نظرة عامة على ميزات الأمان في Azure Backup
تتمثل إحدى أهم الخطوات التي يمكنك اتخاذها لحماية البيانات الخاصة بك أن يكون لديك بنية أساسية للنسخ الاحتياطي موثوق بها. ولكن من المهم أيضاً التأكد من أن بياناتك يتم نسخها احتياطياً بطريقة آمنة، وأن النُسخ الاحتياطية محمية في جميع الأوقات. يوفر Azure Backup الأمان لبيئة النسخ الاحتياطي، سواء أثناء نقل وثبات بياناتك. تسرد هذه المقالة قدرات الأمان في Azure Backup التي تساعدك على حماية بيانات النسخ الاحتياطي وتلبية احتياجات الأمان لعملك.
الإدارة والتحكم في الهوية ووصول المستخدم
تُعزل حسابات التخزين التي تستخدمها خزائن خدمات الاسترداد ولا يمكن للمستخدمين الوصول إليها لأي أغراض ضارة. لا يُسمح بالوصول إلا من خلال عمليات إدارة Azure Backup، مثل الاستعادة. يتيح لك Azure Backup التحكم في العمليات المدارة من خلال الوصول التفصيلي باستخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC). يسمح لك Azure RBAC بفصل المهام داخل فريقك، ومنح المستخدمون مقدار الوصول الذي يحتاجون إليه فقط لأداء وظائفهم.
يوفر Azure Backup ثلاثة أدوار مضمنة للتحكم في عمليات إدارة النسخ الاحتياطي:
- مساهم النسخ الاحتياطي: لإنشاء النسخ الاحتياطية وإدارتها، باستثناء حذف مخزن خدمات الاسترداد ومنح حق الوصول إلى الآخرين
- عامل تشغيل النسخ الاحتياطي: كل ما يفعله المساهم باستثناء إزالة نهج النسخ الاحتياطي وإدارة النسخ الاحتياطي
- قارئ النسخ الاحتياطي: أذونات لعرض جميع عمليات إدارة النسخ الاحتياطي
لمعرفة المزيد حول التحكم في الوصول المستند إلى دور Azure لإدارة Azure Backup.
يحتوي Azure Backup على العديد من عناصر تحكم الأمان المضمنة في الخدمة لمنع الثغرات الأمنية، واكتشافها، والاستجابة لها. تعرف على المزيد حول عناصر تحكم أمان Azure Backup.
عزل البيانات باستخدام Azure Backup
باستخدام Azure Backup، يتم تخزين بيانات النسخ الاحتياطي المخزنة في اشتراك Azure المدار من قبل Microsoft والمستأجر. لا يمكن للمستخدمين الخارجيين أو الضيوف الوصول المباشر إلى تخزين النسخ الاحتياطي هذا أو محتوياته، ما يضمن عزل بيانات النسخ الاحتياطي عن بيئة الإنتاج حيث يوجد مصدر البيانات.
في Azure، يتم نقل جميع الاتصالات والبيانات المتنقلة بأمان باستخدام بروتوكولات HTTPS وTLS1.2+ . تظل هذه البيانات على شبكة Azure الأساسية لضمان نقل البيانات الموثوق به والفعال. يتم تشفير بيانات النسخ الاحتياطي الثابتة افتراضيا باستخدام مفاتيح تديرها Microsoft. يمكنك أيضا إحضار المفاتيح الخاصة بك للتشفير إذا كنت تحتاج إلى مزيد من التحكم في البيانات. لتحسين الحماية، يمكنك استخدام عدم قابلية التغيير، ما يمنع تغيير البيانات أو حذفها قبل فترة الاستبقاء الخاصة بها. يوفر لك Azure Backup خيارات متنوعة مثل الحذف المبدئي أو إيقاف النسخ الاحتياطي وحذف البيانات أو الاحتفاظ بالبيانات إذا كنت بحاجة إلى إيقاف النسخ الاحتياطية في أي وقت. لحماية العمليات الهامة، يمكنك إضافة تخويل متعدد المستخدمين (MUA) الذي يضيف طبقة إضافية من الحماية باستخدام مورد Azure يسمى Azure Resource Guard.
يضمن هذا النهج القوي أنه حتى في بيئة معرضة للخطر، لا يمكن العبث بالنسخ الاحتياطية الموجودة أو حذفها من قبل مستخدمين غير مصرح لهم.
لا يلزم الاتصال بالإنترنت لإجراء النسخ الاحتياطي للجهاز الظاهري في Azure
يتطلب النسخ الاحتياطي للأجهزة الظاهرية في Azure نقل البيانات من قرص الجهاز الظاهري إلى مخزن "خدمات الاسترداد". ومع ذلك، تجرى جميع الاتصالات المطلوبة ونقل البيانات على شبكة أساسية لدى Azure دون الحاجة إلى الوصول إلى شبكتك الظاهرية. لذا، فإن النسخ الاحتياطي للأجهزة الظاهرية في Azure الموجودة داخل الشبكات الآمنة لا يتطلب منك السماح بالوصول إلى أي عناوين IP أو أسماء FQDN.
نقاط النهاية الخاصة بـ Azure Backup
يمكنك الآن استخدام نقاط النهاية الخاصة للنسخ الاحتياطي لبياناتك بأمان من الخوادم داخل الشبكة الظاهرية إلى مخزن "خدمات الاسترداد". تستخدم نقطة النهاية الخاصة عنوان IP من مساحة عنوان VNET لمخزنك، لذلك لا تحتاج إلى عرض شبكاتك الافتراضية لأي عناوين IP عامة. يمكن استخدام "نقاط النهاية الخاصة" لإجراء النسخ الاحتياطي واستعادة قواعد بيانات SQL وSAP HANA التي تعمل داخل الأجهزة الظاهرية في Azure. كما يمكن استخدامها للخوادم المحلية باستخدام وكيل MARS.
اقرأ المزيد عن نقاط النهاية الخاصة للنسخ الاحتياطي Azure هنا.
تشفير البيانات
يحمي التشفير بياناتك ويساعدك على تلبية التزاماتك المتعلقة بالأمان والتوافق التنظيمي. يحدث تشفير البيانات في مراحل عديدة في النسخ الاحتياطي Azure Backup:
ضمن Azure، إن البيانات أثناء النقل بين مساحة تخزين Azure والمخزن محمية بواسطة HTTPS. تظل هذه البيانات على شبكة Azure الأساسية.
يتم تشفير بيانات النسخ الاحتياطي تلقائياً باستخدام مفاتيح تتم إدارتها من خلال النظام الأساسي، ولا تحتاج إلى اتخاذ أي إجراء صريح لتمكينها. يمكنك أيضا تشفير البيانات التي تم نسخها احتياطيا باستخدام المفاتيح المدارة من قبل العميل المخزنة في Azure Key Vault. ينطبق هذا على جميع أحمال العمل التي يتم نسخها احتياطياً في مخزن خدمات الاسترداد.
يدعم Azure Backup النسخ الاحتياطي ويقوم باستعادة الأجهزة الظاهرية في Azure التي تحتوي على أقراص نظام التشغيل/البيانات الخاصة بها مشفرة بواسطة تشفير قرص Azure (ADE) والأجهزة الظاهرية مع الأقراص المشفرة CMK. لمزيد من المعلومات، تعرف على المزيد حول الأجهزة الظاهرية في Azure المشفرة وAzure Backup.
عند نسخ البيانات احتياطياً من الخوادم المحلية باستخدام وكيل MARS، يتم تشفير البيانات بعبارة مرور قبل تحميلها إلى Azure Backup وفك تشفيرها فقط بعد تنزيلها من Azure Backup. اقرأ المزيد حول ميزات الأمان للمساعدة في حماية النُسخ الاحتياطية المختلطة.
الحذف المبدئي
يوفر Azure Backup ميزات أمان للمساعدة في حماية بيانات النسخ الاحتياطي حتى بعد الحذف. مع الحذف المبدئي، إذا قمت بحذف النسخة الاحتياطية لجهاز ظاهري، يتم الاحتفاظ ببيانات النسخ الاحتياطي لمدة 14 يوما إضافيا، ما يسمح باسترداد عنصر النسخ الاحتياطي هذا دون فقدان البيانات. الاحتفاظ الإضافي ببيانات النسخ الاحتياطي لمدة 14 يوما في "حالة الحذف المبدئي لا يتحمل أي تكلفة. تعرف على المزيد حول الحذف المبدئي.
كما قام Azure Backup الآن بتحسين الحذف المبدئي لتحسين فرص استرداد البيانات بعد الحذف. اعرف المزيد.
خزائن غير قابلة للتغيير
يمكن أن يساعدك المخزن غير القابل للتغيير في حماية بيانات النسخ الاحتياطي الخاصة بك عن طريق حظر أي عمليات قد تؤدي إلى فقدان نقاط الاسترداد. علاوة على ذلك، يمكنك تأمين إعداد المخزن غير القابل للتغيير لجعله لا رجعة فيه يمكن أن يمنع أي جهات ضارة من تعطيل عدم القابلية للتغيير وحذف النسخ الاحتياطية. تعرف على المزيد حول الخزائن غير القابلة للتغيير.
التخويل متعدد المستخدمين
يسمح لك التخويل متعدد المستخدمين (MUA) ل Azure Backup بإضافة طبقة إضافية من الحماية إلى العمليات الهامة على خزائن خدمات الاسترداد وخزائن النسخ الاحتياطي. بالنسبة إلى التخويل متعدد المستخدمين، يستخدم Azure Backup مورد Azure آخر يسمى Resource Guard لضمان تنفيذ العمليات الهامة فقط مع التخويل القابل للتطبيق. تعرف على المزيد حول التخويل متعدد المستخدمين ل Azure Backup.
حذف مبدئي محسن
يوفر لك الحذف المبدئي المحسن القدرة على استرداد بياناتك حتى بعد حذفها، عن طريق الخطأ أو بشكل ضار. وهو يعمل عن طريق تأخير الحذف الدائم للبيانات لمدة محددة، ما يوفر لك فرصة لاستردادها. يمكنك أيضا جعل الحذف المبدئي دائما لمنع تعطيله. تعرف على المزيد حول الحذف المبدئي المحسن للنسخ الاحتياطي.
مراقبة وتنبيهات النشاط المشبوه
يوفر Azure Backup إمكانيات المراقبة والتنبيه المضمنة لعرض وتكوين الإجراءات للأحداث المتعلقة بـ Azure Backup. تعمل تقارير النسخ الاحتياطي كوجهة واحدة لتتبع الاستخدام، وتدقيق النُسخ الاحتياطية وعمليات الاستعادة، وتحديد الاتجاهات الرئيسية على مستويات مختلفة من النقاوة. يمكن أن يؤدي استخدام أدوات المراقبة والإبلاغ في Azure Backup إلى تنبيهك إلى أي نشاط غير مصرح به، أو مريب، أو ضار بمجرد حدوثه.
ميزات الأمان للمساعدة في حماية النُسخ الاحتياطية المختلطة
تستخدم خدمة Azure Backup عامل خدمات الاسترداد لـ Microsoft Azure (MARS) للنسخ الاحتياطي واستعادة الملفات والمجلدات وحالة وحدة التخزين أو النظام من كمبيوتر محلي إلى Azure. توفر مجموعة MARS الآن ميزات الأمان للمساعدة في حماية النُسخ الاحتياطية المختلطة. وتشمل هذه الميزات:
تُضاف طبقة إضافية من المصادقة عند إجراء عملية مهمة مثل تغيير عبارة المرور. يهدف هذا التحقق من الصحة إلى التأكد من أن مثل هذه العمليات لا يمكن إجراؤها إلا بواسطة المستخدمين الذين لديهم بيانات اعتماد صالحة لـ Azure. تعرف على المزيد حول الميزات التي تمنع الهجمات.
