Eliminación temporal de Azure Backup

En este artículo se describe cómo habilitar y deshabilitar la característica de eliminación temporal, y eliminar permanentemente los datos que están en estado de eliminación temporal.

Cada vez es mayor la preocupación que generan problemas de seguridad como malware, ransomware e intrusión. Estos problemas de seguridad pueden ser costosos, en términos de dinero y datos. Para protegerse contra dichos ataques, Azure Backup proporciona características de seguridad que protegen los datos de las copias de seguridad incluso después de su eliminación.

Una de estas características es la eliminación temporal. Con la eliminación temporal, aunque un actor malintencionado elimine una copia de seguridad (o se eliminen por accidente datos de copia de seguridad), los datos de copia de seguridad se conservan durante 14 días adicionales, lo que permite la recuperación de ese elemento de copia de seguridad sin pérdida de datos. La retención adicional de 14 días de los datos de copia de seguridad con el estado de "eliminación temporal" no tiene costo alguno para el cliente.

La protección de eliminación temporal está disponible para estos servicios:

• Eliminación temporal de máquinas virtuales de Azure
• Eliminación temporal de servidores SQL Server en máquinas virtuales de Azure y de instancias de SAP HANA en cargas de trabajo de máquinas virtuales de Azure

Ciclo de vida de un elemento de copia de seguridad eliminado temporalmente

En este diagrama de flujo se explican los diferentes pasos y estados de un elemento de copia de seguridad cuando se habilita la eliminación temporal:

Habilitación y deshabilitación de la eliminación temporal

La eliminación temporal se habilita de forma predeterminada en los almacenes recién creados para proteger los datos de copia de seguridad de eliminaciones accidentales o malintencionadas. No se recomienda deshabilitar esta característica. La única circunstancia en la que debe considerar la posibilidad de deshabilitar la eliminación temporal es si está planeando mover los elementos protegidos a un nuevo almacén y no puede esperar los 14 días necesarios para realizar la acción de eliminar y volver a proteger (por ejemplo, en un entorno de prueba).

Para deshabilitar la eliminación temporal en un almacén, debe tener el rol Colaborador de copia de seguridad para ese almacén (debe tener permisos para realizar la operación Microsoft.RecoveryServices/Vaults/backupconfig/write en el almacén). Si se deshabilita, todas las eliminaciones posteriores de elementos protegidos se convertirán en eliminaciones inmediatas, sin la posibilidad de restaurar. Los datos de copia de seguridad que se encuentren en estado de eliminación temporal antes de deshabilitar esta característica permanecerán en ese estado durante el período de 14 días. Si quiere eliminarlos permanentemente de inmediato, debe recuperarlos y eliminarlos de nuevo para eliminarlos de forma permanente.

Es importante recordar que una vez deshabilitada la eliminación temporal, la característica se deshabilita para todos los tipos de cargas de trabajo. Por ejemplo, no es posible deshabilitar la eliminación temporal solo en servidores SQL Server o bases de SAP HANA si está habilitada al mismo tiempo en máquinas virtuales del mismo almacén. Puede crear almacenes independientes para llevar a cabo un control granular.

Sugerencia

Para recibir alertas o notificaciones cuando un usuario de la organización deshabilita la eliminación temporal para un almacén, use alertas de Azure Monitor para Azure Backup. Como la deshabilitación de la eliminación temporal es una operación potencialmente destructiva, se recomienda usar el sistema de alertas para este escenario para supervisar todas estas operaciones y realizar acciones en las operaciones no deseadas.

Nota:

• También puede usar la autorización multiusuario (MUA) para agregar una capa adicional de protección contra la deshabilitación de la eliminación temporal. Más información.
• Actualmente, MUA para la eliminación temporal solo se admite para almacenes de Recovery Services.

Eliminación temporal Always-on con retención ampliada

La eliminación temporal está habilitada en todos los almacenes recién creados de forma predeterminada. El estado de eliminación temporal Always-on es una característica de participación. Una vez habilitada, no se puede deshabilitar (irreversible).

Además, puede ampliar la duración de la retención para los datos de copia de seguridad eliminados, de 14 a 180 días. De manera predeterminada, la duración de la retención se establece en 14 días (según la eliminación temporal básica) para el almacén y puede ampliarla según sea necesario. La eliminación temporal no tiene costo durante los primeros 14 días de retención; sin embargo, se le cobra por el período más allá de 14 días. Más información sobre precios.

Deshabilitación de la eliminación temporal

Puede deshabilitar la característica de eliminación temporal mediante los siguientes clientes admitidos.

Elija un cliente:

Azure Portal

Siga estos pasos:

1. En Azure Portal, vaya a su almacén y, luego, a Configuración>Propiedades.
2. En el panel Propiedades, seleccione Actualización de configuración de seguridad.
3. En el panel Configuración de seguridad y eliminación temporal, desactive las casillas necesarias para deshabilitar la eliminación temporal.

PowerShell

Use el cmdlet Set-AzRecoveryServicesVaultBackupProperty cmdlet.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Importante

La versión de Az.RecoveryServices necesaria para usar la eliminación temporal con Azure PowerShell es, como mínimo, la 2.2.0. Use Install-Module -Name Az.RecoveryServices -Force para obtener la versión más reciente.

REST API

Para deshabilitar la funcionalidad de eliminación temporal mediante la API de REST, consulte estos pasos.

Eliminación permanente de elementos de copia de seguridad eliminados temporalmente

Los datos de copia de seguridad en estado de eliminación temporal antes de deshabilitar esta característica permanecen en estado de eliminado temporalmente. Para eliminarlos de forma permanente inmediatamente, vuelva a recuperarlos y a eliminarlos de nuevo. Use uno de los siguientes clientes para eliminar permanentemente los datos eliminados temporalmente.

Elija un cliente:

Azure Portal

Siga estos pasos:

1. Deshabilitar la eliminación temporal.

2. En Azure Portal, vaya a su almacén>Elementos de copia de seguridad, y seleccione el elemento eliminado temporalmente.

   

3. Seleccione Recuperar.

   

4. Aparece una ventana. Seleccione Recuperar.

   

5. Elija Eliminar datos de la copia de seguridad para eliminar los datos de copia de seguridad de forma permanente.

   

6. Escriba el nombre del elemento de copia de seguridad para confirmar la eliminación de los puntos de recuperación.

   

7. Para eliminar los datos de copia de seguridad para el elemento, seleccione Eliminar. Un mensaje de notificación le confirma que se han eliminado los datos de copia de seguridad.

PowerShell

Siga estos pasos:

1. Identifique los elementos que se encuentran en estado de eliminación temporal.

   $vault = Get-AzRecoveryServicesVault -ResourceGroupName "yourResourceGroupName" -Name "yourVaultName"
   Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultID $vault.ID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}
   
   Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
   ----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
   VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted
   
   $myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1
   

2. Invierta la operación de eliminación que se realizó cuando la eliminación temporal estaba habilitada.

   Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2
   

3. Como la eliminación temporal está deshabilitada, la operación de eliminación quita inmediatamente los datos de copia de seguridad.

   Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb
   

REST API

Siga estos pasos:

1. Deshacer las operaciones de eliminación.
2. Deshabilitar la funcionalidad de eliminación temporal mediante la API de REST.
3. Elimine las copias de seguridad mediante la API de REST.

Pasos siguientes

• Introducción a las características de seguridad de Azure Backup
• Preguntas más frecuentes.