Поделиться через

Шифрование данных резервного копирования в хранилище резервных копий с помощью ключей, управляемых клиентом

Azure Backup можно использовать для шифрования данных резервного копирования с помощью ключей, управляемых клиентом (CMKs), а не ключей, управляемых платформой (PMKs), которые включены по умолчанию. Ключи для шифрования данных резервного копирования должны храниться в Azure Key Vault.

Ключ шифрования, используемый для шифрования резервных копий, может отличаться от ключа шифрования, используемого для источника. Ключ шифрования данных на основе AES 256 (DEK) помогает защитить данные. Ключи шифрования ключей (KEKs), в свою очередь, помогают защитить DEK. У вас есть полный контроль над данными и ключами.

Чтобы разрешить шифрование, необходимо предоставить управляемому удостоверению хранилища резервных копий, которое вы хотите использовать для CMK, разрешения на доступ к ключу шифрования в хранилище ключей. При необходимости ключ можно изменить.

Примечание.

Параметры шифрования и CMK используются взаимозаменяемо.

Поддерживаемые регионы

В настоящее время пакеты CMK для хранилищ резервного копирования доступны во всех общедоступных регионах Azure.

Требования к ключу Key Vault и управляемому HSM

Перед включением шифрования в хранилище резервных копий ознакомьтесь со следующими требованиями:

  • Параметры шифрования используют Azure Key Vault или управляемый аппаратный модуль безопасности (HSM) вместе с сведениями об управляемом удостоверении хранилища резервных копий.

  • Управляемое удостоверение хранилища резервного копирования должно иметь:

  • Убедитесь, что у вас есть допустимый ключ Key Vault. Не используйте истекший или отключенный ключ, так как он не может использоваться для шифрования неактивных данных и приведет к сбоям операций резервного копирования и восстановления. Термин Key Vault также указывает управляемый HSM, если вы не заметили его ранее.

  • Key Vault должен иметь включённое обратимое удаление и защиту от окончательного удаления.

  • Параметры шифрования поддерживают ключи RSA и RSA-HSM Azure Key Vault только размером 2048, 3 072 и 4096. Дополнительные сведения о ключах. Прежде чем рассматривать регионы Key Vault для параметров шифрования, см . сценарии аварийного восстановления Key Vault для поддержки региональной отработки отказа.

Рекомендации

Прежде чем включить шифрование в хранилище резервных копий, ознакомьтесь со следующими рекомендациями.

  • После включения шифрования с помощью cmKs для хранилища резервных копий вы не сможете вернуться к использованию PMKs (по умолчанию). Ключи шифрования или управляемое удостоверение можно изменить в соответствии с требованиями.

  • CMK применяется к хранилищу хранилища Azure Backup и уровням архива хранилища. Оно неприменимо для операционного уровня.

  • Перемещение хранилища резервных копий с шифрованием CMK между группами ресурсов и подписками в настоящее время не поддерживается.

  • После включения параметров шифрования в хранилище резервных копий не отключать или отключать управляемое удостоверение или удалять разрешения Key Vault, используемые для параметров шифрования. Эти действия приводят к сбою заданий резервного копирования, восстановления, распределения по уровням и окончания срока действия точки восстановления. Они будут нести расходы на данные, хранящиеся в хранилище резервных копий, пока:

    • Вы восстанавливаете разрешения Key Vault.
    • Вы повторно создайте удостоверение, назначаемое системой, предоставьте ему разрешения хранилища ключей и обновите параметры шифрования (если вы использовали удостоверение, назначаемое системой для параметров шифрования).
    • При повторном подключении управляемого удостоверения убедитесь, что у него есть разрешения на доступ к хранилищу ключей и ключу для использования нового удостоверения, назначаемого пользователем.

  • Параметры шифрования используют ключ Azure Key Vault и сведения об управляемом удостоверении хранилища резервных копий.

