Condividi tramite

Eseguire il backup e ripristinare le macchine virtuali crittografate di Azure

  • Articolo

Questo articolo descrive come eseguire il backup e il ripristino di macchine virtuali (VM) windows o Linux di Azure con dischi crittografati usando il servizio Backup di Azure. Per altre informazioni, vedere Crittografia dei backup delle macchine virtuali di Azure.

Scenari supportati per il backup e il ripristino di macchine virtuali di Azure crittografate

Questa sezione descrive gli scenari supportati per il backup e il ripristino di macchine virtuali di Azure crittografate.

Crittografia con chiavi gestite dalla piattaforma

Per impostazione predefinita, tutti i dischi nelle macchine virtuali vengono crittografati automaticamente inattivi usando chiavi gestite dalla piattaforma (PMK) che usano la crittografia del servizio di archiviazione. È possibile eseguire il backup di queste macchine virtuali usando Backup di Azure senza alcuna azione specifica necessaria per supportare la crittografia alla fine. Per altre informazioni sulla crittografia con chiavi gestite dalla piattaforma, vedere questo articolo.

Dischi crittografati

Crittografia con chiavi gestite dal cliente

Quando si crittografa i dischi con chiavi gestite dal cliente ( CMK), la chiave usata per crittografare i dischi viene archiviata nell'insieme di credenziali delle chiavi di Azure ed è gestita dall'utente. La crittografia del servizio di archiviazione (SSE) che usa CMK è diversa dalla crittografia dei dischi di Azure (ADE). Active Directory usa gli strumenti di crittografia del sistema operativo. SSE crittografa i dati nel servizio di archiviazione, consentendo di usare qualsiasi sistema operativo o immagini per le macchine virtuali.

Non è necessario eseguire azioni esplicite per il backup o il ripristino di macchine virtuali che usano chiavi gestite dal cliente per crittografare i dischi. I dati di backup di queste macchine virtuali archiviati nella cassaforte verranno crittografati con gli stessi metodi della crittografia usata sulla cassaforte.

Per altre informazioni sulla crittografia dei dischi gestiti con chiavi gestite dal cliente, vedere questo articolo.

Supporto della crittografia con AdE

Backup di Azure supporta il backup di macchine virtuali di Azure con dischi del sistema operativo/dati crittografati con Crittografia dischi di Azure (ADE). AdE usa BitLocker per la crittografia delle macchine virtuali Windows e la funzionalità dm-crypt per le macchine virtuali Linux. ADE si integra con Azure Key Vault per gestire chiavi e segreti di crittografia del disco. Le Chiavi di crittografia (KEK) possono essere utilizzate per aggiungere un ulteriore livello di sicurezza, crittografando i segreti di crittografia prima di scriverli nel Key Vault.

Azure Backup può eseguire il backup e il ripristino di macchine virtuali di Azure usando ADE con e senza l'app Microsoft Entra, come indicato nella tabella seguente.

Tipo di disco VM ADE (BEK/dm-crypt) ADE e KEK
Non gestito
Gestiti

Limiti

Prima di eseguire il backup o il ripristino di reti virtuali di Azure crittografate, esaminare le limitazioni seguenti:

  • È possibile eseguire il backup e il ripristino di macchine virtuali crittografate di Azure all'interno della stessa sottoscrizione.
  • Backup di Azure supporta le macchine virtuali crittografate tramite chiavi autonome. Qualsiasi chiave che fa parte di un certificato usato per crittografare una macchina virtuale non è attualmente supportata.
  • Azure Backup supporta il Ripristino Interregionale delle macchine virtuali di Azure crittografate nelle regioni abbinate di Azure. Per altre informazioni, vedere Matrice di supporto.
  • Le macchine virtuali crittografate con ADE (Azure Disk Encryption) non possono essere recuperate a livello di file/cartella. È necessario ripristinare l'intera macchina virtuale per ripristinare file e cartelle.
  • Quando si ripristina una macchina virtuale, non è possibile usare l'opzione sostituisci macchina virtuale esistente per le macchine virtuali crittografate di Azure. Questa opzione è supportata solo per i dischi gestiti non crittografati.