يتم الاحتفاظ ببيانات النسخ الاحتياطي المحذوفة لمدة 14 يوماً إضافية من تاريخ الحذف. يضمن ذلك إمكانية استرداد البيانات خلال فترة زمنية معينة، لذلك لا يوجد فقدان للبيانات حتى في حالة حدوث هجوم. كذلك، يتم الاحتفاظ بعدد أكبر من الحد الأدنى لنقاط الاسترداد للحماية من تلف البيانات. تعرف على المزيد حول استرداد بيانات النسخ الاحتياطي المحذوفة.
بالنسبة للبيانات التي تم نسخها احتياطياً باستخدام عامل خدمات الاسترداد لـ Microsoft Azure (MARS)، يتم استخدام عبارة مرور لضمان تشفير البيانات قبل تحميلها إلى Azure Backup وفك تشفيرها بعد التنزيل من Azure Backup فقط. تتوفر تفاصيل عبارة المرور للمستخدم الذي قام بإنشاء عبارة المرور والعامل الذي تم تكوينه معه فقط. لا يتم إرسال أي شيء أو مشاركته مع الخدمة. وهذا يضمن الأمان الكامل للبيانات الخاصة بك، حيث إن أي بيانات يتم كشفها عن غير قصد (مثل هجوم دخيل على الشبكة) غير صالحة للاستخدام بدون عبارة المرور، ولا يتم إرسال عبارة المرور عبر الشبكة.
الوضع الأمني ومستويات الأمان
يوفر Azure Backup ميزات الأمان على مستوى المخزن لحماية بيانات النسخ الاحتياطي المخزنة فيه. تشمل إجراءات الأمان هذه الإعدادات المرتبطة بحل Azure Backup للخزائن ومصادر البيانات المحمية الموجودة في الخزائن.
يتم تصنيف مستويات الأمان لمخازن Azure Backup على النحو التالي:
ممتاز (الحد الأقصى): يمثل هذا المستوى أعلى مستوى من الأمان، والذي يضمن حماية شاملة. يمكنك تحقيق ذلك عندما تكون جميع بيانات النسخ الاحتياطي محمية من عمليات الحذف العرضية وتدافع عن هجمات برامج الفدية الضارة. لتحقيق هذا المستوى العالي من الأمان، يجب استيفاء الشروط التالية:
- يجب تمكين إعداد المخزن غير القابل للتغيير أو الحذف المبدئي ولا رجعة فيه (مؤمن/دائم).
- يجب تمكين التخويل متعدد المستخدمين (MUA) على المخزن.
جيد (كاف): يشير هذا إلى مستوى أمان قوي، والذي يضمن حماية البيانات التي يمكن الاعتماد عليها. فهو يحمي النسخ الاحتياطية الموجودة من الإزالة غير المقصودة ويعزز إمكانية استرداد البيانات. لتحقيق هذا المستوى من الأمان، يجب تمكين إما عدم قابلية التغيير بقفل أو حذف مبدئي.
Fair (Minimum/Average): يمثل هذا مستوى أساسيا من الأمان، ومناسبا لمتطلبات الحماية القياسية. تستفيد عمليات النسخ الاحتياطي الأساسية من طبقة إضافية من الحماية. لتحقيق الحد الأدنى من الأمان، يجب تمكين التخويل متعدد المستخدمين (MUA) على المخزن.
الفقراء (سيئ/بلا): يشير هذا إلى وجود نقص في التدابير الأمنية، وهو أقل ملاءمة لحماية البيانات. في هذا المستوى، لا توجد ميزات حماية متقدمة ولا قدرات قابلة للعكس فقط. يوفر أمان مستوى None الحماية في المقام الأول من عمليات الحذف العرضية فقط.
الامتثال لمتطلبات الأمان الموحدة
لمساعدة المؤسسات على الامتثال للمتطلبات الوطنية/الإقليمية والمتطلبات الخاصة بالصناعة التي تحكم جمع بيانات الأفراد واستخدامها، يقدم Microsoft Azure وAzure Backup مجموعة شاملة من الشهادات والإثباتات. راجع قائمة شهادات التوافق