    Если ключ или хранилище ключей, которые вы используете, удаляется или доступ отзывается и не может быть восстановлен, вы потеряете доступ к данным, хранящимся в хранилище резервных копий. Кроме того, убедитесь, что у вас есть соответствующие разрешения для предоставления и обновления управляемого удостоверения, хранилища резервных копий и сведений о хранилище ключей.

  • Хранилища, использующие пользовательские управляемые удостоверения для шифрования ключом CMK, не поддерживают использование частных конечных точек для Azure Backup.

  • Хранилища ключей, ограничивающие доступ к определенным сетям, в настоящее время не поддерживаются управляемыми удостоверениями, назначенными пользователем, для шифрования с использованием CMK.

Включение шифрования с помощью ключей, управляемых клиентом при создании хранилища

При создании хранилища резервных копий можно включить шифрование резервных копий с помощью cmKs. Узнайте, как создать хранилище резервных копий.

Выберите клиент:

Чтобы включить шифрование, выполните следующие действия.

  1. В портале Azure перейдите к хранилищу резервных копий.

  2. На вкладке Свойства хранилища выберите Добавить удостоверение.

    Снимок экрана: свойства хранилища резервных копий.

  3. В колонке "Выбор назначенных пользователем управляемых удостоверений" выберите управляемое удостоверение из списка, который вы хотите использовать для шифрования, а затем нажмите кнопку "Добавить".

  4. Для типа шифрования выберите "Использовать управляемый клиентом ключ".

  5. Чтобы указать ключ, который следует использовать для шифрования, выберите соответствующий вариант.

    Чтобы включить авторотацию версии ключа шифрования, используемой для хранилища резервных копий, выберите пункт "Выбрать из Key Vault". Или удалите компонент версии из URI ключа, выбрав Ввести URI ключа. Дополнительные сведения об авторотации.

  6. Укажите универсальный код ресурса (URI) для ключа шифрования. Вы также можете просматривать и выбирать ключ.

    Снимок экрана: параметр использования ключа, управляемого клиентом, и сведений о ключе шифрования.

  7. Добавьте управляемую идентичность, назначенную пользователем, для управления шифрованием с использованием CMK.

    Во время создания хранилища для CMK можно использовать только управляемые удостоверения, назначенные пользователем.

    Снимок экрана показывает добавление управляемого удостоверения, назначенного пользователем, в хранилище.

    Чтобы использовать CMK с управляемым удостоверением, которое назначается системой, обновите свойства хранилища после его создания.

    Снимок экрана: добавление управляемой идентичности, назначенной системой, в хранилище.

  8. Чтобы включить шифрование в инфраструктуре хранилища резервных копий, выберите "Шифрование инфраструктуры".

    Шифрование инфраструктуры можно включить только в новом хранилище при его создании с использованием ключей, управляемых клиентом (CMK).

  9. Добавьте теги (по желанию) и продолжайте создание хранилища.

Обновление свойств хранилища резервных копий для шифрования с помощью ключей, управляемых клиентом

Параметры шифрования хранилища резервных копий можно изменить в следующих сценариях:

  • Включите управляемый клиентом ключ для уже существующего хранилища. Для хранилищ резервных копий можно включить CMK до или после защиты элементов в хранилище.
  • Обновите сведения о параметрах шифрования, таких как управляемое удостоверение или ключ шифрования.

Давайте включите управляемый клиентом ключ для существующего хранилища.

Чтобы настроить хранилище, выполните следующие действия по порядку:

  1. Включите управляемое удостоверение для хранилища резервных копий.

  2. Назначьте хранилищам резервных копий разрешения для доступа к ключу шифрования в Azure Key Vault.

  3. Включите мягкое удаление и защиту от удаления в Azure Key Vault.

  4. Назначьте ключ шифрования хранилищу резервных копий.

В следующих разделах подробно рассматриваются все эти действия.

