Häufig gestellte Fragen: Schützen von Sicherungen vor Ransomware

Ihre in einer Azure-Ressource, die als Recovery Services-Tresor oder Sicherungstresor bezeichnet wird, sicher gespeicherten Sicherungsdaten sind isoliert. Dieser Tresor ist eine Verwaltungsentität. Keine Anwendung und kein Gast hat direkten Zugriff auf diese Sicherungen. Dadurch wird verhindert, dass böswillige Akteure destruktive Vorgänge im Sicherungsspeicher ausführen, z. B. Löschungen oder Manipulationen von Sicherungsdaten.

Die folgenden Methoden schützen Sicherungen vor Sicherheits- und Ransomware-Bedrohungen:

• Verwalten Sie den Zugriff zum Sichern von Ressourcen mithilfe der rollenbasierten Zugriffssteuerung in Azure (Azure RBAC).

  • Mit Azure Backup können Sie Aufgaben innerhalb Ihres Teams trennen, um Teammitgliedern mithilfe der rollenbasierten Zugriffssteuerung in Azure (Azure RBAC) zum Verwalten von Azure Backup nur genau den Zugriff zu gewähren, den sie für ihre Aufgaben benötigen.
  • Verwenden Sie Privileged Identity Management, um eine zeit- und genehmigungsbasierte Rollenaktivierung bereitzustellen, um die Risiken durch übermäßige, unnötige oder missbrauchte Berechtigungen zu verringern. Weitere Informationen

• Vergewissern Sie sich, dass das vorläufige Löschen aktiviert ist, um Sicherungen vor versehentlichem oder böswilligem Löschen zu schützen.

  Das vorläufige Löschen ist für einen neu erstellten Recovery Services-Tresor standardmäßig aktiviert. Sicherungsdaten werden 14 Tage lang ohne zusätzliche Kosten vor versehentlichen oder böswilligen Löschungen geschützt, sodass das Sicherungselement wiederhergestellt werden kann, bevor es dauerhaft verloren geht. Es wird empfohlen, dieses Feature nicht zu deaktivieren. Wenn Sicherungen gelöscht werden und das vorläufige Löschen nicht aktiviert ist, können die gelöschten Sicherungsdaten von Ihnen oder Microsoft nicht wiederhergestellt werden. Verwenden Sie die Multi-User-Autorisierung (MUA) als eine zusätzliche Schutzebene für diese kritischen Vorgänge in Ihrem Recovery Services-Tresor, um den Vorgang vor dem Deaktivierens dieses Features zu validieren. Weitere Informationen finden Sie unter Aktivieren, Verwalten und Deaktivieren des vorläufigen Löschens für Azure Backup.

  Außerdem wird empfohlen, die Mehrbenutzerautorisierung (Multi-User Authorization, MUA) zu verwenden, um kritische Vorgänge in Ihrem Recovery Services-Tresor zu schützen.

• Stellen Sie sicher, dass die Multi-User-Autorisierung (MUA) zum Schutz vor nicht autorisierten Administratorszenarien aktiviert ist.

  MUA für Azure Backup verwendet eine neue Ressource namens Resource Guard, um sicherzustellen, dass kritische Vorgänge wie das Deaktivieren des vorläufigen Löschens, das Beenden und Löschen von Sicherungen oder das Reduzieren der Aufbewahrung von Sicherungsrichtlinien nur mit geeigneter Autorisierung ausgeführt werden. Weitere Informationen finden Sie unter

  • Wie funktioniert MUA unter Verwendung von Resource Guard?
  • Stellen Sie Just-In-Time-Zugriff auf Resource Guard mit Privileged Identity Management bereit.

• Richten Sie Warnungen und Benachrichtigungen für kritische Sicherungsvorgänge ein.

  Azure Backup bietet mehrere Überwachungs- und Benachrichtigungsfunktionen für eine Vielzahl von Szenarien. Stellen Sie sicher, dass sie ordnungsgemäß konfiguriert sind, um rechtzeitig Warnungen zu erhalten und erforderliche Aktionen ausführen zu können. Weitere Informationen

  Es wird empfohlen, Azure Monitor für Warnungen zu verwenden, um Warnungen/Benachrichtigungen zu kritischen Vorgängen zu empfangen.

• Stellen Sie sicher, dass die Netzwerkverbindung zwischen Sicherungsdiensten und Workloads sicher ist.

  • Bei virtuellen Azure-Computern bleiben Daten während der Übertragung im Azure-Backbonenetzwerk ohne die Notwendigkeit, auf Ihr virtuelles Netzwerk zuzugreifen. Daher müssen Sie bei der Sicherung von virtuellen Azure-Computern, die sich in geschützten Netzwerken befinden, keinen Zugriff auf IP-Adressen oder FQDNs gewähren.
  • Sichern Sie für Datenbanken auf einem virtuellen Azure-Computer den ausgehenden Zugriff mit den folgenden Netzwerkkonnektivitätsanforderungen für SQL Server, für die SAP HANA-Datenbank auf einem virtuellen Azure-Computer.
  • Bei PaaS-Ressourcen wie PostgreSQL erfolgt die Kommunikation innerhalb des Azure-Netzwerks. Für Workloads (z. B. Azure Files, Azure Disk und Azure Blobs), bei denen die Sicherungsdaten auf der Betriebsebene gespeichert sind, müssen Sie Azure-Diensten in der Liste der vertrauenswürdigen Dienste den Zugriff auf das Speicherkonto in den Netzwerkeinstellungen für das entsprechende Speicherkonto gestatten.
  • Für lokale Workloads, die mit MARS oder MABS geschützt sind, kann Microsoft-Peering für ExpressRoute oder Virtual Private Network (VPN) verwendet werden, um eine Verbindung mit Azure herzustellen. Verwenden Sie privates Peering, wenn Sie private Endpunkte für Backup verwenden. Netzwerkdatenverkehr zwischen virtuellen Netzwerken, die mittels Peering verknüpft sind, bleibt privat.

  Weitere Informationen finden Sie unter

  • Verbinden Sie private Netzwerke.
  • Richten Sie den Zugriff auf Azure-Dienste über das private Netzwerk ein.
  • Verwenden Sie Azure Virtual Network-Diensttags, um Netzwerkzugriffssteuerungen für Backup-Ressourcen in Netzwerksicherheitsgruppen (NSGs) oder Azure Firewall-Instanzen zu definieren.
  • Sicherheitsfeatures für Hybridsicherungen mit Azure Backup.

• Stellen Sie sicher, dass die Sicherungsdaten verschlüsselt sind.

  Standardmäßig werden ruhende Sicherungsdaten mit von der Plattform verwalteten Schlüsseln (PMK) verschlüsselt. Bei tresorbasierten Sicherungen können Sie kundenseitig verwaltete Schlüssel (CMK) verwenden, um die Verschlüsselungsschlüssel selbst zu besitzen und zu verwalten. Darüber hinaus können Sie die Verschlüsselung in der Speicherinfrastruktur mithilfe der Verschlüsselung auf Infrastrukturebene konfigurieren, was zusammen mit der CMK-Verschlüsselung eine doppelte Verschlüsselung ruhender Daten bietet.

  • Mit MARS- oder MABS-Sicherungen können Sie Ihre eigene Passphrase verwenden, um eine End-to-End-Verschlüsselung von Daten zu ermöglichen. Stellen Sie aber sicher, dass die zugehörige Verschlüsselungspassphrase an einem alternativen Speicherort (nicht auf dem Quellcomputer) sicher gespeichert wird, vorzugsweise im Azure Key Vault. Halten Sie alle Passphrasen nach, wenn Sie über mehrere mit den MARS-Agents gesicherte Computer verfügen.
  • Sie können auch verschlüsselte Azure-VMs (mithilfe von Azure Disk Encryption verschlüsselt) und auf Azure-VMs ausgeführte verschlüsselte SQL Server-Instanzen (mit TDE verschlüsselt) sichern, um die End-to-End-Verschlüsselung sicherzustellen.

  Weitere Informationen finden Sie unter

  • Verschlüsselung von Daten im Recovery Services-Tresor mit CMK, PMK und Verschlüsselung auf Infrastrukturebene.
  • Azure Storage-Verschlüsselung für ruhende Daten.
  • Transport Layer Security in Azure Backup.

• Regelmäßiges Überwachen Ihrer Sicherungen

  Verwenden Sie die Überwachungslösungen (z. B. den Sicherungs-Explorer), um Computer in der Organisation zu identifizieren, die nicht durch Azure Backup geschützt sind, sowie Ihre Sicherungselemente, Sicherungsaufträge und Richtlinien zu überwachen. Weitere Informationen finden Sie unter

  • Szenarien zur Überwachung und Berichterstellung.
  • Überwachen von Sicherungen mit dem Sicherungs-Explorer.
  • Überwachen Sie Sicherungsworkloads im Azure-Portal (mithilfe des Recovery Services-Tresors).
  • Überwachen Sie den Sicherungszustand mithilfe von Azure Monitor-Metriken.
  • Benutzerdefinierte Überwachung und Warnungen mithilfe des Log Analytics-Arbeitsbereichs von Azure Monitor.

• Überprüfen Sie Sicherungen regelmäßig, indem Sie Testwiederherstellungen durchführen.

  Führen Sie regelmäßig Datenwiederherstellungstests Ihrer Sicherungen durch, um zu gewährleisten, dass die Sicherungskonfigurationen und die Verfügbarkeit der Sicherungsdaten die Wiederherstellungsanforderungen Ihrer Organisation sowie die erwarteten RTO- und RPO-Anforderungen erfüllen. Definieren Sie Ihre Strategie für die Sicherungswiederherstellungstests so, dass Umfang der und Häufigkeit der Durchführung von Testwiederherstellungen festgelegt sind.

• Vergewissern Sie sich, dass das vorläufige Löschen aktiviert ist, um Sicherungen vor versehentlichem oder böswilligem Löschen zu schützen.

  Das vorläufige Löschen ist ein nützliches Feature, das Sie bei der Vermeidung von Datenverlusten unterstützt. Beim vorläufigen Löschen werden Sicherungsdaten 14 Tage lang beibehalten, sodass das Sicherungselement wiederhergestellt werden kann, bevor es dauerhaft verloren geht. Weitere Informationen finden Sie unter Aktivieren, Verwalten und Deaktivieren des vorläufigen Löschens für Azure Backup.

• Stellen Sie sicher, dass die Multi-User-Autorisierung (MUA) für eine zusätzliche Schutzebene aktiviert ist.

  MUA für Azure Backup verwendet eine neue Ressource namens Resource Guard, um sicherzustellen, dass kritische Vorgänge wie das Deaktivieren des vorläufigen Löschens, das Beenden und Löschen von Sicherungen oder das Reduzieren der Aufbewahrung von Sicherungsrichtlinien nur mit geeigneter Autorisierung ausgeführt werden.

  Weitere Informationen finden Sie unter

  • Funktionsweise von MUA mit Resource Guard
  • Stellen Sie Just-In-Time-Zugriff auf Resource Guard mit Privileged Identity Management bereit.

Wenn die Sicherung auf dem Quellsystem aktiviert wurde und Sicherungen vor dem Angriffspunkt fehlerfrei sind, sollten Sie die folgenden Aktionen in Betracht ziehen:

• Überprüfen Sie den Incidentzeitplan, um die Auswirkungen auf Produktionsworkloads zu schätzen.
• Identifizieren Sie den letzten bereinigten Wiederherstellungspunkt, der vor den Auswirkungen erstellt wurde.
• Überprüfen Sie die Aufbewahrungsdauer der vorhandenen Wiederherstellungspunkte. Wenn für die Wiederherstellung nach einem Angriff mehr Zeit erforderlich ist, sollten Sie erwägen, die Aufbewahrungsdauer in der Sicherungsrichtlinie zu verlängern.
• Führen Sie die Wiederherstellung in einem isolierten und sicheren Netzwerk durch.
• Führen Sie Wiederherstellungen für kleinere Sätze von Daten (z. B. Wiederherstellung auf Elementebene) durch, um fehlerfreie Wiederherstellungspunkte sicherzustellen.
• Überprüfen Sie die wiederhergestellten Daten auf Anzeichen einer Infektion, um sicherzustellen, dass sie nicht kompromittiert sind.
• Sobald bestätigt ist, dass die Daten bereinigt sind, verwenden Sie sie für das Produktionssystem.
• Stellen Sie nach Abschluss sicher, dass die Sicherungen für die wiederhergestellten Workloads konfiguriert und fehlerfrei sind.
• Identifizieren Sie Lücken, um zu überprüfen, wo der Prozess nicht wie erwartet funktioniert hat. Finden Sie Möglichkeiten zur Verbesserung des Prozesses.

Nein, der infizierte Wiederherstellungspunkt (d. h. die gesicherten Daten mit den infizierten Daten) kann sich nicht auf vorherige, nicht infizierte Wiederherstellungspunkte auswirken.

Wenn Sie im Falle einer Auswirkung mehr Zeit zum Untersuchen und Wiederherstellen benötigen, können Sie das Ablaufdatum verlängern, um sicherzustellen, dass die Wiederherstellungspunkte nicht (gemäß Richtlinie) bereinigt werden. Erfahren Sie mehr, damit sie nicht durch die Aufbewahrungsrichtlinie gelöscht werden.