Freigeben über


Übersicht über Sicherungstresore

In diesem Artikel werden die Features eines Sicherungstresors beschrieben. Ein Sicherungstresor ist eine Speicherentität in Azure für Sicherungsdaten bestimmter neuerer, von Azure Backup unterstützter Workloads. Sie können Sicherungstresore für Sicherungsdaten von verschiedenen Azure-Diensten verwenden, z. B. von Azure Blob, Azure Database for PostgreSQL-Servern und neueren Workloads, die Azure Backup unterstützen. Sicherungstresore vereinfachen die Organisation Ihrer Sicherungsdaten und minimieren gleichzeitig den Verwaltungsaufwand. Erfahren Sie mehr über die Typen des Tresors, für die Sicherung und Wiederherstellung unterstützt werden.

Wichtigste Funktionen

Sicherungstresore basieren auf dem Azure Resource Manager-Modell von Azure, das Features wie die folgenden bietet:

  • Erweiterte Funktionen zum Schutz von Sicherungsdaten: Durch Recovery Services-Tresore bietet Azure Backup Sicherheitsfunktionen zum Schutz von Cloudsicherungen. Mit diesen Sicherheitsfunktionen wird sichergestellt, dass Sie Ihre Sicherungen schützen und Daten sicher wiederherstellen können, selbst wenn Produktions- und Sicherungsserver kompromittiert sind. Weitere Informationen

  • Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC): Die RBAC ermöglicht eine präzise Verwaltung der Zugriffssteuerung in Azure. Azure bietet verschiedene integrierte Rollen, während Azure Backup über drei integrierte Rollen zum Verwalten von Wiederherstellungspunkten verfügt. Sicherungstresore sind mit der Azure RBAC kompatibel, die den Zugriff auf Sicherungen und Wiederherstellungen auf die definierten Benutzerrollen beschränkt. Weitere Informationen

  • Datenisolation: Bei Azure Backup werden die gespeicherten Sicherungsdaten im von Microsoft verwalteten Azure-Abonnement und -Mandant gespeichert. Externe Benutzer oder Gäste haben keinen direkten Zugriff auf diesen Sicherungsspeicher oder deren Inhalte, um die Isolierung von Sicherungsdaten aus der Produktionsumgebung sicherzustellen, in der sich die Datenquelle befindet. Dieser robuste Ansatz stellt sicher, dass vorhandene Sicherungen selbst in einer kompromittierten Umgebung von nicht autorisierten Benutzern weder manipuliert noch gelöscht werden können.

  • Zentrale Überwachung der V2-Workloads: Mit Backup Vault können Sie alle Ihre V2-Workloads von Sicherungsaufträgen bis hin zu Warnungen überwachen. Berichterstellungsfunktionen für denselben Zweck sind im Azure Business Continuity Center verfügbar.

Speichereinstellungen im Sicherungstresor

Ein Sicherungstresor ist eine Entität, in der die im Lauf der Zeit erstellten Sicherungen und Wiederherstellungspunkte gespeichert werden. Der Sicherungstresor enthält außerdem die den geschützten Ressourcen zugeordneten Sicherungsrichtlinien.

  • Azure Backup übernimmt automatisch die Speicherung für den Tresor. Wählen Sie beim Erstellen des Sicherungstresors die Speicherredundanz entsprechend Ihren Geschäftsanforderungen aus.

  • Weitere Informationen zur Speicherredundanz finden Sie in diesen Artikeln zur Georedundanz Zonenredundanz und zur lokalen Redundanz.

Verschlüsselungseinstellungen im Sicherungstresor

In diesem Abschnitt werden die verfügbaren Optionen zur Verschlüsselung Ihrer im Sicherungstresor gespeicherten Sicherungsdaten behandelt. Der Azure Backup-Dienst verwendet die Backup Management Service-App, um auf Azure Key Vault, aber nicht auf die verwaltete Identität des Sicherungstresors zu zugreifen.

