Fazer backup e restaurar máquinas virtuais criptografadas do Azure

Este artigo descreve como fazer backup e restaurar VMs (máquinas virtuais) do Windows ou Linux do Azure com discos criptografados usando o Backup do Azure serviço. Para obter mais informações, consulte Criptografia de backups de VM do Azure.

Cenários com suporte para backup e restauração de VMs criptografadas do Azure

Esta seção descreve os cenários com suporte para backup e restauração de VMs criptografadas do Azure.

Criptografia usando chaves gerenciadas pela plataforma

Por padrão, todos os discos em suas VMs são criptografados automaticamente em repouso usando PMK (chaves gerenciadas pela plataforma) que usam a criptografia do serviço de armazenamento. Você pode fazer o back-up dessas VMs usando Backup do Azure sem nenhuma ação específica necessária para dar suporte à criptografia em sua extremidade. Para obter mais informações sobre criptografia com chaves gerenciadas pela plataforma, consulte este artigo.

Discos criptografados

Criptografia usando chaves gerenciadas pelo cliente

Quando você criptografa discos com CMK (chaves gerenciadas pelo cliente), a chave usada para criptografar os discos é armazenada no Azure Key Vault e é gerenciada por você. Criptografia do Serviço de Armazenamento (SSE) usando a CMK difere da criptografia Azure Disk Encryption (ADE). O ADE usa as ferramentas de criptografia do sistema operacional. A SSE criptografa dados no serviço de armazenamento, permitindo que você use qualquer sistema operacional ou imagens para suas VMs.

Você não precisa executar nenhuma ação explícita para backup ou restauração de VMs que usam chaves gerenciadas pelo cliente para criptografar seus discos. Os dados de backup dessas VMs armazenadas no cofre serão criptografados com os mesmos métodos que a criptografia usada no cofre.

Para obter mais informações sobre criptografia de discos gerenciados com chaves gerenciadas pelo cliente, consulte este artigo.

Suporte à criptografia usando a ADE

O Backup do Azure dá suporte ao backup de VMs do Azure que têm os respectivos discos de sistema operacional/dados criptografados com o ADE (Azure Disk Encryption). O ADE usa o BitLocker para criptografia de VMs do Windows e o recurso dm-crypt para VMs do Linux. O ADE integra-se ao Azure Key Vault para gerenciar as chaves de criptografia de disco e segredos. Key Vault KEKs (Chaves de Criptografia de Chave) podem ser usadas para adicionar uma camada adicional de segurança, criptografando segredos de criptografia antes de escrevê-los Key Vault.

O Backup do Azure pode fazer backup e restaurar VMs do Azure usando o ADE com e sem o aplicativo do Microsoft Entra, conforme resumido na tabela a seguir.

Tipo de disco da VM ADE (BEK/dm-crypt) ADE e KEK
Não gerenciado Sim Sim
Gerenciado Sim Sim

Limitações

Antes de fazer backup ou restaurar VMs criptografadas do Azure, examine as seguintes limitações:

  • Você pode fazer backup e restaurar VMs criptografadas do ADE dentro da mesma assinatura.
  • O Backup do Azure oferece suporte às VMs criptografadas usando as chaves autônomas. Qualquer chave que faz parte de um certificado usado para criptografar uma VM não tem suporte no momento.
  • O Backup do Azure permite Restauração entre regiões de VMs criptografadas do Azure para as regiões emparelhadas do Azure. Para saber mais, confira a matriz de suporte.
  • ADE criptografado não pode ser recuperado no nível de arquivo/pasta. Você precisa recuperar toda a VM para restaurar arquivos e pastas.
  • Ao restaurar uma VM, você não pode usar a opção substituir VM existente para VMs criptografadas em Ade. Essa opção só tem suporte para discos gerenciados não criptografados.

Antes de começar

Antes de começar, faça o seguinte:

  1. Verifique se você tem uma ou mais VMs do Windows ou Linux com o Ade habilitado.
  2. Examinar a matriz de suporte para backup de VM do Azure
  3. Crie um cofre de backup dos serviços de recuperação se você não tiver um.
  4. Se você habilitar a criptografia para VMs que já foram habilitadas para backup, só será necessário fornecer ao Backup do Azure as permissões de acesso ao Key Vault para que os backups possam continuar sem interrupções. Saiba mais sobre como atribuir essas permissões.

Além disso, há algumas ações que talvez você precise realizar em algumas circunstâncias:

  • Instale o agente de VM na VM: O Backup do Azure faz backup de VMs do Azure instalando uma extensão para o agente de VM do Azure em execução no computador. Se a sua VM foi criada a partir de uma imagem do Azure Marketplace, o agente está instalado e em execução. Caso você crie uma VM personalizada ou migre um computador local, talvez seja necessário instalar o agente manualmente.

Configurar uma política de backup

Para configurar uma política de backup, siga estas etapas:

  1. Se você ainda não criou um cofre de backup dos serviços de recuperação, siga estas instruções.

  2. Navegue até o centro de backup e clique em + Backup na guia Visão geral

    Painel de backup

  3. Selecione máquinas virtuais do Azure como o tipo de fonte de dados e selecione o cofre que você criou e, em seguida, clique em Continuar.