Включите управляемое удостоверение для хранилища резервных копий

Azure Backup использует управляемые удостоверения, назначаемые системой, и управляемые удостоверения, назначаемые пользователем, для доступа к ключам шифрования, хранящимся в Azure Key Vault. Вы можете выбрать, какое управляемое удостоверение следует использовать.

Примечание.

После включения управляемого удостоверения его нельзя отключить (даже временно). Отключение управляемого удостоверения может привести к непредсказуемому поведению.

По соображениям безопасности невозможно обновить URI ключа Key Vault и управляемое удостоверение в одном запросе. Обновите один атрибут за раз.

Включите управляемое удостоверение, назначаемое системой, для хранилища.

Выберите клиент:

Чтобы включить управляемое удостоверение, назначаемое системой для хранилища резервных копий, выполните следующие действия.

  1. Перейдите в хранилище резервных копий>удостоверение.

  2. Выберите вкладку Назначено системой.

  3. Измените Состояние на Вкл.

  4. Выберите "Сохранить", чтобы включить идентификатор для хранилища.

Снимок экрана, показывающий параметры включения управляемого удостоверения, назначенного системой.

На предыдущих шагах создается идентификатор объекта, который является управляемым удостоверением, назначаемым системой хранилища.

Назначьте управляемое удостоверение, настраиваемое пользователем, для хранилища

Чтобы назначить управляемую идентичность, назначаемую пользователем, для вашего хранилища резервных копий, выполните следующие действия.

  1. Перейдите к вашему хранилищу резервных копий>Удостоверение личности.

  2. Выберите вкладку Назначено пользователем (предварительная версия).

  3. Нажмите +Добавить, чтобы назначить пользователю управляемую идентичность.

  4. На панели «Добавление назначенной пользователем управляемой учетной записи» выберите подписку для своей учетной записи.

  5. Выберите идентификатор из списка. Вы также можете отфильтровать по имени удостоверения или группы ресурсов.

  6. Нажмите «Добавить», чтобы завершить назначение идентификатора.

Снимок экрана, показывающий выборы для назначения хранилищу управляемого идентификатора, назначаемого пользователем.

Примечание.

Хранилища ключей, ограничивающие доступ к определенным сетям, пока не поддерживаются для использования с управляемыми удостоверениями, назначенными пользователем для шифрования CMK.

Назначьте разрешения управляемому удостоверению хранилища резервных копий (системному или назначенному пользователю) для доступа к ключу шифрования в Azure Key Vault.

Выберите клиент:

Необходимо разрешить управляемому удостоверению хранилища резервного копирования доступ к хранилищу ключей, содержащему ключ шифрования.

Сценарий. В Key Vault включена конфигурация управления доступом (IAM)

Выполните следующие действия:

  1. Перейдите в хранилище ключей>Контроль доступа и выберите Добавить назначение роли.
  2. Выберите роль «Пользователь шифрования службы Key Vault» из ролей должностных функций.
  3. Нажмите Далее>, чтобы назначить доступ к>управляемому удостоверению>, выберите участников.
  4. Выберите управляемое удостоверение хранилища резервных копий.
  5. Нажмите кнопку "Далее" и назначьте.

Сценарий: В хранилище ключей включена конфигурация политик доступа.

Выполните следующие действия:

  1. Перейдите к политикам доступа к хранилищу>ключей и нажмите кнопку +Создать.

    Снимок экрана: кнопка для создания политики доступа.

  2. Укажите действия, которые нужно разрешить для ключа. В разделе «Разрешения ключа» выберите Get, List, Unwrap Key и Wrap Key. Затем выберите Далее.

    Снимок экрана: выбор разрешений ключа.

  3. На вкладке "Основное" найдите хранилище в поле поиска по его имени или управляемому удостоверению. Когда откроется хранилище, выберите его и нажмите "Далее".

    Снимок экрана выбора субъекта в хранилище ключей.

  4. Выберите Добавить, чтобы добавить новую политику доступа.

  5. Нажмите кнопку "Сохранить ", чтобы сохранить изменения, внесенные в политику доступа хранилища ключей.

Если вы используете удостоверение, назначенное пользователем, необходимо назначить ему те же разрешения.

Вы также можете назначить в хранилище резервных копий роль RBAC, содержащую ранее упомянутые разрешения, например роль сотрудника по криптографии в Key Vault. Эта роль может содержать дополнительные разрешения.

Включите мягкое удаление и защиту от окончательной очистки в Azure Key Vault

Необходимо включить мягкое удаление и защиту от удаления в хранилище ключей, в котором хранится ключ шифрования.

Выберите клиент:

Эти свойства можно задать из интерфейса Azure Key Vault, как показано на следующем снимке экрана. Кроме того, вы можете задать эти свойства при создании хранилища ключей. Дополнительные сведения об этих свойствах Key Vault.

Снимок экрана с параметрами включения мягкого удаления и защиты от очистки.

Назначение ключа шифрования хранилищу резервных копий

Прежде чем выбрать ключ шифрования для хранилища, убедитесь, что вы успешно:

  • Включена функция управляемого удостоверения хранилища резервного копирования и назначены необходимые разрешения для него.
  • Включены функции мягкого удаления и защиты от полного удаления для хранилища ключей.

Примечание.

Если в параметрах шифрования есть какие-либо обновления в текущих параметрах key Vault с новыми сведениями о хранилище ключей, управляемое удостоверение, используемое для параметров шифрования, должно хранить доступ к исходному хранилищу ключей, с разрешениями Get и Unwrap, а ключ должен находиться в состоянии "Включено". Этот доступ необходим для выполнения смены ключей с предыдущегоключа на новый ключ.

Чтобы назначить ключ, выполните следующие действия.

  1. Перейдите к свойствам хранилища>резервных копий.

    Снимок экрана: свойства хранилища резервных копий.

  2. Для параметров шифрования нажмите кнопку "Обновить".

    Снимок экрана: ссылка на обновление параметров шифрования.

  3. В колонке "Параметры шифрования" выберите "Использовать собственный ключ ", а затем укажите ключ с помощью одного из следующих параметров. Обязательно используйте ключ RSA, который находится в включенном и активном состоянии.

    • Выберите универсальный код ресурса (URI) клавиши ВВОД. В поле URI ключа введите URI ключа, который вы хотите использовать для шифрования данных в этом хранилище резервных копий. Вы также можете получить этот универсальный код ресурса (URI) ключа из соответствующего ключа в хранилище ключей.

      Не забудьте скопировать универсальный код ресурса (URI) ключа правильно. Мы рекомендуем использовать кнопку "Копировать в буфер обмена" вместе с идентификатором ключа.

      Снимок экрана: выбор для ввода URI ключа.

      При попытке обновить параметры шифрования, если операция завершается из-за внутренней ошибки, параметр шифрования становится несогласованным и требует вашего внимания. В таких случаях проверьте сведения о параметрах шифрования, убедитесь, что они верны. Например, операция "Обновление параметров шифрования" снова выполняется с существующим управляемым удостоверением, подключенным к хранилищу. Если параметры шифрования совпадают, операция обновления не затрагивается.

      Кроме того, если вы отключите или отсоедините управляемое удостоверение, используемое в параметрах шифрования, параметры шифрования изменятся на состояние "несогласованности", если вы не включите повторно удостоверение системы (если оно использовалось), не предоставите необходимые разрешения Key Vault и снова не выполните операцию обновления параметров шифрования. Для пользовательского назначенного удостоверения при повторном подключении удостоверения состояние параметров шифрования будет автоматически восстановлено, если имеются разрешения Key Vault.

      Снимок экрана с предупреждением о состоянии неудачного обновления.

