Compartilhar via

Fazer backup e restaurar máquinas virtuais criptografadas do Azure

Este artigo descreve como fazer backup e restaurar VMs (máquinas virtuais) do Azure ou Windows ou Linux com discos criptografados usando o Backup do Azure. Para obter mais informações, consulte Criptografia de backups de VM do Azure.

Cenários com suporte para backup e restauração de VMs criptografadas do Azure

Esta seção descreve os cenários com suporte para backup e restauração de VMs criptografadas do Azure.

Criptografia usando chaves gerenciadas pela plataforma

Por padrão, todos os discos em suas VMs são criptografados automaticamente em repouso usando PMKs (chaves gerenciadas por plataforma) que usam SSE (Criptografia do Serviço de Armazenamento). Você pode fazer backup dessas VMs usando o Backup do Azure sem nenhuma ação específica necessária para dar suporte à criptografia do seu lado. Para obter mais informações sobre criptografia com chaves gerenciadas pela plataforma, consulte Backup e restauração de VMs do Azure criptografadas.

Captura de tela que mostra discos criptografados.

Criptografia usando chaves gerenciadas pelo cliente

Quando você criptografa discos com CMKs (chaves gerenciadas pelo cliente), a chave usada para criptografar os discos é armazenada no Azure Key Vault, que você gerencia. A SSE usando CMKs difere do ADE (Azure Disk Encryption). O ADE usa as ferramentas de criptografia do sistema operacional. A SSE criptografa dados no serviço de armazenamento, o que permite que você use qualquer sistema operacional ou imagens para suas VMs.

Você não precisa executar nenhuma ação explícita para backup ou restauração de VMs que usam CMKs para criptografar seus discos. Os dados de backup dessas VMs armazenadas no cofre são criptografados com os mesmos métodos que a criptografia usada no cofre.

Para obter mais informações sobre a criptografia de discos gerenciados com CMKs, consulte a criptografia do lado do servidor do armazenamento em disco do Azure.

Suporte à criptografia usando o ADE

O Backup do Azure oferece suporte para o backup de VMs do Azure que têm seus discos de sistema operacional/dados criptografados com o ADE. O ADE usa o Azure BitLocker para criptografia de VMs do Windows e o recurso dm-crypt para VMs linux. O ADE integra-se ao Azure Key Vault para gerenciar as chaves de criptografia de disco e segredos. Você também pode usar KEKs (chaves de criptografia de chave) do Key Vault para adicionar uma camada extra de segurança. KEKs criptografam segredos antes de escrevê-los no Key Vault.

O Backup do Azure pode fazer backup e restaurar VMs do Azure usando o ADE com e sem o aplicativo Microsoft Entra, conforme resumido na tabela a seguir.

Tipo de disco de VM ADE (BEK/dm-crypt) ADE e KEK
Não gerenciado Sim Sim
Gerenciado Sim Sim

Limitações

Antes de fazer backup ou restaurar VMs criptografadas do Azure, examine as seguintes limitações:

  • Você pode fazer backup e restaurar VMs criptografadas pelo ADE na mesma assinatura.
  • Você só pode criptografar VMs usando chaves autônomas. Qualquer chave que faz parte de um certificado usado para criptografar uma VM não tem suporte no momento.
  • Você pode restaurar dados para uma região secundária. O Backup do Azure dá suporte à restauração de VMs criptografadas em regiões diferentes para as regiões emparelhadas do Azure. Para obter mais informações, consulte Matriz de suporte.
  • Você pode recuperar VMs criptografadas pelo ADE no nível do arquivo ou da pasta. Você precisa recuperar toda a VM para restaurar arquivos e pastas.
  • Você não pode usar a opção substituir a VM existente para VMs criptografadas pelo ADE ao restaurar uma VM. Essa opção tem suporte apenas para discos gerenciados não criptografados.

Antes de começar

Antes de começar, siga estas etapas:

  1. Verifique se você tem uma ou mais VMs Do Windows ou Linux com o ADE habilitado.
  2. Examine a matriz de suporte para backup de VM do Azure.
  3. Crie um cofre de Serviços de Recuperação se você não tiver um.
  4. Se você habilitar a criptografia para VMs que já estão habilitadas para backup, forneça ao Backup do Azure permissões para acessar o cofre de chaves para que os backups possam continuar sem interrupções. Saiba mais sobre como atribuir essas permissões.

Em algumas circunstâncias, talvez você também precise instalar o agente de VM na VM.

O Backup do Azure faz backup de VMs do Azure instalando uma extensão para o agente de VM do Azure que é executado no computador. Se a sua VM foi criada a partir de uma imagem do Azure Marketplace, o agente está instalado e em execução. Se você criar uma VM personalizada ou migrar um computador local, talvez seja necessário instalar o agente manualmente.

Configurar uma política de backup

Para configurar uma política de backup, siga estas etapas:

  1. Se você não tiver um cofre de backup dos Serviços de Recuperação, siga estas instruções para criar um.

  2. Vá para o Centro de Backup e, na guia Visão geral , selecione + Backup.

    Captura de tela que mostra o Centro de Backup.

  3. Para o tipo de fonte de dados, selecione máquinas virtuais do Azure e selecione o cofre que você criou. Em seguida, selecione Continuar.

    Captura de tela que mostra o painel de cenário.

  4. Selecione a política que deseja associar ao cofre e escolha OK.

    • Uma política de backup especifica quando os backups são feitos e quanto tempo são armazenados.
    • Os detalhes da política padrão são listados no menu suspenso.

    Captura de tela que mostra a escolha da política de backup.

  5. Se você não quiser usar a política padrão, selecione Criar nova e crie uma política personalizada.

  6. Em Máquinas virtuais, selecione Adicionar.

    Captura de tela que mostra a adição de máquinas virtuais.

  7. Escolha as VMs criptografadas que você deseja fazer backup usando a política de seleção e selecione OK.

    Captura de tela que mostra a seleção de VMs criptografadas.

  8. Se estiver usando o Key Vault, na página do cofre, você verá uma mensagem informando que o backup do Azure precisa de acesso somente leitura às chaves e aos segredos no cofre de chaves:

    • Se você receber esta mensagem, nenhuma ação será necessária:

      Captura de tela que mostra que o acesso está OK.

    • Se você receber essa mensagem, defina permissões conforme descrito no seguinte procedimento:

      Captura de tela que mostra o aviso de acesso.

  9. Selecione Habilitar Backup para implantar a política de backup no cofre e habilitar o backup para as VMs selecionadas.

Fazer backup de VMs criptografadas com o ADE com cofres de chaves habilitados para RBAC

Para habilitar backups para VMs criptografadas pelo ADE usando cofres de chaves habilitados pelo RBAC (controle de acesso baseado em função) do Azure, atribua a função administrador do Key Vault ao aplicativo Microsoft Entra do Serviço de Gerenciamento de Backup adicionando uma atribuição de função no controle de acesso para o cofre de chaves.

As operações de backup de VM usam o aplicativo do Serviço de Gerenciamento de Backup em vez da identidade gerenciada do cofre dos Serviços de Recuperação para acessar o cofre de chaves. Você precisa conceder a este aplicativo as permissões necessárias do cofre de chaves para que os backups funcionem corretamente.

Captura de tela que mostra a caixa de seleção para habilitar um cofre de chaves criptografado por ADE.

Saiba mais sobre as funções disponíveis. A função administrador do Key Vault permite permissão para obter, listar e fazer backup do segredo e da chave.

Para os cofres de chaves do Azure habilitados para RBAC, você pode criar uma função personalizada com o conjunto de permissões a seguir. Saiba como criar uma função personalizada.

Observação

Ao usar o Azure Governamental, verifique se a função administrador do Key Vault é atribuída ao aplicativo Backup Fairfax Microsoft Entra para habilitar o acesso e a funcionalidade adequados.

Ação Descrição
Microsoft.KeyVault/vaults/keys/backup/action Cria o arquivo de backup de uma chave.
Microsoft.KeyVault/vaults/secrets/backup/action Cria o arquivo de backup de um segredo.
Microsoft.KeyVault/vaults/secrets/getSecret/action Obtém o valor de um segredo.
Microsoft.KeyVault/vaults/keys/read Lista as chaves no cofre especificado ou lê as propriedades e os materiais públicos.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Lista ou exibe as propriedades de um segredo, mas não seus valores. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

A captura de tela mostra como adicionar permissões a um cofre de chaves.

Iniciar um trabalho de backup

O backup inicial é executado de acordo com o agendamento, mas você também pode executá-lo imediatamente:

  1. Acesse Centro de Backup e selecione o item de menu Instâncias de Backup.

  2. Para tipo de fonte de dados, selecione máquinas virtuais do Azure. Em seguida, pesquise a VM configurada para backup.

  3. Clique com o botão direito do mouse na linha relevante ou selecione Mais (...) e selecione Backup Agora.

  4. No Backup Agora, use o controle de calendário para selecionar o último dia em que o ponto de recuperação deve ser mantido. Depois, selecione OK.

  5. Monitorar as notificações do portal.

    Para monitorar o progresso do trabalho, vá para Centro de Backup>Trabalhos de Backup e filtre a lista de trabalhos em andamento. Dependendo do tamanho da VM, a criação do backup inicial pode demorar um pouco.

Fornecer permissões

Backup do Azure precisa de acesso somente leitura para fazer o back-up das chaves e dos segredos, juntamente com as VMs associadas.

  • Seu cofre de chaves está associado ao locatário do Microsoft Entra da assinatura do Azure. Se você for um usuário membro, o Backup do Azure adquirirá acesso ao cofre de chaves sem mais ações.
  • Se você for um usuário convidado, deverá fornecer permissões para que o Backup do Azure acesse o cofre de chaves. Você precisa ter acesso aos cofres de chaves para configurar o Backup do Azure para VMs criptografadas.

Para fornecer permissões RBAC do Azure em um cofre de chaves, consulte Habilitar permissões RBAC em um cofre de chaves.

Para definir permissões:

  1. No portal do Azure, selecione Todos os serviços e pesquise por Cofre de chaves.

  2. Selecione o cofre de chaves associado à VM criptografada que você está fazendo backup.

    Dica

    Para identificar o cofre de chaves associado de uma VM, use o comando do PowerShell a seguir. Substitua o nome do grupo de recursos e o nome da VM:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Procure o nome do cofre de chaves nesta linha:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Selecione Políticas de acessoAdicionar Política de >Acesso.

    Captura de tela que mostra a adição da política de acesso.

  4. Para Adicionar política de acesso>Configurar do modelo (opcional), selecione Azure Backup.

    • As permissões necessárias para Permissões de chave e Permissões de segredo já estão pré-preenchidas.
    • Se sua VM for criptografada apenas usando BEK, remova a seleção de permissões de chave porque você precisa de permissões apenas para segredos.

    Captura de tela que mostra a seleção de Backup do Azure.

  5. Selecione Adicionar para adicionar o Serviço de Gerenciamento de Backup nas Políticas de Acesso Atuais.

    Captura de tela que mostra as políticas de acesso.

  6. Selecione Salvar para fornecer Backup do Azure com as permissões.

Você também pode definir a política de acesso usando o PowerShell ou a CLI do Azure.

Conteúdo relacionado

Se você tiver problemas, leia estes artigos:

  • Last updated on