställda data med nyckeln som används för att kryptera målplatsen.

Återställa SAP HANA/SQL-databaser på virtuella Azure-datorer

När du återställer från en säkerhetskopierad SAP HANA/SQL-databas som körs på en virtuell Azure-dator krypteras återställda data med hjälp av krypteringsnyckeln som används på mållagringsplatsen. Det kan vara en kundhanterad nyckel eller en plattformshanterad nyckel som används för att kryptera diskarna på den virtuella datorn.

Ytterligare information

Aktivera kryptering med kundhanterade nycklar när valvet skapas (i förhandsversion)

Anteckning

Aktivering av kryptering när valv skapas med hjälp av kundhanterade nycklar är i begränsad offentlig förhandsversion och kräver tillåten lista över prenumerationer. Om du vill registrera dig för förhandsversionen fyller du i formuläret och skriver till oss på AskAzureBackupTeam@microsoft.com.

När din prenumeration är tillåten visas fliken Kryptering för säkerhetskopiering . På så sätt kan du aktivera kryptering på säkerhetskopian med hjälp av kundhanterade nycklar när du skapar ett nytt Recovery Services-valv. Utför följande steg för att aktivera krypteringen:

  1. Bredvid fliken Grundläggande anger du krypteringsnyckeln och den identitet som ska användas för kryptering på fliken Säkerhetskopieringskryptering .

    Aktivera kryptering på valvnivå

    Anteckning

    Inställningarna gäller endast säkerhetskopiering och är valfria.

  2. Välj Använd kundhanterad nyckel som krypteringstyp.

  3. Om du vill ange vilken nyckel som ska användas för kryptering väljer du lämpligt alternativ.

    Du kan ange URI:n för krypteringsnyckeln eller bläddra och välja nyckeln. När du anger nyckeln med alternativet Välj 密钥保管库 aktiveras automatiskt automatisk rotation av krypteringsnyckeln. Mer informasjon vid automatisk rotation.

  4. Ange den användartilldelade hanterade identiteten för att hantera kryptering med kundhanterade nycklar. Klicka på Välj för att bläddra och välj den identitet som krävs.

  5. Fortsätt att lägga till taggar (valfritt) och fortsätt att skapa valvet.

Aktivera automatisk rotation av krypteringsnycklar

När du anger den kundhanterade nyckel som måste användas för att kryptera säkerhetskopior använder du följande metoder för att ange den:

  • Ange nyckel-URI:n
  • Välj från 密钥保管库

Med alternativet Välj från 密钥保管库 kan du aktivera automatisk rotation för den valda nyckeln. Detta eliminerar det manuella arbetet med att uppdatera till nästa version. Men med det här alternativet:

  • Det kan ta upp till en timme innan uppdateringen av nyckelversionen börjar gälla.
  • När en ny version av nyckeln börjar gälla bör den gamla versionen också vara tillgänglig (i aktiverat tillstånd) för minst ett efterföljande säkerhetskopieringsjobb när nyckeluppdateringen har börjat gälla.

Använda Azure-principer för att granska och framtvinga kryptering med kundhanterade nycklar (i förhandsversion)

Azure Backup kan du använda Azure Polices för att granska och framtvinga kryptering, med hjälp av kundhanterade nycklar, av data i Recovery Services-valvet. Använda Azure-principerna:

  • Granskningsprincipen kan användas för granskning av valv med kryptering med kundhanterade nycklar som är aktiverade efter 2021-04-01. För valv med CMK-kryptering aktiverat före det här datumet kan principen misslyckas med att tillämpas eller visa falska negativa resultat (dvs. dessa valv kan rapporteras som icke-kompatibla, trots att CMK-kryptering är aktiverat).

  • Om du vill använda granskningsprincipen för granskningsvalv med CMK-kryptering aktiverat före 2021-04-01 använder du Azure-Portal för att uppdatera en krypteringsnyckel. Detta hjälper till att uppgradera till den nya modellen. Om du inte vill ändra krypteringsnyckeln anger du samma nyckel igen via nyckel-URI:n eller alternativet för nyckelval.

    Varning

    Om du använder PowerShell för att hantera krypteringsnycklar för säkerhetskopiering rekommenderar vi inte att du uppdaterar nycklarna från portalen.
    Om du uppdaterar nyckeln från portalen kan du inte använda PowerShell för att uppdatera krypteringsnyckeln ytterligare förrän en PowerShell-uppdatering som stöder den nya modellen är tillgänglig. Du kan dock fortsätta att uppdatera nyckeln från Azure-Portal.

Vanliga frågor och svar

Kan jag kryptera ett befintligt Backup-valv med kundhanterade nycklar?

Nej, CMK-kryptering kan endast aktiveras för nya valv. Så valvet får aldrig ha haft några objekt skyddade för det. Faktum är att inga försök att skydda objekt till valvet måste göras innan kryptering aktiveras med hjälp av kundhanterade nycklar.

Jag försökte skydda ett objekt i mitt valv, men det misslyckades och valvet innehåller fortfarande inga objekt som är skyddade för det. Kan jag aktivera CMK-kryptering för det här valvet?

Nej, valvet får inte ha haft några försök att skydda objekt i det förflutna.

Jag har ett valv som använder CMK-kryptering. Kan jag senare återgå till kryptering med plattformshanterade nycklar även om jag har säkerhetskopieringsobjekt skyddade i valvet?

Nej, när du har aktiverat CMK-kryptering kan det inte återställas till att använda plattformshanterade nycklar. Du kan ändra de nycklar som används enligt dina krav.

Gäller CMK-kryptering för Azure Backup även för Azure Site Recovery?

Nej, den här artikeln beskriver endast kryptering av säkerhetskopierade data. För Azure Site Recovery måste du ange egenskapen separat som tillgänglig från tjänsten.

Jag missade något av stegen i den här artikeln och fortsatte med att skydda min datakälla. Kan jag fortfarande använda CMK-kryptering?

Om du inte följer stegen i artikeln och fortsätter att skydda objekt kan det leda till att valvet inte kan använda kryptering med hjälp av kundhanterade nycklar. Vi rekommenderar därför att du läser den här checklistan innan du fortsätter att skydda objekt.

Lägger cmk-kryptering till kostnaden för mina säkerhetskopior?

Att använda CMK-kryptering för säkerhetskopiering medför inga extra kostnader för dig. Du kan dock fortsätta att debiteras kostnader för att använda din Azure-密钥保管库 där din nyckel lagras.

Nästa steg