Funkce zabezpečení, které pomáhají chránit hybridní zálohy, které používají Azure Backup
Obavy z problémů se zabezpečením, jako jsou malware, ransomware a vniknutí, neustále rostou. Tyto potíže mohou být nákladné, a to z hlediska financí i dat. Kvůli ochraně před těmito útoky teď Azure Backup poskytuje funkce zabezpečení, které pomáhají chránit hybridní zálohy. Tento článek popisuje, jak povolit a využít tyto funkce k ochraně místních úloh pomocí Microsoft Azure Backup Serveru (MABS), Správce ochrany dat (DPM) a agenta Microsoft Azure Recovery Services (MARS). Patří k nim:
- Prevence. Při každé důležité operaci, jako je změna přístupového hesla, se přidá další vrstva ověřování. Toto ověření zajišťuje, aby tyto operace mohly provádět jenom uživatelé, kteří mají platné přihlašovací údaje Azure.
- Upozorňování. Správci předplatného se odešle e-mailové oznámení pokaždé, když se provede kritická operace, jako je odstranění zálohovaných dat. Tento e-mail zajistí, že uživatel bude o těchto akcích rychle upozorněn.
- Obnovení. Odstraněná zálohovaná data se uchovávají po dobu dalších 14 dnů od data odstranění. Tím se zajistí obnovitelnost dat v daném časovém období, takže nedojde ke ztrátě dat ani v případě, že dojde k útoku. Navíc se udržuje větší počet minimálních bodů obnovení, které chrání před poškozenými daty.
Poznámka:
Povolte v trezoru služby Recovery Services autorizaci více uživatelů (MUA) a přidejte do důležité operace zakázání funkcí zabezpečení další vrstvu ochrany. Další informace.
Minimální požadovaná verze
Povolte funkce zabezpečení jenom v případě, že používáte:
- Agent Azure Backup: Minimální verze agenta 2.0.9052. Po povolení těchto funkcí upgradujte verzi agenta, aby prováděla důležité operace.
- Azure Backup Server: Minimální verze agenta Azure Backup verze 2.0.9052 s aktualizací Azure Backup Serveru 1.
- System Center Data Protection Manager: Minimální verze agenta Azure Backup verze 2.0.9052 s Data Protection Managerem 2012 R2 UR12/ Data Protection Manager 2016 UR2.
Poznámka:
Pokud používáte zálohování virtuálních počítačů infrastruktury jako služby (IaaS), nezapněte funkce zabezpečení. V současné době nejsou tyto funkce dostupné pro zálohování virtuálních počítačů IaaS, takže jejich povolení nebude mít vliv.
Povolení funkcí zabezpečení
Pokud vytváříte trezor služby Recovery Services, můžete použít všechny funkce zabezpečení. Pokud pracujete s existujícím trezorem, povolte funkce zabezpečení pomocí následujícího postupu:
Přihlaste se k webu Azure Portal pomocí svých přihlašovacích údajů Azure.
Vyberte Procházet a zadejte Recovery Services.
Objeví se seznam trezorů Služeb zotavení. V tomto seznamu vyberte trezor. Otevře se řídicí panel vybraného trezoru.
V seznamu položek, které se zobrazí pod trezorem, v části Nastavení vyberte Vlastnosti.
V části Nastavení zabezpečení vyberte Aktualizovat.
Odkaz na aktualizaci otevře podokno Nastavení zabezpečení, které obsahuje souhrn funkcí a umožňuje je povolit.
Povolte funkce zabezpečení a vyberte Uložit.
Obnovení odstraněných zálohovach dat
Pokud je povolené nastavení funkcí zabezpečení, Azure Backup uchovává odstraněná zálohovaná data po dobu dalších 14 dnů a neodstraní je okamžitě, pokud se provede operace Zastavit zálohování s odstraněním dat zálohování. Pokud chcete tato data obnovit v 14denním období, proveďte následující kroky v závislosti na tom, co používáte:
Pro uživatele agenta Azure Recovery Services:
- Pokud je počítač, ve kterém došlo k zálohování, stále k dispozici, znovu zachoďte odstraněné zdroje dat a pomocí obnovení dat na stejný počítač ve službě Azure Recovery Services obnovte ze všech starých bodů obnovení.
- Pokud tento počítač není k dispozici, pomocí příkazu Obnovit na alternativní počítač použijte k získání těchto dat jiný počítač služby Azure Recovery Services.
Pro uživatele Azure Backup Serveru :
- Pokud je server, na kterém došlo k zálohování, stále k dispozici, znovu zachráněte odstraněné zdroje dat a pomocí funkce Obnovit data proveďte obnovení ze všech starých bodů obnovení.
- Pokud tento server není k dispozici, použijte k získání těchto dat data z jiného Azure Backup Serveru pomocí jiné instance Azure Backup Serveru.
Pro uživatele Data Protection Manageru :
- Pokud je server, na kterém došlo k zálohování, stále k dispozici, znovu zachráněte odstraněné zdroje dat a pomocí funkce Obnovit data proveďte obnovení ze všech starých bodů obnovení.
- Pokud tento server není k dispozici, použijte k získání těchto dat externí dpm jiný server Data Protection Manageru.
Prevence útoků
Byly přidány kontroly, aby se zajistilo, že mohou provádět různé operace pouze platné uživatele. Patří mezi ně přidání další vrstvy ověřování a udržování minimálního rozsahu uchování pro účely obnovení.
Ověřování pro provádění kritických operací
Při přidávání další vrstvy ověřování pro důležité operace se zobrazí výzva k zadání pin kódu zabezpečení při provádění operace Zastavit ochranu pomocí odstranění dat a změna přístupového hesla pro DPM, MABS a MARS.
Kromě toho operace pro odebrání svazku ze zálohy souborů/složek MARS verze 2.0.9262.0 a novější, přidání nového nastavení vyloučení pro existující svazek, zkrácení doby uchovávání a přesun do méně častého plánu zálohování jsou také chráněny pin kódem zabezpečení pro další zabezpečení.
Poznámka:
V současné době se pro následující verze DPM a MABS podporuje pin kód zabezpečení pro zastavení ochrany s odstraněním dat do online úložiště:
- DPM 2016 UR9 nebo novější
- DPM 2019 UR1 nebo novější
- MABS v3 UR1 nebo novější
Pokud chcete získat tento PIN kód:
- Přihlaste se k portálu Azure.
- Přejděte do trezoru> služby Recovery Services Nastavení> Properties.
- V části Bezpečnostní PIN vyberte Generovat. Otevře se podokno obsahující KÓD PIN, který se má zadat v uživatelském rozhraní agenta Azure Recovery Services. Tento PIN kód je platný jenom pět minut a po uplynutí tohoto období se automaticky vygeneruje.
Zachování minimálního rozsahu uchování
Aby bylo zajištěno, že je vždy k dispozici platný počet bodů obnovení, byly přidány následující kontroly:
- V případě denního uchovávání by se mělo provést minimálně sedm dnů uchovávání.
- V případě týdenního uchovávání by se mělo provést minimálně čtyři týdny uchovávání.
- V případě měsíčního uchovávání by se mělo provést minimálně tři měsíce uchovávání.
- V případě ročního uchovávání by mělo být provedeno minimálně jeden rok uchovávání.
Oznámení pro důležité operace
Při provedení kritické operace se obvykle správci předplatného odešle e-mailové oznámení s podrobnostmi o operaci. Další příjemce e-mailu pro tato oznámení můžete nakonfigurovat pomocí webu Azure Portal.
Funkce zabezpečení uvedené v tomto článku poskytují mechanismy ochrany proti cílovým útokům. Důležitější je, že pokud dojde k útoku, umožňují vám tyto funkce obnovit data.
Řešení chyb
| Operace | Podrobnosti o chybě | Rozlišení |
|---|---|---|
| Změna zásad | Zásady zálohování nešlo upravit. Chyba: Aktuální operace selhala kvůli vnitřní chybě služby [0x29834]. Zkuste operaci zopakovat po nějaké době. Pokud problém přetrvá, obraťte se na podporu Microsoftu. | Příčina: Tato chyba se zobrazí, když jsou povolená nastavení zabezpečení, pokusíte se snížit rozsah uchování pod minimálními hodnotami uvedenými výše a používáte nepodporovanou verzi (podporované verze jsou uvedené v první poznámce tohoto článku). Doporučená akce: V tomto případě byste měli nastavit dobu uchovávání nad zadanou minimální dobu uchovávání (sedm dní pro každý den, čtyři týdny pro týdenní, tři týdny pro měsíc nebo jeden rok pro rok) a pokračovat v aktualizacích souvisejících se zásadami. Volitelně by upřednostňovaným přístupem bylo aktualizovat agenta zálohování, Azure Backup Server a/nebo ur dpm, aby využívaly všechny aktualizace zabezpečení. |
| Změna přístupového hesla | Zadaný bezpečnostní PIN kód není správný. (ID: 100130) Zadejte správný bezpečnostní PIN kód pro dokončení této operace. | Příčina: K této chybě dochází, když při provádění kritické operace zadáte neplatný pin kód zabezpečení nebo vypršela jeho platnost (například změna přístupového hesla). Doporučená akce: K dokončení operace musíte zadat platný bezpečnostní PIN kód. Pin kód získáte tak, že se přihlásíte k webu Azure Portal a přejdete do trezoru > služby Recovery Services Nastavení > vlastnosti > vygenerují PIN kód zabezpečení. Pomocí tohoto KÓDU PIN můžete změnit přístupové heslo. |
| Změna přístupového hesla | Operace se nezdařila. ID: 120002 | Příčina: Tato chyba se zobrazí, když jsou povolená nastavení zabezpečení, pokusíte se změnit heslo a používáte nepodporovanou verzi (platné verze uvedené v první poznámce tohoto článku). Doporučená akce: Pokud chcete změnit přístupové heslo, musíte nejprve aktualizovat agenta zálohování na minimální verzi 2.0.9052, Azure Backup Server na minimální aktualizaci 1 nebo DPM na minimální verzi DPM 2012 R2 UR12 nebo DPM 2016 UR2 (odkazy ke stažení níže) a pak zadejte platný PIN kód zabezpečení. Pin kód získáte tak, že se přihlásíte k webu Azure Portal a přejdete do trezoru > služby Recovery Services Nastavení > vlastnosti > vygenerují PIN kód zabezpečení. Pomocí tohoto KÓDU PIN můžete změnit přístupové heslo. |
Podpora neměnnosti
Pokud je pro váš trezor služby Recovery Services povolená neměnnost , zablokují se operace, které snižují uchovávání cloudových záloh nebo odebírají cloudové zálohování místních zdrojů dat.
Podpora neměnnosti pro DPM a MABS
Tato funkce je podporována s agentem MARS verze 2.0.9250.0 a vyšší z DPM 2022 UR1 a MABS v4.
Následující tabulka uvádí nepovolené operace v aplikaci DPM připojené k neměnné obnově:
| Operace v trezoru Immutable | Výsledek s DPM 2022 UR1, MABS v4 a nejnovějším agentem MARS. Pomocí DPM 2022 UR2 nebo MABS v4 UR1 můžete vybrat možnost zachování online bodů obnovení pomocí zásad při zastavení ochrany nebo odebrání zdroje dat ze skupiny ochrany z konzoly. |
Výsledek se starším agentem DPM/MABS nebo MARS |
|---|---|---|
| Odebrání zdroje dat ze skupiny ochrany nakonfigurované pro online zálohování | 81001: Zálohované položky nelze odstranit, protože obsahuje aktivní body obnovení a vybraný trezor je neměnný trezor. | 130001: Služba Microsoft Azure Backup zjistila vnitřní chybu. |
| Zastavení ochrany s odstraněním dat | 81001: Zálohované položky nelze odstranit, protože obsahuje aktivní body obnovení a vybraný trezor je neměnný trezor. Pomocí DPM 2022 UR2 nebo MABS v4 UR1 můžete vybrat možnost zachování online bodů obnovení pomocí zásad při zastavení ochrany nebo odebrání zdroje dat ze skupiny ochrany z konzoly. |
130001: Služba Microsoft Azure Backup zjistila vnitřní chybu. |
| Zkrácení doby uchovávání online | 810002: Omezení uchovávání informací během změny zásad nebo ochrany není povolené, protože vybraný trezor je neměnný. | 130001: Služba Microsoft Azure Backup zjistila vnitřní chybu. |
| Příkaz Remove-DPMChildDatasource | 81001: Zálohované položky nelze odstranit, protože obsahuje aktivní body obnovení a vybraný trezor je neměnný trezor. Pomocí nové možnosti -EnableOnlineRPsPruning s parametrem -KeepOnlineData zachovejte data pouze po dobu trvání zásad. Pomocí DPM 2022 UR2 nebo MABS v4 UR1 můžete vybrat možnost zachování online bodů obnovení pomocí zásad při zastavení ochrany nebo odebrání zdroje dat ze skupiny ochrany z konzoly. |
130001: Služba Microsoft Azure Backup zjistila vnitřní chybu. K uchovávání dat použijte příznak -KeepOnlineData. |
Podpora neměnnosti pro MARS
Následující tabulka uvádí nepovolené operace pro MARS, pokud je v trezoru služby Recovery Services povolená neměnnost. Jiné operace, jako je zvýšení uchovávání a vyloučení souboru nebo složky ze zálohy, jsou povolené.
| Nepovolené operace | Výsledek s nejnovějším agentem MARS | Výsledek se starým agentem MARS |
|---|---|---|
| Zastavení ochrany s odstraněním dat pro stav systému | Chyba 810001 Uživatel, který se pokouší odstranit zálohovanou položku nebo zastavit ochranu s odstraněnými daty, kde má zálohovaná položka platný (nevyexpirovaný) bod obnovení. |
Chyba 130001 Ve službě Microsoft Azure Backup došlo k vnitřní chybě. |
| Zastavení ochrany s odstraněním dat | Chyba 810001 Uživatel, který se pokouší odstranit zálohovanou položku nebo zastavit ochranu s odstraněnými daty, kde má zálohovaná položka platný (nevyexpirovaný) bod obnovení. |
Chyba 130001 Ve službě Microsoft Azure Backup došlo k vnitřní chybě. MARS 2.0.9262.0 a novější poskytují možnost zastavení ochrany a zachování bodů obnovení podle zásad v konzole. |
| Zkrácení doby uchovávání online | Uživatel, který se pokouší upravit zásady nebo ochranu s omezením uchovávání. | 130001 Ve službě Microsoft Azure Backup došlo k vnitřní chybě. |
| Remove-OBPolicy s příznakem -DeleteBackup | 810001 Uživatel, který se pokouší odstranit zálohovanou položku nebo zastavit ochranu s odstraněnými daty, kde má zálohovaná položka platný (nevyexpirovaný) bod obnovení. Pomocí příznaku –EnablePruning zachovejte zálohy až do doby uchovávání. |
130001 Ve službě Microsoft Azure Backup došlo k vnitřní chybě. Nepoužívejte příznak -DeleteBackup . MARS 2.0.9262.0 a novější poskytují možnost zastavení ochrany a zachování bodů obnovení podle zásad v konzole. |
Další kroky
- Začněte s trezorem služby Azure Recovery Services a povolte tyto funkce.
- Stáhněte si nejnovějšího agenta služby Azure Recovery Services, který pomáhá chránit počítače s Windows a chránit zálohovaná data před útoky.