Verschlüsselung von Sicherungsdaten mit von der Plattform verwalteten Schlüsseln

Azure Backup bietet Ihnen zwei Optionen (von Microsoft verwalteten Schlüsseln und vom Kunden verwalteten Schlüssel), um die Sicherungsdatenverschlüsselung für Ihren Sicherungstresor zu verwalten. Standardmäßig werden alle Ihre Daten mit von Microsoft verwalteten Schlüsseln verschlüsselt. Azure Backup verwendet die Backup Management Service-App, um auf Azure Key Vault, aber nicht auf die verwaltete Identität des Sicherungstresors zu zugreifen.

Sie können Ihre eigenen Schlüssel abrufen, um die Sicherungsdaten zu verschlüsseln, indem Sie die Option vom Kunden verwaltete Schlüssel unter Verschlüsselungseinstellungen im Sicherungstresor verwenden.

Rollenbasierte Zugriffssteuerung (RBAC) im Sicherungstresor

Sicherungstresoren bieten einen robusten Role-Based Zugriffssteuerungsmechanismus (RBAC), der nicht nur steuert, wer auf einen Sicherungstresor zugreifen kann und welche Vorgänge sie ausführen können, sondern auch eine differenzierte Kontrolle darüber ermöglicht, auf welche einzelnen Workloads der Tresor zugreifen kann und in welchem Umfang. Dies umfasst den Zugriff auf Azure-Ressourcen wie Azure-Datenträger oder PostgreSQL-Server, die gesichert werden sollen, und Key Vaults, die für die Verschlüsselungsschlüsselverwaltung verwendet werden.

RBAC wird über verwaltete Identitäten erzwungen, die dem Sicherungstresor zugeordnet sind. Diesen Identitäten können bestimmte Rollen zugewiesen werden, um den erforderlichen Zugriff zu gewähren. Sicherungstresoren unterstützen zwei Arten von verwalteten Identitäten:

  • Vom System zugewiesene verwaltete Identität: Diese Identität wird automatisch erstellt, wenn der Sicherungstresor bereitgestellt wird und an den Lebenszyklus des Tresors gebunden ist. Sie haben die Möglichkeit, diese Identität bei Bedarf zu deaktivieren.

  • Vom Benutzer zugewiesene verwaltete Identität: Dies ist eine unabhängige Azure-Ressource, die einem oder mehreren Sicherungstresorn zugewiesen werden kann. Nach der Zuweisung gelten alle Rollen, die dieser Identität erteilt wurden, auch für den Tresor. Der Lebenszyklus einer vom Benutzer zugewiesenen verwalteten Identität wird vom Tresor entkoppelt und bietet mehr Flexibilität. Mehrere benutzerdefinierte Identitäten können einem einzigen Sicherungsspeicher zugeordnet werden.

Diese Identitäten sorgen für eine sichere und verwaltbare Zugriffssteuerung, sodass Sicherungstresoren mit den geringsten erforderlichen Rechten arbeiten können und dabei mit den Sicherheitsrichtlinien der Organisation übereinstimmen.

Unterstützung der regionsübergreifenden Wiederherstellung für PostgreSQL mithilfe von Azure Backup

Mit Azure Backup können Sie Ihre Sicherungen mithilfe von georedundantem Speicher (Georedundant Storage, GRS) in ein zusätzliches Azure-Regionspaar replizieren, um Ihre Sicherungen vor regionalen Ausfällen zu schützen. Wenn Sie Sicherungen mithilfe von GRS aktivieren, kann nur dann auf die Sicherungen in der sekundären Region zugegriffen werden, wenn Microsoft einen Ausfall in der primären Region deklariert. Mit der regionsübergreifenden Wiederherstellung können Sie jedoch auf Wiederherstellungspunkte der sekundären Region zugreifen und Wiederherstellungen durchführen, auch wenn in der primären Region kein Ausfall auftritt. Dies erlaubt es Ihnen auch, Tests zur Bewertung der regionalen Resilienz durchzuführen.

Informieren Sie sich darüber, wie Sie die regionsübergreifende Wiederherstellung durchführen können.

Hinweis

  • Die regionsübergreifende Wiederherstellung ist jetzt für PostgreSQL-Sicherungen verfügbar, die in Sicherungstresoren geschützt sind.
  • Sicherungstresore, für die die regionsübergreifende Wiederherstellung aktiviert ist, werden automatisch zu RA-GRS-Raten für die im Tresor gespeicherten PostgreSQL-Sicherungen abgerechnet.

Nächste Schritte