Crittografare i dati di backup usando chiavi gestite dal cliente

È possibile usare Backup di Azure per crittografare i dati di backup tramite chiavi gestite dal cliente (CMK) anziché chiavi gestite dalla piattaforma (PMK), abilitate per impostazione predefinita. Le chiavi per crittografare i dati di backup devono essere archiviate in Azure Key Vault.

La chiave di crittografia usata per crittografare i backup potrebbe essere diversa da quella usata per l'origine. Una chiave DEK (Data Encryption Key) basata su AES 256 consente di proteggere i dati. Le chiavi di crittografia delle chiavi (KEK), a loro volta, consentono di proteggere la chiave DEK. Pieno controllo sui dati e sulle chiavi.

Per consentire la crittografia è necessario concedere all'insieme di credenziali di backup le autorizzazioni per accedere alla chiave di crittografia nell'insieme di credenziali delle chiavi. È possibile modificare la chiave quando necessario.

In questo articolo vengono illustrate le operazioni seguenti:

Considerazioni

• È possibile usare questa funzionalità (usando Backup di Azure per crittografare i dati di backup tramite cmk) per crittografare solo i nuovi insiemi di credenziali di Servizi di ripristino. Tutti gli insiemi di credenziali che contengono gli elementi esistenti registrati o che hanno tentato di essere registrati non sono supportati.

• Dopo aver abilitato la crittografia usando i cmk per un insieme di credenziali di Servizi di ripristino, non è possibile ripristinare l'uso di PMK (impostazione predefinita). È possibile modificare le chiavi di crittografia per soddisfare i requisiti.

• Questa funzionalità attualmente non supporta il backup tramite l'agente di Servizi di ripristino di Microsoft Azure (MARS) e potrebbe non essere possibile usare un insieme di credenziali crittografato CMK per il backup tramite l'agente MARS. L'agente MARS usa la crittografia basata su passphrase. Questa funzionalità non supporta anche il backup di macchine virtuali (VM) create nel modello di distribuzione classica.

• Questa funzionalità non è correlata a Crittografia dischi di Azure, che usa la crittografia basata su guest del disco di una macchina virtuale usando BitLocker per Windows e DM-Crypt per Linux.

• È possibile crittografare l'insieme di credenziali di Servizi di ripristino solo usando le chiavi archiviate in Azure Key Vault e che si trovano nella stessa area. Inoltre, le chiavi devono essere chiavi RSA supportate e devono trovarsi nello stato abilitato.

• Lo spostamento di un insieme di credenziali di Servizi di ripristino crittografato con chiave gestita dal cliente tra gruppi di risorse e sottoscrizioni non è attualmente supportato.

• Quando si sposta un insieme di credenziali di Servizi di ripristino già crittografato tramite CMK in un nuovo tenant, è necessario aggiornare l'insieme di credenziali di Servizi di ripristino per ricreare e riconfigurare l'identità gestita dell'insieme di credenziali e la chiave gestita del cliente (che deve trovarsi nel nuovo tenant). Se non si aggiorna l'insieme di credenziali, le operazioni di backup e ripristino avranno esito negativo. È anche necessario riconfigurare tutte le autorizzazioni di controllo degli accessi in base al ruolo di Azure configurate all'interno della sottoscrizione.

• È possibile configurare questa funzionalità tramite il portale di Azure e PowerShell. Usare il modulo Az 5.3.0 o versione successiva per usare le CMK per i backup nell'insieme di credenziali di Servizi di ripristino.

  Avviso

  Se si usa PowerShell per gestire le chiavi di crittografia per il backup, non è consigliabile aggiornare le chiavi dal portale. Se si aggiornano le chiavi dal portale, non è possibile usare PowerShell per aggiornare ulteriormente le chiavi fino a quando non è disponibile un aggiornamento di PowerShell per supportare il nuovo modello. Tuttavia, è possibile continuare ad aggiornare le chiavi dal portale di Azure.

• Se non è stato creato e configurato l'insieme di credenziali di Servizi di ripristino, vedere questo articolo.

Configurare un insieme di credenziali per la crittografia usando chiavi gestite dal cliente

Per configurare un insieme di credenziali, eseguire le azioni seguenti in sequenza:

1. Abilitare un'identità gestita per l'insieme di credenziali di Servizi di ripristino.

2. Assegnare le autorizzazioni all'insieme di credenziali di Servizi di ripristino per accedere alla chiave di crittografia in Azure Key Vault.

3. Abilitare l'eliminazione temporanea e la protezione dalla rimozione in Azure Key Vault.

4. Assegnare la chiave di crittografia all'insieme di credenziali di Servizi di ripristino.

Le sezioni seguenti illustrano in dettaglio ognuna di queste azioni.

Abilitare un'identità gestita per l'insieme di credenziali di Servizi di ripristino

Backup di Azure usa identità gestite assegnate dal sistema e identità gestite assegnate dall'utente per autenticare l'insieme di credenziali di Servizi di ripristino per accedere alle chiavi di crittografia archiviate in Azure Key Vault. È possibile scegliere l'identità gestita da usare.

Abilitare un'identità gestita assegnata dal sistema per l'insieme di credenziali

Scegliere un client:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault

$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Assegnare un'identità gestita assegnata dall'utente all'insieme di credenziali (in anteprima)

Per assegnare l'identità gestita assegnata dall'utente per l'insieme di credenziali di Servizi di ripristino, scegliere un client:

$vault = Get-AzRecoveryServicesVault -Name "vaultName" -ResourceGroupName "resourceGroupName"
$identity1 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity1"
$identity2 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity2"
$updatedVault = Update-AzRecoveryServicesVault -ResourceGroupName $vault.ResourceGroupName -Name $vault.Name -IdentityType UserAssigned -IdentityId $identity1.Id, $identity2.Id

$updatedVault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity1, Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity],[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity2,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

az backup vault identity assign --user-assigned MyIdentityId1 --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyIdentityId1,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

Assegnare le autorizzazioni all'insieme di credenziali di Servizi di ripristino per accedere alla chiave di crittografia in Azure Key Vault

È ora necessario consentire all'identità gestita dell'insieme di credenziali di Servizi di ripristino di accedere all'insieme di credenziali delle chiavi che contiene la chiave di crittografia.

Se si usa un'identità assegnata dall'utente, è necessario assegnare le stesse autorizzazioni.

Scegliere un client:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

Abilitare l'eliminazione temporanea e la protezione dalla rimozione in Azure Key Vault

È necessario abilitare l'eliminazione temporanea e la protezione dall'eliminazione temporanea nell'insieme di credenziali delle chiavi dove è archiviata la chiave di crittografia.

Scegliere un client:

Assegnare una chiave di crittografia all'insieme di credenziali di Servizi di ripristino

Prima di selezionare la chiave di crittografia per l'insieme di credenziali, assicurarsi di eseguire queste azioni con esito positivo:

• Abilitare l'identità gestita dell'insieme di credenziali di Servizi di ripristino e assegnarvi le autorizzazioni necessarie.
• Abilitazione dell'eliminazione temporanea e della protezione dalla rimozione definitiva per l'insieme di credenziali delle chiavi.
• Non sono presenti elementi protetti o registrati nell'insieme di credenziali di Servizi di ripristino per cui si vuole abilitare la crittografia CMK.

Per assegnare la chiave e seguire la procedura, scegliere un client:

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

az backup vault encryption update --encryption-key-id MyEncryptionKeyId --mi-system-assigned --resource-group MyResourceGroup --name MyVault

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

Eseguire il backup dei dati in un insieme di credenziali crittografato tramite chiavi gestite dal cliente

Prima di configurare la protezione del backup, verificare di aver completato le operazioni seguenti:

• Creazione dell'insieme di credenziali di Servizi di ripristino.
• È stata abilitata l'identità gestita assegnata dal sistema dell'insieme di credenziali di Servizi di ripristino o è stata assegnata un'identità gestita assegnata dall'utente all'insieme di credenziali.
• Autorizzazioni assegnate all'insieme di credenziali di Servizi di ripristino (o all'identità gestita assegnata dall'utente) per accedere alle chiavi di crittografia dall'insieme di credenziali delle chiavi.
• Abilitazione dell'eliminazione temporanea e della protezione dalla rimozione definitiva per l'insieme di credenziali delle chiavi.
• È stata assegnata una chiave di crittografia valida per l'insieme di credenziali di Servizi di ripristino.

Questo elenco di controllo è importante perché dopo aver configurato (o provare a configurare) un elemento di cui eseguire il backup in un insieme di credenziali crittografato non CMK, non è possibile abilitare la crittografia della chiave gestita dal cliente. Continua a usare i PMK.

Il processo per configurare ed eseguire i backup in un insieme di credenziali di Servizi di ripristino crittografato tramite i servizi di gestione cloud è lo stesso del processo per configurare ed eseguire backup in un insieme di credenziali che usa le chiavi PMK. Non sono state apportate modifiche all'esperienza. Questa istruzione è vera per il backup delle macchine virtuali di Azure e il backup dei carichi di lavoro in esecuzione all'interno di una macchina virtuale (ad esempio, SAP HANA o database di SQL Server).

Ripristinare i dati da un backup

Ripristinare i dati da un backup di una macchina virtuale

È possibile ripristinare i dati archiviati nell'insieme di credenziali di Servizi di ripristino in base alla procedura descritta in questo articolo. Quando si esegue il ripristino da un insieme di credenziali di Servizi di ripristino crittografato tramite CMK, è possibile scegliere di crittografare i dati ripristinati usando un set di crittografia dischi (DES).

L'esperienza descritta in questa sezione si applica solo quando si ripristinano i dati da insiemi di credenziali crittografate da CMK. Quando si ripristinano dati da un insieme di credenziali che non usa la crittografia CMK, i dati ripristinati vengono crittografati tramite PMK. Se si esegue il ripristino da uno snapshot di ripristino istantaneo, i dati ripristinati vengono crittografati tramite il meccanismo usato per crittografare il disco di origine.

Ripristinare un disco o una macchina virtuale

Quando si ripristina un disco o una macchina virtuale da un punto di ripristino snapshot, i dati ripristinati vengono crittografati con la DES usata per crittografare i dischi della macchina virtuale di origine.

Quando si ripristina un disco o una macchina virtuale da un punto di ripristino con Tipo di ripristino come Vault, è possibile scegliere di crittografare i dati ripristinati usando un DES specificato. In alternativa, è possibile continuare a ripristinare i dati senza specificare un DES. In tal caso, viene applicata l'impostazione di crittografia nella macchina virtuale.

Durante il ripristino tra aree, le macchine virtuali di Azure abilitate per la chiave gestita dal cliente (che non vengono sottoposte a backup in un insieme di credenziali di Servizi di ripristino abilitate per CMK) vengono ripristinate come macchine virtuali non abilitate per CMK nell'area secondaria.

È possibile crittografare il disco o la macchina virtuale ripristinata al termine del ripristino, indipendentemente dalla selezione effettuata al momento dell'avvio del ripristino.

Selezionare un set di crittografia del disco durante il ripristino da un punto di ripristino dell'insieme di credenziali

Scegliere un client:

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId "testdes1" -VaultId $vault.ID

az backup recoverypoint list --container-name MyContainer --item-name MyItem --resource-group MyResourceGroup --vault-name MyVault
az backup restore restore-disks --container-name MyContainer --disk-encryption-set-id testdes1 --item-name MyItem --resource-group MyResourceGroup --rp-name MyRp --storage-account mystorageaccount --vault-name MyVault

Ripristinare i file

Quando si esegue un ripristino di file, i dati ripristinati vengono crittografati con la chiave usata per crittografare il percorso di destinazione.

Ripristinare i database SAP HANA/SQL nelle macchine virtuali di Azure

Quando si esegue il ripristino da un database SAP HANA o SQL Server di cui è stato eseguito il backup in una macchina virtuale di Azure, i dati ripristinati vengono crittografati tramite la chiave di crittografia usata nel percorso di archiviazione di destinazione. Può essere una CMK o un PMK usato per crittografare i dischi della macchina virtuale.

Argomenti aggiuntivi

Abilitare la crittografia usando chiavi gestite dal cliente durante la creazione dell'insieme di credenziali (in anteprima)

L'abilitazione della crittografia al momento della creazione dell'insieme di credenziali tramite CMK è in anteprima pubblica limitata e richiede l'inserimento nell'elenco di sottoscrizioni consentite. Per iscriversi all'anteprima, compilare il modulo e scrivere all'indirizzo AskAzureBackupTeam@microsoft.com.

Quando la sottoscrizione è consentita, viene visualizzata la scheda Crittografia backup. Usare questa scheda per abilitare la crittografia nel backup usando i servizi di gestione cloud durante la creazione di un nuovo insieme di credenziali di Servizi di ripristino.

Per abilitare la crittografia, seguire questa procedura:

1. Nella scheda Crittografia di backup specificare la chiave di crittografia e l'identità da usare per la crittografia. Le impostazioni si applicano solo a Backup e sono facoltative.

2. Per Tipo di crittografia, selezionare Usa chiave gestita dal cliente.

3. Per specificare la chiave da usare per la crittografia, selezionare l'opzione appropriata per la Chiave di crittografia. È possibile specificare l'URI per la chiave di crittografia oppure sfogliare e selezionare la chiave.

   Se si specifica la chiave usando l'opzione Selezionare da Key Vault, la rotazione automatica della chiave di crittografia viene abilitata automaticamente. Altre informazioni sull'autorotazione.

