Share via

Back-up en herstel van versleutelde virtuele Azure-machines

In dit artikel wordt beschreven hoe u een back-up maakt van virtuele Windows- of Linux Azure-machines (VM's) met versleutelde schijven met behulp van Azure Backup. Zie Versleuteling van Azure VM-back-ups voor meer informatie.

Ondersteunde scenario's voor back-up en herstel van versleutelde Azure-VM's

In deze sectie worden de ondersteunde scenario's beschreven voor back-up en herstel van versleutelde Azure-VM's.

Versleuteling met behulp van door platform beheerde sleutels

Standaard worden alle schijven in uw VM's automatisch at-rest versleuteld met behulp van door platform beheerde sleutels (PMK's) die gebruikmaken van Storage Service Encryption (SSE). U kunt een back-up van deze VM's maken met behulp van Azure Backup zonder specifieke acties die nodig zijn om versleuteling aan uw kant te ondersteunen. Zie Back-ups maken van versleutelde Azure-VM's en deze terugzetten voor meer informatie over versleuteling met door platform beheerde sleutels.

Schermopname van versleutelde schijven.

Versleuteling met door de klant beheerde sleutels

Wanneer u schijven versleutelt met door de klant beheerde sleutels (CMK's), wordt de sleutel die wordt gebruikt voor het versleutelen van de schijven opgeslagen in Azure Key Vault, die u beheert. SSE met behulp van CMK's verschilt van Azure Disk Encryption (ADE). ADE maakt gebruik van de versleutelingshulpprogramma's van het besturingssysteem. SSE versleutelt gegevens in de opslagservice, waarmee u elk besturingssysteem of installatiekopieën voor uw VM's kunt gebruiken.

U hoeft geen expliciete acties uit te voeren voor het maken van back-ups of het herstellen van VM's die CMK's gebruiken voor het versleutelen van hun schijven. De back-upgegevens voor deze VM's die zijn opgeslagen in de kluis, worden versleuteld met dezelfde methoden als de versleuteling die in de kluis wordt gebruikt.

Zie Versleuteling aan de serverzijde van Azure Disk Storage voor meer informatie over versleuteling van beheerde schijven met CMK's.

Ondersteuning voor versleuteling met behulp van ADE

Azure Backup biedt ondersteuning voor back-ups van Virtuele Azure-machines met hun besturingssysteem/gegevensschijven die zijn versleuteld met ADE. ADE maakt gebruik van Azure BitLocker voor versleuteling van Windows-VM's en de dm-crypt-functie voor Linux-VM's. ADE kan worden geïntegreerd met Azure Key Vault om sleutels en geheimen voor schijfversleuteling te beheren. U kunt ook Key Vault-sleutelversleutelingssleutels (KEK's) gebruiken om een extra beveiligingslaag toe te voegen. KEKs versleutelen geheimen voordat ze naar Key Vault worden geschreven.

Met Azure Backup kunt u een back-up maken van azure-VM's en deze herstellen met behulp van ADE met en zonder de Microsoft Entra-app, zoals samengevat in de volgende tabel.

VM-schijftype ADE (BEK/dm-crypt) ADE en KEK
Onbeheerde Ja Ja
Beheerd Ja Ja

Beperkingen

Bekijk de volgende beperkingen voordat u een back-up maakt van versleutelde Azure-VM's of deze herstelt:

  • U kunt een back-up maken van met ADE versleutelde VM's binnen hetzelfde abonnement en deze herstellen.
  • U kunt vm's alleen versleutelen met behulp van zelfstandige sleutels. Een sleutel die deel uitmaakt van een certificaat dat wordt gebruikt om een virtuele machine te versleutelen, wordt momenteel niet ondersteund.
  • U kunt gegevens herstellen naar een secundaire regio. Azure Backup biedt ondersteuning voor herstel tussen regio's van versleutelde Azure-VM's naar de gekoppelde Azure-regio's. Zie Ondersteuningsmatrix voor meer informatie.
  • U kunt met ADE versleutelde VM's herstellen op bestand- of mapniveau. U moet de hele virtuele machine herstellen om bestanden en mappen te herstellen.
  • U kunt de optie bestaande VM vervangen niet gebruiken voor VM's met ADE-versleuteling wanneer u een VM herstelt. Deze optie wordt alleen ondersteund voor niet-versleutelde beheerde schijven.

