Sichern vertraulicher VM mit Azure Backup (Vorschau)

Von Bedeutung

Azure Backup für vertrauliche virtuelle Maschinen (VMs) befindet sich derzeit in der Vorschauversion. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Azure Backup unterstützt vertrauliche virtuelle Computer (CVMs), die sichere Sicherung und Wiederherstellung für vertrauliche Workloads bereitstellen. Diese Funktion verwendet Azure Disk Encryption Sets (DES) mit plattformverwalteten Schlüsseln (PLATFORM Managed Keys, PMKs) oder CMKs (Customer Managed Keys), um die Vertraulichkeit der Daten während des gesamten Sicherungslebenszyklus aufrechtzuerhalten. Vertrauliche VMs bieten eine starke Sicherheit, indem eine hardwareverzwungene Grenze zwischen Ihrer Anwendung und dem Virtualisierungsstapel erstellt wird.

In diesem Artikel wird beschrieben, wie Sie vertrauliche VM (CVM) mit plattform- oder vom Kunden verwaltetem Schlüssel (PMK oder CMK) konfigurieren und sichern.

Unterstützte Szenarien für die Sicherung vertraulicher VM

In der folgenden Tabelle sind die unterstützten Szenarien für die Sicherung vertraulicher VM aufgeführt:

Scenario Haltbarkeit
Größe des virtuellen Computers v6-Serie wird unterstützt.
v5-Serie wird nicht unterstützt.
Regionale Verfügbarkeit Unterstützt in den VEREINIGTEN Arabischen Emiraten Nord, Korea Central, Ost-USA, Westeuropa, Nordeuropa, Südostasien, West-USA, Deutschland West-Mittel, Vereinigtes Königreich Süd
Schlüsselrotation für Backups Wenn Sie Schlüssel rotieren, die einem Datenträger einer vertraulichen Virtual Machine zugeordnet sind, werden die Schlüssel der zugehörigen Wiederherstellungspunkte und Momentaufnahmen automatisch aktualisiert.

Möglicherweise beobachten Sie Leistungsbeeinträchtigungen oder Fehler, wenn Sie mehr als 6.000 Datenträger an einen DES anfügen und (nur) Wiederherstellungspunkte diesen Datenträgern zugeordnet sind. Wenn Sie für diese Datenträger, die mit demselben DES verbunden sind, direkt Snapshots außerhalb von Azure Backup erstellen, wird der sichere Schwellenwert von 6.000 Datenträgern für die DES-Zuordnung gesenkt.
Sicherungsfunktionen – Sie können vertrauliche VMs nur mit Betriebssystemdatenträgerverschlüsselung sichern.
– Sicherung und Wiederherstellung schlagen fehl, wenn das Feature-Flag "CVM v2 opt-out" für Ihr Abonnement aktiviert ist.
– Absturzkonsistente Sicherungen über mehrere Datenträger werden nicht unterstützt.
– Die regionsübergreifende Wiederherstellung wird nicht unterstützt.

Voraussetzungen

Bevor Sie die Sicherung für CVM mit CMK konfigurieren, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind:

  • Registrieren Sie sich für das Vorschaufeature in Ihrem Azure-Abonnement – Name: Anbieter: RestorePointSupportForConfidentialVMV2Microsoft.Compute. Sie können die hier aufgeführten Schritte ausführen, um dies im Portal zu tun. Sie können auch das folgende PowerShell-Cmdlet ausführen. Die Registrierung wird automatisch genehmigt.

    Register-AzProviderFeature -FeatureName "RestorePointSupportForConfidentialVMV2" -ProviderNamespace "Microsoft.Compute" 
    
    
  • Identifizieren oder Erstellen einer vertraulichen VM (CVM) in einer unterstützten Region. Siehe die unterstützten Regionen.

  • Identifizieren Sie oder erstellen Sie einen Recovery Services-Tresor in derselben Region wie die VM.

Erstellen einer neuen vertraulichen VM mit PMK oder CMK

Um einen vertraulichen virtuellen Computer mit Azure Backup zu sichern, müssen Sie über einen vertraulichen virtuellen Computer verfügen, der mit DER PMK- oder CMK-Verschlüsselung konfiguriert ist. Azure Backup verwendet den Datenträgerverschlüsselungssatz (Disk Encryption Set, DES), der Ihrer VM zugeordnet ist, um die Verschlüsselung während des sicherungs- und wiederherstellungsvorgangs aufrechtzuerhalten.

Erfahren Sie, wie Sie bei Bedarf einen neuen vertraulichen virtuellen Computer mit PMK oder CMK erstellen.

Zuweisen von Berechtigungen für die Sicherung vertraulicher VM

Azure Backup erfordert Zugriff auf den Key Vault oder das Managed Hardware Security Module (HSM), das Ihre Schlüssel speichert. Dieser Zugriff stellt sicher, dass der Dienst Schlüssel sichern und wiederherstellen kann, wenn er gelöscht wird. Wenn Sie die Sicherung im Azure-Portal konfigurieren, erhält Azure Backup automatisch die erforderlichen Berechtigungen. Wenn Sie andere Clients wie PowerShell, CLI oder REST-API verwenden, müssen Sie diese Berechtigungen manuell zuweisen.

Wenn Sie einen Schlüsseltresor zum Speichern von Schlüsseln verwenden, erteilen Sie dem Azure Backup-Dienst die Berechtigung für die Sicherungsvorgänge.

Führen Sie die folgenden Schritte aus, um Berechtigungen für MHSM zuzuweisen:

  1. Wechseln Sie im Azure-Portal zu verwaltetem HSM, und wählen Sie dann in den Einstellungen die lokale RBAC aus.

  2. Wählen Sie "Hinzufügen" aus, um eine neue Rollenzuweisung hinzuzufügen.

  3. Wählen Sie eine der folgenden Rollen aus:

    • Integrierte Rollen: Wenn Sie eine integrierte Rolle verwenden möchten, wählen Sie die Rolle "Verwalteter HSM Crypto-Benutzer " aus.

    • Benutzerdefinierte Rollen: Wenn Sie eine benutzerdefinierte Rolle verwenden möchten, sollten dataActions dieser Rolle die folgenden Werte aufweisen:

      • Microsoft.KeyVault/managedHsm/keys/read/action
      • Microsoft.KeyVault/managedHsm/keys/backup/action

      Sie können eine benutzerdefinierte Rolle mithilfe der Rollenverwaltung für verwaltete HSM-Datenebenen erstellen.

  4. Wählen Sie für "Bereich" den spezifischen Schlüssel aus, der zum Erstellen vertraulicher VM mit vom Kunden verwaltetem Schlüssel verwendet wird.

    Sie können auch "Alle Tasten" auswählen.

  5. Wählen Sie für den Sicherheitsprinzipal den Sicherungsverwaltungsservice aus.

Konfigurieren der Sicherung für vertrauliche VM

Sobald Azure Backup über die erforderlichen Berechtigungen verfügt, können Sie die Sicherung weiterhin konfigurieren. Erfahren Sie, wie Sie die Azure VM-Sicherung konfigurieren.

Nächster Schritt

Stellen Sie CVM mithilfe von Azure Backup (Vorschau) wieder her.

Sichern Sie verschlüsselte virtuelle Azure-Computer.