4. Per Identità, specificare l'identità gestita assegnata dall'utente per gestire la crittografia tramite i servizi di gestione cloud. Scegliere Seleziona per passare e selezionare l'identità richiesta.

5. Aggiungere tag (facoltativi) e continuare a creare l'insieme di credenziali.

Abilitare la rotazione automatica delle chiavi di crittografia

Per specificare la CMK per la crittografia dei backup, usare una delle opzioni seguenti:

• Immettere l'URI della chiave
• Selezionare da Key Vault

L’uso dell'opzione Seleziona da Key Vault abilita la rotazione automatica per la chiave selezionata. Questa opzione elimina lo sforzo manuale per eseguire l'aggiornamento alla versione successiva. Tuttavia, quando si usa questa opzione:

• L'aggiornamento alla versione della chiave può richiedere fino a un'ora per rendere effettivo l'aggiornamento.
• Dopo l'applicazione di un aggiornamento della chiave, la versione precedente deve anche essere disponibile (in uno stato abilitato) per almeno un processo di backup successivo.

Quando si specifica la chiave di crittografia usando l'URI della chiave completa, la chiave non verrà ruotata automaticamente. È necessario eseguire manualmente gli aggiornamenti delle chiavi specificando la nuova chiave quando necessario. Per abilitare la rotazione automatica, rimuovere il componente della versione dell'URI della chiave.

Usare Criteri di Azure per controllare e applicare la crittografia tramite chiavi gestite dal cliente (in anteprima)

Con Backup di Azure è possibile usare Criteri di Azure per controllare e applicare la crittografia dei dati nell'insieme di credenziali di Servizi di ripristino usando i servizi di gestione cloud. È possibile usare i criteri di controllo per il controllo degli insiemi di credenziali crittografati usando i CMK abilitati dopo il 1° aprile 2021.

Per gli insiemi di credenziali con crittografia CMK abilitata prima del 1° aprile 2021, i criteri potrebbero non essere applicati o potrebbero mostrare risultati falsi negativi. In altri termini, questi insiemi di credenziali potrebbero essere segnalati come non conformi nonostante la crittografia CMK sia abilitata.

Per usare i criteri di controllo per il controllo degli insiemi di credenziali con crittografia CMK abilitata prima del 1° aprile 2021, usare il portale di Azure per aggiornare una chiave di crittografia. Questo approccio consente di eseguire l'aggiornamento al nuovo modello. Se non si vuole modificare la chiave di crittografia, specificare di nuovo la stessa chiave tramite l'URI della chiave o l'opzione di selezione della chiave.

Domande frequenti

È possibile crittografare un insieme di credenziali di backup esistente usando chiavi gestite dal cliente?

No. È possibile abilitare la crittografia CMK solo per i nuovi insiemi di credenziali. Un insieme di credenziali non deve mai avere elementi protetti. In effetti, non è necessario tentare di proteggere gli elementi nell'insieme di credenziali prima di abilitare la crittografia usando i certificati CMK.

Si è tentato di proteggere un elemento nell'insieme di credenziali, ma non è riuscito e l'insieme di credenziali non contiene ancora elementi protetti. È possibile abilitare la crittografia CMK per questo insieme di credenziali?

No. L'insieme di credenziali non deve aver tentato di proteggere gli elementi in passato.

Si dispone di un insieme di credenziali che usa la crittografia CMK. È possibile ripristinare la crittografia PMK in un secondo momento anche se sono protetti gli elementi di backup nell'insieme di credenziali?

No. Dopo aver abilitato la crittografia CMK, non è possibile ripristinare l'uso di PMK. È possibile modificare le chiavi in base alle esigenze.

La crittografia CMK per Backup di Azure si applica anche ad Azure Site Recovery?

No. Questo articolo illustra solo la crittografia dei dati di backup. Per Azure Site Recovery, è necessario impostare la proprietà separatamente come disponibile dal servizio.

Ho perso uno dei passaggi descritti in questo articolo e ho continuato a proteggere l'origine dati. È comunque possibile usare la crittografia CMK?

Se non si seguono i passaggi descritti nell'articolo e si procede alla protezione degli elementi, l'insieme di credenziali potrebbe non essere in grado di usare la crittografia CMK. È consigliabile usare questo elenco di controllo prima di proteggere gli elementi.

L'uso della crittografia CMK comporta costi aggiuntivi per i backup?

L'uso della crittografia CMK per il backup non comporta costi aggiuntivi. Tuttavia, è possibile continuare a comportare costi per l'uso dell'insieme di credenziali delle chiavi in cui è archiviata la chiave.

Passaggi successivi

Panoramica delle funzionalità di sicurezza in Backup di Azure