Vorläufiges Löschen für Azure Backup

Die Sorgen bezüglich Sicherheitsproblemen wie Schadsoftware, Ransomware und Eindringlingen werden immer größer. Diese Sicherheitsprobleme können erhebliche Daten- und finanzielle Verluste mit sich bringen. Zum Schutz gegen solche Angriffe verfügt Azure Backup jetzt über Sicherheitsfeatures für den Schutz von Sicherungsdaten auch nach dem Löschen.

Eines dieser Features ist das vorläufige Löschen. Beim vorläufigen Löschen werden die Sicherungsdaten 14 Tage länger aufbewahrt, damit das jeweilige Sicherungselement auch dann ohne Datenverluste wiederhergestellt werden kann, wenn ein böswilliger Akteur eine Sicherung löscht oder die Sicherungsdaten versehentlich gelöscht werden. Für die zusätzlichen 14 Tage der Aufbewahrung von Sicherungsdaten mit dem Status „Vorläufiges Löschen“ fallen für Sie keine Kosten an.

Der Schutz durch das vorläufige Löschen ist für folgende Dienste verfügbar:

Im folgenden Flussdiagramm sind die unterschiedlichen Schritte und Zustände eines Sicherungselements bei aktiviertem vorläufigem Löschen dargestellt:

Lebenszyklus eines vorläufig gelöschten Sicherungselements

Aktivieren und Deaktivieren des vorläufigen Löschens

Vorläufiges Löschen ist für neu erstellte Tresore standardmäßig aktiviert, um Sicherungsdaten vor versehentlichen oder vorsätzlichen Löschvorgängen zu schützen. Es wird davon abgeraten, dieses Feature zu deaktivieren. Sie sollten das vorläufige Löschen nur dann deaktivieren, wenn Sie Ihre geschützten Elemente in einen neuen Tresor verschieben möchten und nicht 14 Tage warten können, die für das Löschen und erneute Schützen erforderlich sind (z. B. in einer Testumgebung).

Um das vorläufige Löschen für einen Tresor deaktivieren zu können, müssen Sie für diesen Tresor über die Rolle „Sicherungsmitwirkender“ verfügen. (Sie benötigen Berechtigungen zum Ausführen von „Microsoft.RecoveryServices/Vaults/backupconfig/write“ für den Tresor.) Wenn Sie dieses Feature deaktivieren, führen alle künftigen Löschvorgänge geschützter Elemente zu einer sofortigen Entfernung, ohne dass eine Wiederherstellung möglich ist. Sicherungsdaten, die vor der Deaktivierung dieses Features mit dem Status „Vorläufig gelöscht“ vorhanden waren, behalten 14 Tage diesen Status. Wenn Sie diese Elemente umgehend endgültig löschen möchten, müssen Sie sie wiederherstellen und anschließend erneut löschen, damit sie endgültig gelöscht werden.

Beachten Sie, dass die Deaktivierung des Features vorläufiges Löschen für alle Arten von Workloads gilt. So ist es beispielsweise nicht mehr möglich, vorläufiges Löschen nur für SQL Server- oder SAP HANA-Datenbanken zu deaktivieren, es gleichzeitig aber für virtuelle Computer in demselben Tresor aktiviert zu lassen. Für eine präzisere Steuerung können Sie separate Tresore erstellen.

Tipp

Wenn Sie Warnungen/Benachrichtigungen erhalten möchten, wenn ein Benutzer in der Organisation das vorläufige Löschen für einen Tresor deaktiviert, verwenden Sie Azure Monitor-Warnungen für Azure Backup. Da die Deaktivierung des vorläufigen Löschens ein potenziell schädlicher Vorgang ist, empfehlen wir die Verwendung eines Warnsystems für dieses Szenario, um alle derartigen Vorgänge zu überwachen und bei unbeabsichtigten Vorgängen Maßnahmen zu ergreifen.

Deaktivieren des vorläufigen Löschens für VMs über das Azure-Portal

Gehen Sie zum Deaktivieren des vorläufigen Löschens wie folgt vor:

  1. Wechseln Sie im Azure-Portal zu Ihrem Tresor und dann zu Einstellungen>Eigenschaften.
  2. Wählen Sie im Eigenschaftenbereich Sicherheitseinstellungen>Aktualisieren aus.
  3. Wählen Sie im Bereich mit den Sicherheitseinstellungen unter Vorläufiges Löschen die Option Deaktivieren aus.

Deaktivieren des vorläufigen Löschens

Deaktivieren des vorläufigen Löschens für VMs über Azure PowerShell

Wichtig

Die erforderliche Mindestversion von Az.RecoveryServices für die Verwendung des vorläufigen Löschens mit Azure PowerShell ist 2.2.0. Verwenden Sie Install-Module -Name Az.RecoveryServices -Force, um die aktuelle Version herunterzuladen.

Verwenden Sie zum Deaktivieren das PowerShell-Cmdlet Set-AzRecoveryServicesVaultBackupProperty.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Deaktivieren des vorläufigen Löschens über die REST-API

Um die Funktion des vorläufigen Löschens mithilfe der REST-API zu deaktivieren, führen Sie die hier erläuterten Schritte aus.

Endgültiges Löschen vorläufig gelöschter Sicherungselemente

Sicherungsdaten, die vor der Deaktivierung dieses Features vorläufig gelöscht wurden, verbleiben im vorläufigen Löschzustand. Wenn Sie diese Elemente umgehend endgültig löschen möchten, müssen Sie sie wiederherstellen und anschließend erneut löschen, damit sie endgültig gelöscht werden.

Verwenden des Azure-Portals

Folgen Sie diesen Schritten:

  1. Führen Sie die Schritte zum Deaktivieren des vorläufigen Löschens aus.

  2. Navigieren Sie im Azure-Portal unter Ihrem Tresor zu Sicherungselemente, und wählen Sie das vorläufig gelöschte Element aus.

    Auswählen des vorläufig gelöschten Elements

  3. Wählen Sie die Option Wiederherstellen aus.

    Auswählen von „Wiederherstellen“

  4. Daraufhin wird ein Fenster angezeigt. Wählen Sie Wiederherstellen aus.

    Auswählen von „Wiederherstellen“

  5. Wählen Sie Sicherungsdaten löschen aus, um die Sicherungsdaten endgültig zu löschen.

    Auswählen von „Sicherungsdaten löschen“

  6. Geben Sie den Namen des Sicherungselements ein, um zu bestätigen, dass Sie die Wiederherstellungspunkte löschen möchten.

    Eingeben des Namens des Sicherungselements

  7. Wählen Sie Löschen aus, um die Sicherungsdaten des Elements zu löschen. Sie erhalten einer Benachrichtigung, dass die Sicherungsdaten gelöscht wurden.

Verwenden von Azure PowerShell

Wenn Elemente vor der Deaktivierung des vorläufigen Löschens gelöscht wurden, befinden sie sich im vorläufig gelöschten Zustand. Um diese sofort zu löschen, muss der Löschvorgang umgekehrt und dann erneut ausgeführt werden.

Identifizieren Sie die Elemente, die sich im vorläufig gelöschten Zustand befinden.


Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}

Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted

$myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1

Kehren Sie dann den Löschvorgang um, der bei aktiviertem vorläufigem Löschen ausgeführt wurde.

Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2

Da das vorläufige Löschen jetzt deaktiviert ist, führt der Löschvorgang zu einem sofortigen Entfernen der Sicherungsdaten.

Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb

Verwenden der REST-API

Wenn Elemente vor der Deaktivierung des vorläufigen Löschens gelöscht wurden, befinden sie sich im vorläufig gelöschten Zustand. Um diese sofort zu löschen, muss der Löschvorgang umgekehrt und dann erneut ausgeführt werden.

  1. Machen Sie zunächst die Löschvorgänge mit den hier erläuterten Schritten rückgängig.
  2. Deaktivieren Sie dann die Funktion des vorläufigen Löschens mithilfe der REST-API, indem Sie die hier erläuterten Schritte ausführen.
  3. Danach löschen Sie die Sicherungen mithilfe der REST-API, wie hier erläutert.

Häufig gestellte Fragen

Muss ich die Funktion für vorläufiges Löschen in jedem Tresor aktivieren?

Nein. Dies ist ein integriertes Feature, das standardmäßig für alle Recovery Services-Tresore aktiviert wird.

Kann ich konfigurieren, wie lange meine Daten nach Abschluss des Löschvorgangs im Status „Vorläufig gelöscht“ aufbewahrt werden?

Nein. Der Zeitraum ist auf eine um 14 Tage verlängerte Aufbewahrung nach dem Löschvorgang festgelegt.

Muss ich die Kosten für diesen zusätzlichen Aufbewahrungszeitraum von 14 Tagen bezahlen?

Nein. Dieser zusätzliche Aufbewahrungszeitraum von 14 Tagen ist im Rahmen der Funktion „Vorläufiges Löschen“ kostenlos.

Kann ich einen Wiederherstellungsvorgang durchführen, wenn sich meine Daten im Status „Vorläufig gelöscht“ befinden?

Nein. Sie müssen das Löschen der vorläufig gelöschten Ressource rückgängig machen, um sie wiederherzustellen. Mit dem Vorgang „Wiederherstellen“ wird die Ressource zurück in den Status Beendigung des Schutzes mit Beibehaltung der Daten versetzt, und Sie können beliebige Wiederherstellungspunkte wiederherstellen. Der Garbage Collector bleibt in diesem Status angehalten.

Gilt für meine Momentaufnahmen der gleiche Lebenszyklus wie für meine Wiederherstellungspunkte im Tresor?

Ja.

Wie kann ich die geplanten Sicherungen für eine vorläufig gelöschte Ressource erneut auslösen?

Wenn Sie nach dem Wiederherstellen den Vorgang „Fortsetzen“ ausführen, ist die Ressource wieder geschützt. Beim Vorgang „Fortsetzen“ wird eine Sicherungsrichtlinie zugeordnet, um die geplanten Sicherungen mit dem ausgewählten Aufbewahrungszeitraum auszulösen. Darüber hinaus wird der Garbage Collector ausgeführt, sobald der Vorgang „Fortsetzen“ abgeschlossen ist. Falls Sie eine Wiederherstellung für einen Wiederherstellungspunkt durchführen möchten, für den das Ablaufdatum überschritten wurde, sollten Sie dies erledigen, bevor Sie den Wiederherstellungsvorgang auslösen.

Kann ich meinen Tresor löschen, wenn er vorläufig gelöschte Elemente enthält?

Der Recovery Services-Tresor kann nicht gelöscht werden, wenn sich darin Sicherungselemente im Zustand „Vorläufig gelöscht“ befinden. Die vorläufig gelöschten Elemente werden 14 Tage nach dem Löschvorgang endgültig gelöscht. Wenn Sie nicht so lange warten möchten, können Sie vorläufiges Löschen deaktivieren, die vorläufig gelöschten Elemente wiederherstellen und sie erneut löschen, um sie endgültig zu löschen. Nachdem Sie sich vergewissert haben, dass keine geschützten oder vorläufig gelöschten Elemente mehr vorhanden sind, kann der Tresor gelöscht werden.

Kann ich die Daten löschen, bevor die 14 Tage im Status „Vorläufig gelöscht“ abgelaufen sind?

Nein. Das Löschen vorläufig gelöschter Elemente kann nicht erzwungen werden. Sie werden nach 14 Tagen automatisch gelöscht. Diese Sicherheitsfunktion ist aktiviert, um die gesicherten Daten vor versehentlichen oder böswilligen Löschvorgängen zu schützen. Sie sollten 14 Tage warten, bevor Sie für das Element eine andere Aktion ausführen. Vorläufig gelöschte Elemente werden nicht in Rechnung gestellt. Wenn Sie die zum vorläufigen Löschen gekennzeichneten Elemente innerhalb von 14 Tagen in einem neuen Tresor erneut schützen müssen, wenden Sie sich an den Microsoft-Support.

Kann das vorläufige Löschen in PowerShell oder per CLI durchgeführt werden?

Vorläufige Löschvorgänge können mit PowerShell ausgeführt werden. Die Befehlszeilenschnittstelle wird derzeit nicht unterstützt.

Nächste Schritte