      При указании ключа шифрования с помощью полного URI ключа с компонентом версии ключ не будет автоматически добавлен. Необходимо вручную обновить ключи, указав новый ключ или версию при необходимости. Кроме того, удалите компонент версии URI ключа, чтобы получить автоматическую смену версии ключа.

      Снимок экрана, показывающий важный URI для хранилища резервных копий.

    • Выберите Выбрать из Key Vault. На панели выбора ключей перейдите и выберите ключ из хранилища ключей.

      Снимок экрана: параметр выбора ключа из хранилища ключей.

      При указании ключа шифрования с помощью панели выбора ключей версия ключа будет автоматически отображаться при включении новой версии ключа. Узнайте больше о включении автоматической ротации ключей шифрования.

  4. Выберите Обновить.

  5. Отслеживайте ход выполнения и состояние назначения ключа шифрования в разделе "Уведомления".

    Обновление параметров шифрования

Параметры шифрования можно обновлять в любое время. Если вы хотите использовать новый URI ключа, убедитесь, что существующее хранилище ключей по-прежнему имеет доступ к управляемому удостоверению и ключ действителен. В противном случае операция обновления завершится ошибкой.

Управляемое удостоверение, которое требуется использовать для шифрования, должно иметь соответствующие разрешения.

Резервное копирование в хранилище, зашифрованное с помощью ключей, управляемых клиентом

Перед настройкой защиты резервных копий убедитесь, что вы успешно выполнили следующие действия.

  • Создано хранилище резервных копий.
  • Включено управляемое удостоверение, назначаемое системой, для резервного хранилища или назначено управляемое удостоверение, назначаемое пользователем, для хранилища.
  • Назначены разрешения для хранилища резервных копий (или пользовательского управляемого удостоверения) для доступа к ключам шифрования из хранилища ключей.
  • Включена обратимая защита удаления и очистки хранилища ключей.
  • Назначен действительный ключ шифрования для хранилища резервных копий.

Процесс настройки и выполнения резервных копий в хранилище резервных копий, зашифрованном с помощью CMKs, совпадает с процессом настройки и выполнения резервных копий в хранилище, использующее PMKs. Изменения в интерфейсе отсутствуют.

Поддержка частных конечных точек

Azure Key Vault можно использовать с частной конечной точкой (PE) с помощью управляемого удостоверения, назначаемого системой.

Если доступ к общедоступной сети для Azure Key Vault отключен, ограничения доступа не позволят вам использовать портал Azure с машины, находящейся вне сети с включенной поддержкой частной конечной точки, чтобы выбрать Key Vault и ключ на вкладке Настройки шифрования. Однако вы можете использовать URI ключа Key Vault для предоставления сведений о ключе Key Vault в настройках шифрования.

Устранение ошибок при работе параметров шифрования

В этом разделе перечислены различные сценарии устранения неполадок, которые могут возникнуть для шифрования хранилища резервных копий.

Сбои резервных копий, восстановления и фоновых операций

Причины

  • Причина 1. Если возникла проблема с настройками шифрования хранилища резервных копий, например, вы удалили разрешения Key Vault из управляемого удостоверения настроек шифрования, отключили системное удостоверение, или отсоединили или удалили управляемое удостоверение из хранилища резервных копий, которое вы используете для настроек шифрования, то задания резервного копирования и восстановления будут завершаться сбоем.

  • Причина 2: Уровневая организация точек восстановления и заданий истечения срока действия точек восстановления завершится сбоем без отображения ошибок в портале Azure или в других интерфейсах (например, REST API или CLI). Эти операции продолжат завершаться сбоем и влечь за собой расходы.

Рекомендованные действия

  • Рекомендация 1: Восстановите разрешения, обновите сведения об управляемом удостоверении, имеющем доступ к хранилищу ключей.

  • Рекомендация 2. Восстановление необходимых параметров шифрования в хранилище резервных копий.

Отсутствующие разрешения для управляемого удостоверения

Код ошибки:UserErrorCMKMissingMangedIdentityPermissionOnKeyVault

Причина: эта ошибка возникает, когда:

  • Управляемое удостоверение, используемое для параметров шифрования, не имеет разрешений на доступ к хранилищу ключей. Кроме того, задания резервного копирования или восстановления могут завершиться сбоем с этим кодом ошибки, если доступ удаляется после обновления параметров шифрования или когда управляемое удостоверение отключено или отсоединено от хранилища резервных копий.
  • Вы используете URI ключа, не относящегося к RSA.

Рекомендуемое действие. Убедитесь, что управляемое удостоверение, используемое для параметров шифрования, имеет необходимые разрешения, а ключ — тип RSA. Затем повторите операцию.

Сбой проверки подлинности хранилища

Код ошибки:UserErrorCMKKeyVaultAuthFailure

Причина. Управляемое удостоверение в параметрах шифрования не имеет необходимых разрешений для доступа к хранилищу ключей или ключу. Управляемое удостоверение хранилища резервных копий (назначаемое системой или назначаемое пользователем удостоверение, используемое для параметров шифрования), должно иметь следующие разрешения в хранилище ключей:

  • Если ваше хранилище ключей использует конфигурацию RBAC, основанную на IAM, вам потребуются разрешения встроенной роли пользователя Key Vault Crypto Service Encryption.

  • Если вы используете политики доступа, вам нужны разрешения Get, Wrap и Unwrap.

  • Хранилище ключей и ключ не существуют и недоступны для службы архивации Azure с помощью параметров сети.

Рекомендуемое действие. Проверьте политики доступа Key Vault и предоставьте соответствующие разрешения.

Сбой удаления хранилища

Код ошибки:CloudServiceRetryableError

Причина: Если возникла проблема с параметрами шифрования Хранилища резервных копий (например, если разрешения Key Vault/MHSM были удалены из управляемого удостоверения параметров шифрования, система-назначенное удостоверение отключено, управляемое удостоверение отсоединено или удалено из Хранилища резервных копий, используемого для параметров шифрования, или удален ключ Хранилища ключей/MHSM), удаление хранилища может завершиться ошибкой.

Рекомендуемое действие. Чтобы устранить эту проблему, выполните указанные ниже действия.

  • Убедитесь, что управляемое удостоверение, используемое для параметров шифрования, по-прежнему имеет разрешения на доступ к хранилищу ключей или MHSM. Перед тем как удалять хранилище, восстановите их.
  • Повторно подключите/включите управляемое удостоверение и назначьте необходимые разрешения Key Vault/MHSM.
  • Если ключ хранилища ключей удален, то удаление этого хранилища может завершиться ошибкой. Однако чтобы восстановить удаленный ключ из состояния обратимого удаления, убедитесь, что у вас есть необходимые разрешения на управляемое удостоверение в хранилище ключей или MHSM, а затем повторите операцию **удаления** хранилища резервных копий.

Проверка кодов ошибок

Azure Backup проверяет выбранный Azure Key Vault при применении CMK к хранилищу резервных копий. Если в хранилище ключей отсутствуют необходимые параметры конфигурации (включено мягкое удаление и включена защита от удаления), отображаются следующие коды ошибок:

ОшибкаПользователяCMKЗащитаОтОчисткиНеВключенаНаKeyVault

Код ошибки:UserErrorCMKPurgeProtectionNotEnabledOnKeyVault

Причина: Мягкое удаление не включено в Key Vault.

Рекомендуемое действие: Включите мягкое удаление в Key Vault, а затем повторите операцию.

Ошибка пользователя: функция мягкого удаления CMK не включена в Key Vault.

Код ошибки:UserErrorCMKSoftDeleteNotEnabledOnKeyVault

Причина. Защита очистки не включена в Key Vault.

Рекомендуемое действие. Включите защиту очистки в Key Vault, а затем повторите операцию.

Следующий шаг

  • Last updated on