Prima di iniziare

Prima di iniziare, eseguire le operazioni seguenti:

  1. Assicurarsi di disporre di una o più macchine virtuali Windows o Linux con ADE abilitato.
  2. Esaminare la matrice di supporto per il backup di macchine virtuali di Azure
  3. Creare un insieme di credenziali di Backup di Servizi di ripristino se non ne è disponibile uno.
  4. Se si abilita la crittografia per le macchine virtuali già abilitate per il backup, è sufficiente fornire a Backup le autorizzazioni per accedere all'insieme di credenziali delle chiavi in modo che i backup possano continuare senza interruzioni. Altre informazioni sull'assegnazione di queste autorizzazioni.

In alcune circostanze può anche essere necessario eseguire alcune operazioni:

  • Installare l'agente di VM nella VM: Backup di Azure esegue il backup di VM di Azure tramite l'installazione di un'estensione per l'agente di VM di Azure in esecuzione nel computer. Se la macchina virtuale è stata creata da un'immagine di Azure Marketplace, l'agente è installato e in esecuzione. Se si crea una macchina virtuale personalizzata o si esegue la migrazione di una macchina virtuale locale, può essere necessario installare l'agente manualmente.

Configurare un criterio di backup

Per configurare un criterio di backup, seguire questa procedura:

  1. Se non hai ancora creato un insieme di backup dei servizi di ripristino, segui queste istruzioni.

  2. Passare al Centro backup e fare clic su +Backup nella scheda Panoramica

    Riquadro Backup

  3. Selezionare Macchine virtuali di Azure come tipo di origine e selezionare la cassaforte che hai creato, quindi fare clic su Continua.

    Riquadro Scenario

  4. Seleziona i criteri da associare al vault, quindi seleziona OK.

    • Un criterio di backup specifica quando vengono eseguiti i backup e per quanto tempo vengono archiviati.
    • I dettagli dei criteri predefiniti vengono elencati nel menu a discesa.

    Scegliere i criteri di backup

  5. Se non si vuole usare i criteri predefiniti, selezionare Crea nuovo e creare un criterio personalizzato.

  6. In Macchine virtuali selezionare Aggiungi.

    Aggiungi macchine virtuali

  7. Scegliere le macchine virtuali crittografate di cui si vuole eseguire il backup usando il criterio di selezione e selezionare OK.

    Selezionare le macchine virtuali crittografate

  8. Se stai usando Azure Key Vault, nella pagina del vault vedrai un messaggio che Azure Backup richiede accesso in sola lettura alle chiavi e ai segreti nel Key Vault.

    • Se si riceve questo messaggio, non è necessaria alcuna azione.

      Accedere a OK

    • Se viene visualizzato questo messaggio, è necessario impostare le autorizzazioni come descritto nella procedura seguente.

      Avviso di accesso

  9. Selezionare Abilita backup per applicare la politica di backup nella cassetta e abilitare il backup per le macchine virtuali selezionate.

Eseguire il backup di macchine virtuali crittografate con controllo degli accessi in base al ruolo con insiemi di credenziali delle chiavi abilitati per il controllo degli accessi in base al ruolo

Per abilitare i backup per le macchine virtuali crittografate con ADE usando i Key Vault abilitati per RBAC di Azure, è necessario assegnare il ruolo di amministratore del Key Vault all'app Servizio di gestione dei backup Microsoft Entra, aggiungendo un'assegnazione di ruolo nel Controllo di accesso del Key Vault.

Annotazioni

Le operazioni di backup delle macchine virtuali usano l'app del Backup Management Service anziché la Managed Service Identity (MSI) del vault di Recovery Services per accedere a Key Vault. Per consentire il corretto funzionamento dei backup, è necessario concedere all'app le autorizzazioni necessarie per il Key Vault.

La schermata mostra la casella di controllo per abilitare la cassetta delle chiavi crittografata ADE.

Informazioni sui diversi ruoli disponibili. Il ruolo di Amministratore dell'archivio chiavi può consentire le autorizzazioni per ottenere, elencare ed eseguire il backup sia dei segreti che delle chiavi.

Per i vault di chiavi abilitati per Azure RBAC, è possibile creare un ruolo personalizzato con il seguente set di autorizzazioni. Informazioni su come creare un ruolo personalizzato.

Annotazioni

Quando si usa Azure per enti pubblici, assicurarsi che il ruolo di amministratore dell'insieme di credenziali delle chiavi sia assegnato all'applicazione Backup Fairfax Entra per abilitare l'accesso e le funzionalità appropriate.

Azione Descrizione
Microsoft.KeyVault/vaults/keys/backup/action Crea il file di backup di una chiave.
Microsoft.KeyVault/vaults/secrets/backup/action Crea il file di backup di un segreto.
Microsoft.KeyVault/vaults/secrets/getSecret/action Consente di ottenere il valore di un segreto.
Microsoft.KeyVault/vaults/keys/read Elencare le chiavi nell'insieme di credenziali specificato o leggere proprietà e materiali pubblici.
Microsoft.KeyVault/vaults/secrets/leggiMetadati/azione Elencare o visualizzare le proprietà di un segreto, ma non i relativi valori. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Screenshot che mostra come aggiungere autorizzazioni all'insieme di credenziali delle chiavi.

Attivare un processo di backup

Il backup iniziale verrà eseguito in base alla pianificazione, ma è possibile eseguirlo immediatamente come segue:

  1. Passare al Centro di Backup e selezionare la voce di menu Istanze di Backup.
  2. Selezionare Macchine virtuali di Azure come tipo di origine dati e cercare la macchina virtuale configurata per il backup.
  3. Fare clic con il pulsante destro del mouse sulla riga pertinente o selezionare l'icona (...), quindi fare clic su Esegui backup.
  4. In Esegui backup usare il comando del calendario per selezionare l'ultimo giorno di conservazione del punto di ripristino. Quindi, seleziona OK.
  5. Monitorare le notifiche del portale. Per monitorare lo stato del processo, andare a Centro backup>Processi di backup e filtrare l'elenco per i lavori In corso. A seconda delle dimensioni della macchina virtuale, la creazione del backup iniziale potrebbe richiedere un po' di tempo.

Fornire le autorizzazioni

Backup di Azure richiede l'accesso in sola lettura per eseguire il backup delle chiavi e dei segreti, insieme alle macchine virtuali associate.

  • L'insieme di credenziali delle chiavi è associato al tenant Di Microsoft Entra della sottoscrizione di Azure. Se sei un utente membro, Azure Backup acquisisce l'accesso al Key Vault senza ulteriori azioni.
  • Se sei un utente ospite, è necessario fornire le autorizzazioni ad Azure Backup per accedere all'insieme di credenziali delle chiavi. È necessario avere accesso agli insiemi di credenziali delle chiavi per configurare il backup per le macchine virtuali crittografate.

Per fornire autorizzazioni RBAC di Azure su Key Vault, vedere questo articolo.

Per impostare le autorizzazioni:

  1. Nel portale di Azure selezionare Tutti i servizi e cercare Key Vault.

  2. Seleziona il vault delle chiavi associato alla VM crittografata di cui stai eseguendo il backup.

    Suggerimento

    Per identificare il key vault associato a una macchina virtuale, usare il comando PowerShell seguente. Sostituire il nome del gruppo di risorse e il nome della macchina virtuale:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Cercare il nome dell'insieme di credenziali delle chiavi in questa riga:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Selezionare Criteri di accesso>Aggiungi criteri di accesso.

    Aggiungere un criterio di accesso

  4. In Aggiungi criterio di accesso>Configura dal modello (facoltativo), seleziona Backup di Azure.

    • Le autorizzazioni necessarie sono precompilate per Autorizzazioni chiave e Autorizzazioni segrete.
    • Se la macchina virtuale è crittografata con BEK solo, rimuovere la selezione per le autorizzazioni delle chiavi poiché sono necessarie solo le autorizzazioni per i segreti.

    Selezione del backup di Azure

  5. Selezionare Aggiungi. Il servizio di gestione dei backup viene aggiunto ai criteri di accesso.

    Criteri di accesso

  6. Selezionare Salva per fornire Backup di Azure con le autorizzazioni.

È anche possibile impostare i criteri di accesso usando PowerShell o l'interfaccia della riga di comando.

Passaggio successivo

Ripristinare le macchine virtuali crittografate di Azure

In caso di problemi, vedere gli articoli seguenti: