Share via

حول التخويل متعدد المستخدمين باستخدام Resource Guard

  • مقالة

يسمح لك التخويل متعدد المستخدمين (MUA) ل Azure Backup بإضافة طبقة إضافية من الحماية إلى العمليات الهامة على خزائن خدمات الاسترداد وخزائن النسخ الاحتياطي. بالنسبة إلى التخويل متعدد المستخدمين، يستخدم Azure Backup مورد Azure آخر يسمى Resource Guard لضمان تنفيذ العمليات الهامة فقط مع التخويل القابل للتطبيق.

إشعار

يتوفر الآن تخويل متعدد المستخدمين باستخدام Resource Guard لخزنة النسخ الاحتياطي بشكل عام.

كيف يعمل التخويل متعدد المستخدمين للنسخ الاحتياطي؟

يستخدم Azure Backup Resource Guard كآلية تخويل إضافية لمخزن خدمات الاسترداد أو مخزن النسخ الاحتياطي. لذلك، لتنفيذ العملية الحرجة (الموضحة أدناه) بنجاح، يجب أن يكون لديك أذونات كافية على Resource Guard المقترن أيضاً.

هام

لكي يعمل Resource Guard كما هو مقصود، يجب أن يكون مملوكاً لمستخدم آخر، ويجب ألا يكون لدى مسؤول المخزنأذونات المساهم. يمكنك وضع Resource Guard في اشتراك أو مستأجر مختلف عن الاشتراك الذي يحتوي على الخزائن لتوفير حماية أفضل.

العمليات الحرجة

يسرد الجدول التالي العمليات المعرفة كعمليات هامة ويمكن حمايتها بواسطة Resource Guard. يمكنك اختيار استبعاد عمليات معينة من الحماية باستخدام Resource Guard عند ربط الخزائن به.

إشعار

لا يمكنك استبعاد العمليات المذكورة على أنها إلزامية من الحماية باستخدام Resource Guard للمخازن المقترنة به. كما أن العمليات الحرجة المستبعدة ستنطبق على جميع الخزائن المرتبطة بـ Resource Guard.

اختيار مخزن

العملية إلزامي/ اختياري
تعطيل الحذف المبدئي إلزامي
تعطيل حماية التخويل متعدد المستخدمين إلزامي
تعديل نهج النسخ الاحتياطي (تقليل الاستبقاء) اختياري
تعديل الحماية (تقليل الاستبقاء) اختياري
وقف الحماية وحذف البيانات اختياري
تغيير رقم التعريف الشخصي للأمان الخاص ب MARS اختياري

المفاهيم والعملية

يتم شرح المفاهيم والعمليات المتضمنة عند استخدام التخويل متعدد المستخدمين ل Azure Backup أدناه.

دعونا ننظر في المستخدمين التاليين لفهم واضح للعملية والمسؤوليات. تتم الإشارة إلى هذين الدورين في هذه المقالة.

مسؤول النسخ الاحتياطي: مالك مخزن خدمات الاسترداد أو مخزن النسخ الاحتياطي الذي يقوم بعمليات الإدارة على المخزن. لتبدأ، يجب أن لا يكون لدى مسؤول النسخ الاحتياطي أي أذونات على Resource Guard.

مسؤول الأمن: مالك Resource Guard ويعمل كحارس للعمليات الحرجة في المخزن. وبالتالي، يتحكم مسؤول الأمان في الأذونات التي يحتاجها مسؤول النسخ الاحتياطي لتنفيذ العمليات المهمة في المخزن.

فيما يلي تمثيل تخطيطي لتنفيذ عملية هامة على مخزن تم تكوين التخويل متعدد المستخدمين عليه باستخدام Resource Guard.

Diagrammatic representation on configuring MUA using a Resource Guard.

فيما يلي تدفق الأحداث في سيناريو نموذجي:

  1. يقوم مسؤول النسخ الاحتياطي بإنشاء مخزن خدمات الاسترداد أو مخزن النسخ الاحتياطي.

  2. ينشئ مسؤول الأمان Resource Guard. يمكن أن يكون Resource Guard في اشتراك مختلف أو مستأجر مختلف فيما يتعلق بالمخزن. يجب التأكد من أن مسؤول النسخ الاحتياطي ليس لديه أذونات المساهم على Resource Guard.

  3. يمنح مسؤول الأمان دور القارئ إلى مسؤول النسخ الاحتياطي لـ Resource Guard (أو نطاق ذي صلة). يطلب مسؤول النسخ الاحتياطي دور القارئ لتمكين MUA في المخزن.

  4. يقوم مسؤول النسخ الاحتياطي الآن بتكوين المخزن ليتم حمايته بواسطة MUA عبر Resource Guard.

  5. والآن، إذا كان مسؤول النسخ الاحتياطي يريد إجراء عملية هامة على المخزن، فإنها تحتاج إلى طلب الوصول إلى Resource Guard. يمكن لمسؤول النسخ الاحتياطي الاتصال بمسؤول الأمان للحصول على تفاصيل حول الوصول إلى تنفيذ هذه العمليات. ويمكنهم القيام بذلك باستخدام إدارة الهويات المتميزة (PIM) أو العمليات الأخرى كما هو تنص عليه المؤسسة.

  6. يمنح مسؤول الأمان دور المساهم على Resource Guard بشكل مؤقت إلى مسؤول النسخ الاحتياطي لتنفيذ العمليات الهامة.

  7. والآن، يبدأ مسؤول النسخ الاحتياطي العملية الهامة.

  8. يتحقق Azure Resource Manager إذا كان لدى مسؤول النسخ الاحتياطي أذونات كافية أم لا. وحيث إن لمسؤول النسخ الاحتياطي الآن دور المساهم على Resource Guard، يتم إكمال الطلب.

    إذا لم يكن لدى مسؤول النسخ الاحتياطي الأذونات/الأدوار المطلوبة، فسيفشل الطلب.

  9. يضمن مسؤول الأمان إلغاء امتيازات تنفيذ العمليات الهامة بعد تنفيذ الإجراءات المعتمدة أو بعد مدة محددة. قد يكون استخدام أدوات JIT Microsoft Entra إدارة الهويات المتميزة مفيدا في ضمان ذلك.

إشعار

يوفر التخويل متعدد المستخدمين الحماية على العمليات المذكورة أعلاه التي يتم إجراؤها على النسخ الاحتياطية المخزنة فقط. أي عمليات يتم إجراؤها مباشرة على مصدر البيانات (أي مورد Azure/حمل العمل المحمي) خارج نطاق Resource Guard.

سيناريوهات الاستخدام

يسرد الجدول التالي سيناريوهات إنشاء Resource Guard والخزائن (مخزن خدمات الاسترداد وخزنة النسخ الاحتياطي)، جنبا إلى جنب مع الحماية النسبية التي يوفرها كل منها.

هام

يجب ألا يكون لدى مسؤول النسخ الاحتياطي أذونات المساهم إلى Resource Guard في أي سيناريو.

سيناريو الاستخدام الحماية بسبب التخويل متعدد المستخدمين سهولة التنفيذ الملاحظات
المخزن و Resource Guard في نفس الاشتراك.
لا يملك مسؤول النسخ الاحتياطي حق الوصول إلى Resource Guard.		 أقل عزلة بين مسؤول النسخ الاحتياطي ومسؤول الأمان. من السهل نسبياً تنفيذها نظراً لأنه مطلوب اشتراك واحد فقط. يجب التأكد من تعيين أذونات/أدوار على مستوى المورد بشكل صحيح.
المخزن و Resource Guard في اشتراكات مختلفة ولكن نفس المستأجر.
لا يملك مسؤول النسخ الاحتياطي حق الوصول إلى Resource Guard أو الاشتراك المقابل.		 عزل متوسط بين مسؤول النسخ الاحتياطي ومسؤول الأمان. سهولة تنفيذ متوسطة نسبياً نظراً لأن هناك حاجة إلى اشتراكين (ولكن مستأجر واحد). تأكد من تعيين الأذونات/ الأدوار بشكل صحيح للمورد أو الاشتراك.
المخزن و Resource Guard في مستأجرين مختلفين.
لا يملك مسؤول النسخ الاحتياطي حق الوصول إلى Resource Guard أو الاشتراك المقابل أو المستأجر المقابل.		 أقصى عزل بين مسؤول النسخ الاحتياطي ومسؤول الأمان، وبالتالي، أقصى قدر من الأمان. من الصعب نسبياً اختباره، حيث يتطلب اثنين من المستأجرين أو الدلائل للاختبار. تأكد من تعيين الأذونات/الأدوار بشكل صحيح للمورد أو الاشتراك أو الدليل.

الخطوات التالية

تكوين تخويل متعدد المستخدمين باستخدام Resource Guard.