为什么 Azure 备份需要访问用于加密 VM 的 Azure Key Vault？答案

【问题标题】：Why does Azure Backup need access to Azure Key Vault for encrypted VMs?为什么 Azure 备份需要访问用于加密 VM 的 Azure Key Vault？
【发布时间】：2021-10-17 21:58:42
【问题描述】：

我是 Azure 备份和 Azure Key Vault 的新手。我想要一个 Azure 磁盘加密 VM 并正常备份磁盘。我的第一个问题是：Azure 备份是否按加密方式存储 VM 磁盘？我了解 Azure 备份需要（为了备份）访问 Azure Key Vault。为什么？我错过了为什么备份服务需要解密 VM 才能备份它的观点。或者，VM 是否没有使用相同的 BEK 进行备份，而是 Azure 备份正在“更改”加密密钥？我希望备份是 1:1 完成的，因此根本不需要访问 Key Vault。我在这里想念什么？

【问题讨论】：

经过更多研究后，我想我明白，由于 Azure 恢复/备份服务使用 SSE 加密方法，因此它需要访问 Key Vault，因为它需要使用 KEK（在 CMK 场景中）。但我不是 100% 确定..

标签： azure azure-keyvault azure-backup-vault

【解决方案1】：

是的，加密密钥将存储在 Azure 密钥库中。

Azure 备份支持备份使用 Azure 磁盘加密 (ADE) 对其操作系统/数据磁盘进行加密的 Azure VM。 ADE 使用 BitLocker 对 Windows VM 进行加密，并使用 dm-crypt 功能对 Linux VM 进行加密。 ADE 与 Azure Key Vault 集成以管理磁盘加密密钥和机密。 Key Vault 密钥加密密钥 (KEK) 可用于添加额外的安全层，在将加密机密写入 Key Vault 之前对其进行加密。

当您使用客户管理的密钥 (CMK) 加密磁盘时，用于加密磁盘的密钥存储在 Azure Key Vault 中并由您管理。使用 CMK 的存储服务加密 (SSE) 不同于 Azure 磁盘加密 (ADE) 加密。 ADE 使用操作系统的加密工具。 SSE 对存储服务中的数据进行加密，使您能够为您的虚拟机使用任何操作系统或映像。

【讨论】：

谢谢，但我知道 Azure 文档的那部分。但它没有回答我的问题。同样，从技术上讲，为什么 Azure 备份需要访问 Key Vault？这是什么技术原因？
当您想使用 ADE 或 SSE 加密您的虚拟机时，它需要用于加密的密钥，这些密钥将存储在密钥保管库中，当您为加密的虚拟机启用备份时，它将访问其中的密钥/秘密用于保护加密虚拟机的密钥保管库。这就是 azure 备份需要访问密钥保管库的原因
@toto' 答案就在第一句话中。用于加密备份数据的加密密钥存储在 Key Vault 中。这就是它需要访问 Key Vault 的原因。没有密钥，您将无法加密/解密。
@JayakrishnaGunnam-MT 好的，我明白了。但是既然虚拟机已经加密了，难道就不能按原样备份吗？我的观点是：如果 VM 已经加密，为什么 Azure 备份需要访问密钥？为什么要解密并再次加密？也许备份服务使用不同的密钥，它只需要访问 KEK？对不起，如果我不清楚。
@MattSmall 感谢您的回答。请查看我上面的最后一条评论。