Přehled funkcí zabezpečení v Azure Backup

Jedním z nejdůležitějších kroků, které můžete provést k ochraně dat, je mít spolehlivou infrastrukturu zálohování. Je ale stejně důležité zajistit, aby se vaše data zálohovala zabezpečeným způsobem a že vaše zálohy jsou chráněny vždy. Azure Backup zajišťuje zabezpečení vašeho zálohovacího prostředí – jak při přenosu dat, tak i v klidovém stavu. Tento článek obsahuje seznam možností zabezpečení v Azure Backup, které vám pomůžou chránit zálohovaná data a splňovat bezpečnostní potřeby vaší firmy.

Správa a řízení identit a přístupu uživatelů

Storage účty používané trezory služby Recovery Services jsou izolované a uživatelé k nim nemají přístup pro žádné škodlivé účely. Přístup je povolený jenom prostřednictvím operací správy Azure Backup, jako je obnovení. Azure Backup umožňuje řídit spravované operace prostřednictvím jemně odstupňovaného přístupu pomocí řízení přístupu na základě role Azure (Azure RBAC). Azure RBAC umožňuje oddělit povinnosti v rámci vašeho týmu a udělit uživatelům jenom množství přístupu potřebných k práci.

Azure Backup poskytuje tři předdefinované role pro řízení operací správy zálohování:

• Přispěvatel zálohování – vytváření a správa záloh s výjimkou odstranění trezoru služby Recovery Services a udělení přístupu jiným uživatelům
• Operátor zálohování – vše, co přispěvatel dělá, kromě odebrání zásad zálohování a správy zásad zálohování
• Čtenář zálohování – oprávnění k zobrazení všech operací správy zálohování

Přečtěte si další informace o řízení přístupu na základě role v Azure pro správu Azure Backup.

Azure Backup obsahuje několik ovládacích prvků zabezpečení integrovaných do služby, které brání, rozpozná a reagují na ohrožení zabezpečení. Přečtěte si další informace o bezpečnostních prvcích pro Azure Backup.

Oddělení mezi hostem a úložištěm Azure

S Azure Backup, která zahrnuje zálohování virtuálních počítačů a SQL a SAP HANA v zálohování virtuálních počítačů, jsou zálohovaná data uložená v úložišti Azure a host nemá přímý přístup k úložišti zálohování nebo jeho obsahu. Při zálohování virtuálních počítačů se vytváření snímků zálohování a úložiště provádí prostředky infrastruktury Azure, kde host nemá jiné zapojení než vynucování úlohy pro konzistentní zálohy aplikací. S SQL a SAP HANA získá rozšíření zálohování dočasný přístup k zápisu do konkrétních objektů blob. Tímto způsobem ani v ohroženém prostředí se stávající zálohy nedají manipulovat ani odstraňovat hostem.

Připojení k internetu není vyžadováno pro zálohování virtuálních počítačů Azure

Zálohování virtuálních počítačů Azure vyžaduje přesun dat z disku virtuálního počítače do trezoru služby Recovery Services. Veškerá požadovaná komunikace a přenos dat se ale stane pouze v páteřní síti Azure, aniž byste museli přistupovat k vaší virtuální síti. Proto zálohování virtuálních počítačů Azure umístěných v zabezpečených sítích nevyžaduje povolení přístupu k žádným IP adresám nebo plně kvalifikovaným názvům domén.

Privátní koncové body pro Azure Backup

Pomocí privátních koncových bodů teď můžete bezpečně zálohovat data ze serverů uvnitř virtuální sítě do trezoru služby Recovery Services. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro váš trezor, takže nemusíte zpřístupnit virtuální sítě žádným veřejným IP adresám. Privátní koncové body je možné použít k zálohování a obnovení SQL a SAP HANA databází, které běží uvnitř virtuálních počítačů Azure. Můžete ho také použít pro místní servery pomocí agenta MARS.

Přečtěte si další informace o privátních koncových bodech pro Azure Backup tady.

Šifrování dat

Šifrování chrání vaše data a pomáhá vám splnit závazky organizace týkající se zabezpečení a dodržování předpisů. Šifrování dat probíhá v mnoha fázích Azure Backup:

• V Rámci Azure jsou data přenášená mezi úložištěm Azure a trezorem chráněná protokolem HTTPS. Tato data zůstávají v páteřní síti Azure.

• Zálohovaná data se automaticky šifrují pomocí klíčů spravovaných platformou a k jejich povolení nemusíte provádět žádnou explicitní akci. Zálohovaná data můžete také šifrovat pomocí klíčů spravovaných zákazníkem uložených v Azure Key Vault. Vztahuje se na všechny úlohy zálohované do trezoru služby Recovery Services.

• Azure Backup podporuje zálohování a obnovení virtuálních počítačů Azure, které mají šifrované disky s operačním systémem nebo daty pomocí Azure Disk Encryption (ADE) a virtuálních počítačů s šifrovanými disky CMK. Další informace o šifrovaných virtuálních počítačích Azure a Azure Backup

• Když se data zálohují z místních serverů pomocí agenta MARS, data se před nahráním do Azure Backup a dešifrují se až po stažení z Azure Backup. Přečtěte si další informace o funkcích zabezpečení, které pomáhají chránit hybridní zálohy.

Ochrana zálohovaných dat z neúmyslných odstranění

Azure Backup poskytuje funkce zabezpečení, které pomáhají chránit zálohovaná data i po odstranění. Pokud uživatel odstraní zálohování virtuálního počítače, zachovají se zálohovaná data po dobu 14 dalších dnů, což umožňuje obnovení této zálohované položky bez ztráty dat. Další 14denní uchovávání zálohovaných dat ve stavu obnovitelného odstranění vám neúčtují žádné náklady. Přečtěte si další informace o obnovitelném odstranění.

Monitorování a upozornění podezřelých aktivit

Azure Backup poskytuje integrované možnosti monitorování a upozorňování pro zobrazení a konfiguraci akcí pro události související s Azure Backup. Sestavy zálohování slouží jako cíl pro sledování využití, auditování záloh a obnovení a identifikaci klíčových trendů na různých úrovních členitosti. Pomocí nástrojů pro monitorování a vytváření sestav Azure Backup můžete upozornit na jakoukoli neoprávněnou, podezřelou nebo škodlivou aktivitu, jakmile k nim dojde.

Funkce zabezpečení, které vám pomůžou chránit hybridní zálohy

Azure Backup služba používá agenta Microsoft Azure Recovery Services (MARS) k zálohování a obnovení souborů, složek a stavu svazku nebo systému z místního počítače do Azure. MARS teď poskytuje funkce zabezpečení, které pomáhají chránit hybridní zálohy. Patří k nim:

• Další vrstva ověřování se přidá pokaždé, když se provede kritická operace, jako je změna hesla. Toto ověření zajišťuje, aby tyto operace mohly provádět jenom uživatelé, kteří mají platné přihlašovací údaje Azure. Přečtěte si další informace o funkcích, které brání útokům.

• Odstraněná zálohovaná data se uchovávají po dobu dalších 14 dnů od data odstranění. Tím zajistíte obnovitelnost dat v daném časovém období, takže nedojde ke ztrátě dat ani v případě, že dojde k útoku. Také je zachován větší počet minimálních bodů obnovení, které chrání před poškozenými daty. Přečtěte si další informace o obnovení odstraněných zálohovacího dat.

• Pro data zálohovaná pomocí agenta MARS (Microsoft Azure Recovery Services) se používá heslo k zajištění šifrování dat před nahráním do Azure Backup a dešifrování až po stažení z Azure Backup. Podrobnosti přístupového hesla jsou dostupné jenom uživateli, který vytvořil heslo a agenta, který je s ním nakonfigurovaný. Nic se nepřenáší ani nesdílí se službou. Tím zajistíte úplné zabezpečení dat, protože všechna data, která jsou neúmyslně vystavená (například útok man-in-the-middle v síti), je nepoužitelná bez hesla a heslo se přes síť neodesílají.

Dodržování standardizovaných požadavků na zabezpečení

Aby organizace splňovaly vnitrostátní, regionální a oborové požadavky, které řídí shromažďování a používání údajů jednotlivců, Microsoft Azure Azure Backup & nabízejí komplexní sadu certifikací a osvědčení. Podívejte se na seznam certifikací dodržování předpisů.

Další kroky

• Funkce zabezpečení, které pomáhají chránit cloudové úlohy, které používají Azure Backup
• Funkce zabezpečení, které pomáhají chránit hybridní zálohy, které používají Azure Backup