Voordat u begint

Volg deze stappen voordat u begint:

  1. Zorg ervoor dat u een of meer Windows - of Linux-VM's hebt waarvoor ADE is ingeschakeld.
  2. Bekijk de ondersteuningsmatrix voor back-up van Azure-VM's.
  3. Maak een Recovery Services-kluis als u er nog geen hebt.
  4. Als u versleuteling inschakelt voor VM's die al zijn ingeschakeld voor back-ups, geeft u Azure Backup machtigingen voor toegang tot de sleutelkluis op, zodat back-ups zonder onderbreking kunnen worden voortgezet. Meer informatie over het toewijzen van deze machtigingen.

In sommige gevallen moet u mogelijk ook de VM-agent op de VIRTUELE machine installeren.

Azure Backup maakt een back-up van Azure-VM's door een extensie te installeren voor de Azure VM-agent die op de machine wordt uitgevoerd. Als uw VM is gemaakt op basis van een Azure Marketplace-afbeelding, wordt de agent geïnstalleerd en draait. Als u een aangepaste VM maakt of een on-premises machine migreert, moet u de agent mogelijk handmatig installeren.

Een back-upbeleid configureren

Voer de volgende stappen uit om een back-upbeleid te configureren:

  1. Als u geen Recovery Services-back-upkluis hebt, volgt u deze instructies om er een te maken.

  2. Ga naar Het back-upcentrum en selecteer + Back-up op het tabblad Overzicht.

    Schermopname die het Backupcentrum toont.

  3. Voor het gegevensbrontype selecteert u virtuele Azure-machines en selecteert u de kluis die u hebt gemaakt. Selecteer vervolgens Doorgaan.

    Schermopname van het deelvenster Scenario.

  4. Selecteer het beleid dat u wilt koppelen aan de kluis en selecteer vervolgens OK.

    • Een back-upbeleid geeft aan wanneer back-ups worden gemaakt en hoe lang ze worden opgeslagen.
    • De details van het standaardbeleid worden weergegeven in de vervolgkeuzelijst.

    Schermopname van het kiezen van het back-upbeleid.

  5. Als u het standaardbeleid niet wilt gebruiken, selecteert u Nieuw maken en maakt u een aangepast beleid.

  6. Selecteer onder Virtuele machines de optie Toevoegen.

    Schermopname van het toevoegen van virtuele machines.

  7. Kies de versleutelde VM's waarvoor u een back-up wilt maken met behulp van het beleid selecteren en selecteer OK.

    Schermopname van het selecteren van versleutelde VM's.

  8. Als u Key Vault gebruikt, ziet u op de kluispagina een bericht dat Azure Backup alleen-lezentoegang nodig heeft tot de sleutels en geheimen in de sleutelkluis:

    • Als u dit bericht ontvangt, is er geen actie vereist:

      Schermopname van de toegang is OK.

    • Als u dit bericht ontvangt, stelt u machtigingen in zoals beschreven in de volgende procedure:

      Schermopname van de toegangswaarschuwing.

  9. Selecteer Back-up inschakelen om het back-upbeleid in de kluis te implementeren en back-up in te schakelen voor de geselecteerde VM's.

Een back-up maken van ADE-gecodeerde VM's met RBAC ingeschakelde sleutelkluizen.

Als u back-ups wilt inschakelen voor met ADE versleutelde VM's met behulp van sleutelkluizen die zijn ingeschakeld door op rollen gebaseerd toegangsbeheer van Azure (RBAC), wijst u de rol Key Vault-beheerder toe aan de Microsoft Entra-app Backup Management Service door een roltoewijzing toe te voegen aan toegangsbeheer voor de sleutelkluis.

VM-back-upbewerkingen maken gebruik van de Backup Management Service-applicatie om toegang te krijgen tot de sleutelkluis in plaats van de beheerde identiteit van de Recovery Services-kluis. U moet de benodigde machtigingen voor de sleutelkluis aan deze app verlenen om back-ups goed te laten werken.

Schermopname van het selectievakje om een met ADE versleutelde sleutelkluis in te schakelen.

Meer informatie over de beschikbare rollen. Met de rol Key Vault-beheerder kunt u zowel het geheim als de sleutel ophalen, weergeven en er een back-up van maken.

Voor sleutelkluizen met Azure RBAC kunt u een aangepaste rol maken met de volgende set machtigingen. Meer informatie over het maken van een aangepaste rol.

Opmerking

Wanneer u Azure Government gebruikt, moet u ervoor zorgen dat de rol Key Vault-beheerder is toegewezen aan de Backup Fairfax Microsoft Entra-toepassing om de juiste toegang en functionaliteit in te schakelen.

Handeling Beschrijving
Microsoft.KeyVault/vaults/keys/backup/action Hiermee maakt u het back-upbestand van een sleutel.
Microsoft.KeyVault/vaults/secrets/backup/action Hiermee maakt u het back-upbestand van een geheim.
Microsoft.KeyVault/vaults/secrets/getSecret/action Hiermee haalt u de waarde van een geheim op.
Microsoft.KeyVault/vaults/keys/read Toont sleutels in de opgegeven kluis of leest eigenschappen en openbare materialen.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Geeft de eigenschappen van een geheim weer, maar niet de waarden ervan. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Schermopname van het toevoegen van machtigingen aan een sleutelkluis.

Een back-uptaak activeren

De eerste back-up wordt volgens het schema uitgevoerd, maar u kunt deze ook onmiddellijk uitvoeren:

  1. Ga naar Back-upcentrum en selecteer de menuopdracht Back-upinstantiës.

  2. Selecteer voor het gegevensbrontypevirtuele Azure-machines. Zoek vervolgens naar de VM die u hebt geconfigureerd voor back-up.

  3. Klik met de rechtermuisknop op de relevante rij of selecteer Meer (...) en selecteer Nu back-up maken.

  4. Gebruik in Nu back-up de kalenderbesturing om de laatste dag te selecteren waarop het herstelpunt moet worden bewaard. Selecteer vervolgens OK.

  5. Bewaak de portalmeldingen.

    Als u de voortgang van de taak wilt controleren, gaat u naar Back-upcentrum>Back-uptaken en filtert u de lijst op taken die in uitvoering zijn. Afhankelijk van de grootte van uw virtuele machine kan het maken van de eerste back-up enige tijd duren.

Machtigingen opgeven

Azure Backup heeft alleen-lezentoegang nodig om een back-up te maken van de sleutels en geheimen, samen met de bijbehorende VM's.

  • Uw sleutelkluis is gekoppeld aan de Microsoft Entra-tenant van het Azure-abonnement. Als u lid bent, krijgt Azure Backup zonder verdere actie toegang tot de sleutelkluis.
  • Als u een gastgebruiker bent, moet u machtigingen opgeven voor Azure Backup voor toegang tot de sleutelkluis. U moet toegang hebben tot sleutelkluizen om Azure Backup te configureren voor versleutelde VM's.

Zie RBAC-machtigingen inschakelen voor een sleutelkluis om Azure RBAC-machtigingen in te stellen.

Machtigingen instellen:

  1. Selecteer alle services in Azure Portal en zoek naar Sleutelkluizen.

  2. Selecteer de sleutelkluis die is gekoppeld aan de versleutelde VM waarop u een back-up maakt.

    Aanbeveling

    Gebruik de volgende PowerShell-opdracht om de gekoppelde sleutelkluis van een virtuele machine te identificeren. Vervang de naam van de resourcegroep en de VM-naam:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Zoek op deze regel naar de naam van de sleutelkluis:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Selecteer Toegangsbeleid>Toegangsbeleid toevoegen.

    Schermopname van het toevoegen van het toegangsbeleid.

  4. Selecteer Azure Backup als u >wilt toevoegen op basis van een sjabloon (optioneel).

    • De vereiste machtigingen zijn vooraf ingevuld voor sleutelmachtigingen en geheime machtigingen.
    • Als uw virtuele machine alleen is versleuteld met behulp van BEK, verwijdert u de selectie voor sleutelmachtigingen omdat u alleen machtigingen voor geheimen nodig hebt.

    Schermopname van het Azure Backup-gedeelte.

  5. Selecteer Toevoegen om de Backup Management-service toe te voegen onder Huidig toegangsbeleid.

    Schermopname van toegangsbeleid.

  6. Selecteer Opslaan om Azure Backup de machtigingen te geven.

U kunt het toegangsbeleid ook instellen met behulp van PowerShell of de Azure CLI.

Verwante inhoud

Als u problemen ondervindt, raadpleegt u deze artikelen: