Partager via

Sauvegarder et Restaurer des machines virtuelles Azure chiffrées

Cet article explique comment sauvegarder et restaurer des machines virtuelles Windows ou Linux Azure avec des disques chiffrés à l’aide de Sauvegarde Azure. Pour plus d'informations, consultez Chiffrement des sauvegardes de machines virtuelles Azure.

Scénarios pris en charge pour la sauvegarde et restauration de machines virtuelles Azure chiffrées

Cette section décrit les scénarios pris en charge pour la sauvegarde et restauration de machines virtuelles Azure chiffrées.

Chiffrement à l’aide de clés gérées par la plateforme

Par défaut, tous les disques de vos machines virtuelles sont automatiquement chiffrés au repos à l’aide de clés gérées par la plateforme (PMK) qui utilisent Storage Service Encryption (SSE). Vous pouvez sauvegarder ces machines virtuelles à l’aide de Sauvegarde Azure sans action spécifique requise pour prendre en charge le chiffrement de votre part. Pour plus d’informations sur le chiffrement avec des clés gérées par la plateforme, consultez Sauvegarder et restaurer des machines virtuelles Azure chiffrées.

Capture d’écran montrant les disques chiffrés.

Chiffrement à l’aide de clés gérées par le client

Lorsque vous chiffrez des disques avec des clés gérées par le client (CMK), la clé utilisée pour chiffrer les disques est stockée dans Azure Key Vault, que vous gérez. Le chiffrement côté serveur (SSE) à l’aide des clés CMK est différent d’Azure Disk Encryption (ADE). ADE utilise les outils de chiffrement du système d’exploitation. SSE chiffre les données dans le service de stockage, ce qui vous permet d’utiliser n’importe quel système d’exploitation ou image pour vos machines virtuelles.

Vous n’avez pas besoin d’effectuer d’actions explicites pour la sauvegarde ou la restauration de machines virtuelles qui utilisent des clés CMK pour chiffrer leurs disques. Les données de sauvegarde de ces machines virtuelles stockées dans le coffre sont chiffrées avec les mêmes méthodes que le chiffrement utilisé sur le coffre.

Pour plus d’informations sur le chiffrement des disques managés avec des clés CMK, consultez Chiffrement côté serveur du stockage de disque Azure.

Prise en charge du chiffrement à l’aide d’ADE

Sauvegarde Azure prend en charge la sauvegarde des machines virtuelles Azure qui ont leurs disques de système d’exploitation/données chiffrés avec ADE. ADE utilise Azure BitLocker pour le chiffrement des machines virtuelles Windows et la fonctionnalité dm-crypt pour les machines virtuelles Linux. ADE s’intègre à Azure Key Vault pour gérer les secrets et clés de chiffrement de disque. Vous pouvez également utiliser des clés de chiffrement de clés Key Vault (KEK) pour ajouter une couche de sécurité supplémentaire. Les clés KEK chiffrent les secrets avant de les écrire dans Key Vault.

Sauvegarde Azure peut sauvegarder et restaurer des machines virtuelles Azure à l’aide d’ADE avec et sans l’application Microsoft Entra, comme le récapitule le tableau suivant.

Type de disque de machine virtuelle ADE (BEK/dm-crypt) ADE et KEK
Non géré Oui Oui
Adresses IP gérées Oui Oui

Limites

Avant de sauvegarder ou de restaurer des machines virtuelles Azure chiffrées, passez en revue les limitations suivantes :

  • Vous pouvez sauvegarder et restaurer des machines virtuelles chiffrées par ADE dans le même abonnement.
  • Vous pouvez chiffrer des machines virtuelles uniquement à l’aide de clés autonomes. Aucune clé appartenant à un certificat utilisé pour chiffrer une machine virtuelle n’est prise en charge.
  • Vous pouvez restaurer des données dans une région secondaire. La sauvegarde Azure prend en charge la restauration entre régions des machines virtuelles Azure chiffrées vers les régions géographiquement associées d'Azure. Pour plus d’informations, consultez la matrice de prise en charge.
  • Vous pouvez récupérer des machines virtuelles chiffrées par ADE au niveau du fichier ou du dossier. Vous devez récupérer la machine virtuelle entière pour restaurer des fichiers et des dossiers.
  • Vous ne pouvez pas utiliser l'option remplacer la machine virtuelle existante pour les machines virtuelles chiffrées avec ADE lorsque vous restaurez une machine virtuelle. Cette option est prise en charge uniquement pour les disques managés non chiffrés.

Avant de commencer

Avant de commencer, procédez comme suit :

  1. Vérifiez qu’une ou plusieurs machines virtuelles Windows ou Linux sont activées avec ADE.
  2. Passez en revue la matrice de prise en charge de la sauvegarde de machine virtuelle Azure.
  3. Créez un coffre Recovery Services si vous n’en avez pas.
  4. Si vous activez le chiffrement pour les machines virtuelles déjà activées pour la sauvegarde, fournissez à Sauvegarde Azure les autorisations nécessaires pour accéder au coffre de clés afin que les sauvegardes puissent continuer sans interruption. Découvrez-en plus sur l’affectation de ces autorisations.

Dans certaines circonstances, vous devrez peut-être également installer l’agent de machine virtuelle sur la machine virtuelle.

Sauvegarde Azure sauvegarde les machines virtuelles Azure en installant une extension sur l’agent de machine virtuelle Azure qui s’exécute sur la machine. Si votre machine virtuelle a été créée à partir d’une image de la Place de marché Azure, l’agent est installé et en cours d’exécution. Si vous créez une machine virtuelle personnalisée ou que vous migrez une machine locale, vous devrez peut-être installer l’agent manuellement.

Configurer une stratégie de sauvegarde

Pour configurer une stratégie de sauvegarde, suivez ces étapes :

  1. Si vous n’avez pas de coffre de sauvegarde Recovery Services, suivez ces instructions pour en créer un.

  2. Accédez au Centre de sauvegarde, puis, sous l’onglet Vue d’ensemble , sélectionnez + Sauvegarde.

    Capture d’écran montrant le Centre de sauvegarde.

  3. Pour le type de source de données, sélectionnez machines virtuelles Azure, puis sélectionnez le coffre que vous avez créé. Ensuite, sélectionnez Continuer.

    Capture d’écran montrant le volet scénario.

  4. Sélectionnez la stratégie que vous souhaitez associer au coffre, puis choisissez OK.

    • Une stratégie de sauvegarde spécifie quand les sauvegardes sont effectuées et combien de temps elles sont stockées.
    • Les détails de la stratégie par défaut sont répertoriés dans le menu déroulant.

    Capture d’écran montrant le choix de la stratégie de sauvegarde.

  5. Si vous ne souhaitez pas utiliser la stratégie par défaut, sélectionnez Créer et Créer une stratégie personnalisée.

  6. Sous Machines virtuelles, sélectionnez Ajouter.

    Capture d’écran montrant l’ajout de machines virtuelles.

  7. Choisissez les machines virtuelles chiffrées que vous souhaitez sauvegarder à l’aide de la stratégie de sélection, puis sélectionnez OK.

    Capture d’écran montrant la sélection de machines virtuelles chiffrées.

  8. Si vous utilisez Key Vault, sur la page du coffre, vous voyez un message indiquant qu'Azure Backup a besoin d’un accès en lecture seule aux clés et secrets du coffre de clés :

    • Si vous recevez ce message, aucune action n’est requise :

      Capture d’écran montrant que l’accès est OK.

    • Si vous recevez ce message, définissez les autorisations comme décrit dans la procédure suivante :

      Capture d’écran montrant l’avertissement d’accès.

  9. Sélectionnez Activer la sauvegarde pour déployer la stratégie de sauvegarde dans le coffre et activer la sauvegarde pour les machines virtuelles sélectionnées.

Sauvegarde des machines virtuelles chiffrées par ADE avec des coffres de clés activés par RBAC.

Pour activer les sauvegardes pour les machines virtuelles chiffrées par ADE à l’aide de coffres de clés activés par le contrôle d’accès en fonction du rôle Azure (RBAC), attribuez le rôle Administrateur Key Vault à l’application Microsoft Entra du service de gestion des sauvegardes en ajoutant une attribution de rôle sur le contrôle d’accès pour le coffre de clés.

Les opérations de sauvegarde de machine virtuelle utilisent l’application Service de gestion des sauvegardes au lieu de l’identité managée du coffre Recovery Services pour accéder au coffre de clés. Vous devez accorder les autorisations de coffre de clés nécessaires à cette application pour que les sauvegardes fonctionnent correctement.

Capture d’écran montrant la case à cocher pour activer un coffre de clés chiffré par ADE.

Découvrez les rôles disponibles. Le rôle Administrateur Key Vault autorise l’obtention, la liste et la sauvegarde du secret et de la clé.

Dans le cas des coffres de clés compatibles Azure RBAC, vous pouvez créer un rôle personnalisé doté de l’ensemble d’autorisations suivant. Découvrez comment créer un rôle personnalisé.

Remarque

Lorsque vous utilisez Azure Government, assurez-vous que le rôle Administrateur Key Vault est affecté à l’application Backup Fairfax Microsoft Entra pour activer l’accès et les fonctionnalités appropriés.

Action Descriptif
Microsoft.KeyVault/vaults/keys/backup/action Crée le fichier de sauvegarde d’une clé.
Microsoft.KeyVault/vaults/secrets/backup/action Crée le fichier de sauvegarde d’un secret.
Microsoft.KeyVault/vaults/secrets/getSecret/action Obtient la valeur d’un secret.
Microsoft.KeyVault/vaults/keys/read Permet de répertorier les clés du coffre spécifié ou de lire les propriétés et le matériel public.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Répertorie ou affiche les propriétés d’un secret, mais pas ses valeurs. 
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

Capture d’écran montrant comment ajouter des autorisations à un coffre de clés.

Déclencher une tâche de sauvegarde

La sauvegarde initiale s’exécute en fonction de la planification, mais vous pouvez également l’exécuter immédiatement :

  1. Accédez au Centre de sauvegarde, puis sélectionnez l’option de menu Instances de sauvegarde.

  2. Pour le type de source de données, sélectionnez Machines virtuelles Azure. Recherchez ensuite la machine virtuelle que vous avez configurée pour la sauvegarde.

  3. Cliquez avec le bouton droit sur la ligne appropriée ou sélectionnez Plus (...), puis sélectionnez Sauvegarder maintenant.

  4. Dans Sauvegarde maintenant, utilisez le contrôle calendrier pour sélectionner le dernier jour où le point de récupération doit être conservé. Sélectionnez ensuite OK.

  5. Surveiller les notifications du portail.

    Pour surveiller la progression du travail, accédez au centre de sauvegarde>Travaux de sauvegarde et filtrez la liste pour les travaux qui sont en cours. Selon la taille de votre machine virtuelle, la création de la sauvegarde initiale peut prendre un certain temps.

Fournir des autorisations

Sauvegarde Azure a besoin d’un accès en lecture seule pour sauvegarder les clés et secrets ainsi que les machines virtuelles associées.

  • Votre coffre de clés est associé au tenant Microsoft Entra de l’abonnement Azure. Si vous êtes un utilisateur membre, Azure Backup obtient l'accès au coffre de clés sans action supplémentaire.
  • Si vous êtes un utilisateur invité, vous devez fournir des autorisations à Sauvegarde Azure pour accéder au coffre de clés. Vous devez avoir accès aux coffres de clés pour configurer sauvegarde Azure pour les machines virtuelles chiffrées.

Pour fournir des autorisations RBAC Azure sur un coffre de clés, consultez Activer les autorisations RBAC sur un coffre de clés.

Pour définir des autorisations :

  1. Dans le portail Azure, sélectionnez Tous les services, puis recherchez Coffres de clés.

  2. Sélectionnez le coffre de clés associé à la machine virtuelle chiffrée que vous sauvegardez.

    Conseil

    Pour identifier un coffre de clés associé à une machine virtuelle, utilisez la commande PowerShell suivante. Remplacez par le nom de votre groupe de ressources et le nom de votre machine virtuelle :

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    Recherchez le nom du coffre de clés dans cette ligne :

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. Sélectionnez Stratégies d’accès>Ajouter une stratégie d’accès.

    Capture d’écran montrant l’ajout de la stratégie d’accès.

  4. Pour ajouter une stratégie> d’accèsconfigurer à partir d’un modèle (facultatif), sélectionnez Sauvegarde Azure.

    • Les autorisations requises sont préremplies dans les listes déroulantes Autorisations de clé et Autorisations du secret.
    • Si votre machine virtuelle est chiffrée à l’aide de BEK uniquement, supprimez la sélection des autorisations de clé , car vous avez besoin d’autorisations uniquement pour les secrets.

    Capture d’écran montrant la sélection sauvegarde Azure.

  5. Sélectionnez Ajouter pour ajouter le service de gestion des sauvegardes sous Stratégies d’accès actuelles.

    Capture d’écran montrant les stratégies d’accès.

  6. Sélectionnez Enregistrer pour fournir les autorisations à Sauvegarde Azure.

Vous pouvez également définir la stratégie d’accès à l’aide de PowerShell ou d’Azure CLI.

Contenu connexe

Si vous rencontrez des problèmes, consultez les articles suivants :

  • Last updated on