    Painel de cenário

  4. Selecione a política que você deseja associar ao cofre e, em seguida, selecione OK.

    • Uma política de backup especifica quando os backups são feitos e por quanto tempo eles são armazenados.
    • Os detalhes da política padrão estão listados no menu suspenso.

    Escolher política de backup

  5. Se você não quiser usar a política padrão, selecione Criar nova e crie uma política personalizada.

  6. Em Máquinas virtuais, selecione Adicionar.

    Adicionar máquinas virtuais

  7. Escolha as VMs criptografadas que você deseja fazer backup usando a política selecionar e selecione OK.

    Selecionar VMs criptografadas

  8. Se estiver usando Azure Key Vault, na página do cofre, você verá uma mensagem informando que o backup do Azure precisa de acesso somente leitura às chaves e aos segredos no Key Vault.

    • Se você receber essa mensagem, nenhuma ação será necessária.

      Acesso OK

    • Se você receber essa mensagem, precisará definir permissões conforme descrito no procedimento abaixo.

      Aviso de acesso

  9. Selecione Habilitar Backup para implantar a política de backup no cofre e habilitar o backup para as VMs selecionadas.

Fazer backup de VMs criptografadas do ADE com os cofres de chaves habilitados para RBAC

Para habilitar backups para VMs criptografadas do ADE usando cofres de chaves habilitados para RBAC do Azure, você precisa atribuir a função de Administrador do Key Vault ao aplicativo de Serviço de Gerenciamento de Backups do Microsoft Entra adicionando uma atribuição de função no Controle de Acesso do cofre de chaves.

Captura de tela que mostra a caixa de seleção usada para habilitar o cofre de chaves criptografado do ADE.

Saiba mais sobre as diferentes funções disponíveis. A função Administrador do Cofre de Chaves pode conceder permissões para obter, listar e fazer backup do segredo e da chave.

Para os cofres de chaves habilitados para RBAC do Azure, você pode criar uma função personalizada com o conjunto de permissões a seguir. Saiba como criar uma função personalizada.

Ação Descrição
Microsoft.KeyVault/vaults/keys/backup/action Cria o arquivo de backup de uma chave.
Microsoft.KeyVault/vaults/secrets/backup/action Cria o arquivo de backup de um segredo.
Microsoft.KeyVault/vaults/secrets/getSecret/action Obtém o valor de um segredo.
Microsoft.KeyVault/vaults/keys/read Listar as chaves no cofre especificado ou ler as propriedades e os materiais públicos.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Listar ou exibir as propriedades de um segredo, mas não os valores.
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Captura de tela que mostra como adicionar permissões ao cofre de chaves.

Disparar um trabalho de backup

O backup inicial será executado de acordo com o agendamento, mas você poderá executá-lo imediatamente da seguinte maneira:

  1. Navegue até o Cópia de backup entro de backup e selecione o item de menu instâncias de backup.
  2. Selecione máquinas virtuais do Azure como o Tipo de fonte de dados e pesquise a VM que você configurou para backup.
  3. Clique com o botão direito do mouse na linha relevante ou selecione o ícone mais (...) e clique em Fazer backup agora.
  4. Em Fazer Backup Agora, use o controle de calendário para selecionar o último dia em que o ponto de recuperação deve ser mantido. Depois, selecione OK.
  5. Monitorar as notificações do portal. Para monitorar o progresso do trabalho, vá para Centro de backup>Trabalhos de backup e filtre a lista por trabalhos Em andamento. Dependendo do tamanho da VM, a criação do backup inicial pode demorar um pouco.

Fornecer permissões

Backup do Azure precisa de acesso somente leitura para fazer o back-up das chaves e dos segredos, juntamente com as VMs associadas.

  • Seu Key Vault está associado ao locatário do Microsoft Entra da assinatura do Azure. Se você for um usuário membro, Backup do Azure obterá acesso ao Key Vault sem mais ações.
  • Se você for um usuário convidado, deverá fornecer permissões para Backup do Azure acessar o cofre de chaves. Você precisa ter acesso aos cofres de chaves para configurar o backup para VMs criptografadas.

Para fornecer permissões do Azure RBAC no Key Vault, veja este artigo.

Para definir permissões:

  1. No portal do Azure, selecione Todos os serviços e pesquise por Cofre de chaves.

  2. Selecione o cofre de chaves associado à VM criptografada que você está fazendo o back-up.

    Dica

    Para identificar o cofre de chaves associado de uma VM, use o comando do PowerShell a seguir. Substitua o nome do grupo de recursos e o nome da VM:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Procure o nome do cofre de chaves nesta linha:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Selecione Políticas de acessoAdicionar Política de >Acesso.

    Adicionar política de acesso

  4. Em Adicionar política de acessoConfigurar do modelo >(opcional), selecione Backup do Azure.

    • As permissões necessárias para Permissões de chave e Permissões de segredo são preenchidas.
    • Se sua VM for criptografada usando apenas BEK, remova a seleção de Permissões de chave, pois você só precisa de permissões para segredos.

    Seleção de backup do Azure

  5. Selecione Adicionar. O Serviço de Gerenciamento de Backup é adicionado às políticas de acesso.

    Políticas de acesso

  6. Selecione Salvar para fornecer Backup do Azure com as permissões.

Você também pode definir a política de acesso usando o PowerShell ou a CLI.

Próxima etapa

Restaurar máquinas virtuais criptografadas do Azure

Se você tiver problemas, leia estes artigos: