Eliminación temporal de Azure Backup

Cada vez es mayor la preocupación que generan problemas de seguridad como malware, ransomware e intrusión. Estos problemas de seguridad pueden ser costosos, en términos de dinero y datos. Para protegerse contra dichos ataques, Azure Backup proporciona características de seguridad que protegen los datos de las copias de seguridad incluso después de su eliminación.

Una de estas características es la eliminación temporal. Con la eliminación temporal, aunque un actor malintencionado elimine una copia de seguridad (o se eliminen por accidente datos de copia de seguridad), los datos de copia de seguridad se conservan durante 14 días adicionales, lo que permite la recuperación de ese elemento de copia de seguridad sin pérdida de datos. La retención adicional de 14 días de los datos de copia de seguridad con el estado de "eliminación temporal" no tiene costo alguno para el cliente.

La protección de eliminación temporal está disponible para estos servicios:

• Eliminación temporal de máquinas virtuales de Azure
• Eliminación temporal de servidores SQL Server en máquinas virtuales de Azure y de instancias de SAP HANA en cargas de trabajo de máquinas virtuales de Azure

En este diagrama de flujo se explican los diferentes pasos y estados de un elemento de copia de seguridad cuando se habilita la eliminación temporal:

Habilitación y deshabilitación de la eliminación temporal

La eliminación temporal se habilita de forma predeterminada en los almacenes recién creados para proteger los datos de copia de seguridad de eliminaciones accidentales o malintencionadas. No se recomienda deshabilitar esta característica. La única circunstancia en la que debe considerar la posibilidad de deshabilitar la eliminación temporal es si está planeando mover los elementos protegidos a un nuevo almacén y no puede esperar los 14 días necesarios para realizar la acción de eliminar y volver a proteger (por ejemplo, en un entorno de prueba).

Para deshabilitar la eliminación temporal en un almacén, debe tener el rol Colaborador de copia de seguridad para ese almacén (debe tener permisos para realizar la operación Microsoft.RecoveryServices/Vaults/backupconfig/write en el almacén). Si se deshabilita, todas las eliminaciones posteriores de elementos protegidos se convertirán en eliminaciones inmediatas, sin la posibilidad de restaurar. Los datos de copia de seguridad que se encuentren en estado de eliminación temporal antes de deshabilitar esta característica permanecerán en ese estado durante el período de 14 días. Si quiere eliminarlos permanentemente de inmediato, debe recuperarlos y eliminarlos de nuevo para eliminarlos de forma permanente.

Es importante recordar que una vez deshabilitada la eliminación temporal, la característica se deshabilita para todos los tipos de cargas de trabajo. Por ejemplo, no es posible deshabilitar la eliminación temporal solo en servidores SQL Server o bases de SAP HANA si está habilitada al mismo tiempo en máquinas virtuales del mismo almacén. Puede crear almacenes independientes para llevar a cabo un control granular.

Sugerencia

Para recibir alertas o notificaciones cuando un usuario de la organización deshabilita la eliminación temporal para un almacén, use alertas de Azure Monitor para Azure Backup. Como la deshabilitación de la eliminación temporal es una operación potencialmente destructiva, se recomienda usar el sistema de alertas para este escenario para supervisar todas estas operaciones y realizar acciones en las operaciones no deseadas.

Nota

• También puede usar la autorización multiusuario (MUA) para agregar una capa adicional de protección contra la deshabilitación de la eliminación temporal. Más información.
• Actualmente, MUA para la eliminación temporal solo se admite para almacenes de Recovery Services.

Eliminación temporal Always-on con retención ampliada

La eliminación temporal está habilitada en todos los almacenes recién creados de forma predeterminada. El estado de eliminación temporal Always-on es una característica de participación. Una vez habilitada, no se puede deshabilitar (irreversible).

Además, puede ampliar la duración de la retención para los datos de copia de seguridad eliminados, de 14 a 180 días. De manera predeterminada, la duración de la retención se establece en 14 días (según la eliminación temporal básica) para el almacén y puede ampliarla según sea necesario. La eliminación temporal no tiene costo durante los primeros 14 días de retención; sin embargo, se le cobra por el período más allá de 14 días. Más información sobre precios.

Deshabilitación de la eliminación temporal con Azure Portal

Para deshabilitar la eliminación temporal, siga estos pasos:

1. En Azure Portal, vaya a su almacén y luego a Configuración ->Propiedades.
2. En el panel "Propiedades", seleccione Configuración de seguridad ->Actualizar.
3. En el panel Configuración de seguridad, en Eliminación temporal, seleccione Deshabilitar.

Deshabilitación de la eliminación temporal con Azure PowerShell

Importante

La versión de Az.RecoveryServices necesaria para usar la eliminación temporal con Azure PowerShell es, como mínimo, la 2.2.0. Use Install-Module -Name Az.RecoveryServices -Force para obtener la versión más reciente.

Para deshabilitar, use el cmdlet de PowerShell Set-AzRecoveryServicesVaultBackupProperty.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Deshabilitación de la eliminación temporal con API REST

Para deshabilitar la funcionalidad de eliminación temporal mediante la API REST, consulte los pasos mencionados aquí.

Eliminar permanentemente los elementos de copia de seguridad eliminados temporalmente

Los datos de copia de seguridad con el estado de eliminación temporal antes de deshabilitar esta característica continuarán en ese estado. Si quiere eliminarlos de permanentemente de inmediato, restáurelos y vuelva a eliminarlos para eliminarlos de forma permanente.

Uso de Azure Portal

Siga estos pasos:

1. Siga los pasos para deshabilitar la eliminación temporal.

2. En Azure Portal, vaya al almacén, a Elementos de copia de seguridad y elija el elemento eliminado temporalmente.

   

3. Seleccione la opción Recuperar.

   

4. Se mostrará una ventana. Seleccione Recuperar.

   

5. Elija Eliminar datos de la copia de seguridad para eliminar los datos de copia de seguridad de forma permanente.

   

6. Escriba el nombre del elemento de copia de seguridad para confirmar que desea eliminar los puntos de recuperación.

   

7. Para eliminar los datos de copia de seguridad para el elemento, seleccione Eliminar. Un mensaje de notificación le confirma que se han eliminado los datos de copia de seguridad.

Uso de Azure PowerShell

Si los elementos se eliminaron antes de deshabilitar la eliminación temporal, estarán en un estado de eliminación temporal. Para eliminarlos de inmediato, la operación de eliminación debe invertirse y volver a ejecutarse.

Identifique los elementos que se encuentran en estado de eliminación temporal.

Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}

Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted

$myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1

A continuación, invierta la operación de eliminación que se realizó cuando la eliminación temporal estaba habilitada.

Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2

Dado que la eliminación temporal ahora está deshabilitada, la operación de eliminación producirá la eliminación inmediata de los datos de la copia de seguridad.

Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb

Uso de la API de REST

Si los elementos se eliminaron antes de deshabilitar la eliminación temporal, estarán en un estado de eliminación temporal. Para eliminarlos de inmediato, la operación de eliminación debe invertirse y volver a ejecutarse.

1. En primer lugar, deshaga las operaciones de eliminación con los pasos mencionados aquí.
2. Después, deshabilite la funcionalidad de eliminación temporal mediante la API REST siguiendo los pasos mencionados aquí.
3. Después, elimine las copias de seguridad mediante la API REST, como se mencionó aquí.

Preguntas más frecuentes

¿Es necesario habilitar la característica de eliminación temporal en cada almacén?

No, es una característica integrada y se habilita de manera predeterminada para todos los almacenes de Recovery Services.

¿Se puede configurar el número de días durante los que se conservarán los datos en estado de eliminación temporal tras completar la operación de eliminación?

No, este periodo está fijado en 14 días de retención adicional después de la operación de eliminación.

¿Hay que pagar el costo de esta retención adicional de 14 días?

No, esta retención adicional de 14 días es gratuita como parte de la funcionalidad de eliminación temporal.

¿Puedo realizar una operación de restauración si los datos están en estado de eliminación temporal?

No, debe recuperar el recurso eliminado temporalmente para poder restaurarlo. La operación de recuperación devolverá el recurso al estado Detener la protección con conservación de datos, donde puede realizar la restauración a cualquier momento dado. El recolector de elementos no utilizados permanece en pausa en este estado.

¿Las instantáneas seguirán el mismo ciclo de vida que los puntos de recuperación en el almacén?

Sí.

¿Cómo puedo volver a desencadenar las copias de seguridad programadas para un recurso eliminado temporalmente?

La recuperación seguida de una operación de reanudación volverá a proteger el recurso. La operación de reanudación asocia una directiva de copia de seguridad para desencadenar las copias de seguridad programadas con el período de retención seleccionado. Además, el recolector de elementos no utilizados se ejecuta tan pronto como se completa la operación de reanudación. Si desea realizar una restauración desde un punto de recuperación que supere su fecha de expiración, le recomendamos que lo haga antes de desencadenar la operación de reanudación.

¿Puedo eliminar mi almacén si contiene elementos eliminados temporalmente?

No es posible eliminar el almacén de Recovery Services si contiene elementos de copia de seguridad en estado de eliminación temporal. Los elementos eliminados temporalmente se eliminan de forma permanente 14 días después de la operación de eliminación. Si no puede esperar 14 días, deshabilite la eliminación temporal, recupere los elementos eliminados temporalmente y elimínelos de nuevo para eliminarlos de forma permanente. Después de asegurarse de que no hay elementos protegidos o eliminados temporalmente en el almacén, puede eliminarlo.

¿Puedo eliminar los datos antes del período de eliminación temporal de 14 días posterior a la eliminación?

No. No se puede forzar la eliminación de los elementos eliminados temporalmente. Se eliminarán de manera automática después de 14 días. Esta característica de seguridad está habilitada para proteger los datos de copia de seguridad de eliminaciones accidentales o malintencionadas. Debe esperar 14 días antes de realizar cualquier otra acción en el elemento. Los elementos eliminados temporalmente no se cobrarán. Si tiene que volver a proteger los elementos marcados para eliminación temporal en un plazo de 14 días en un almacén nuevo, póngase en contacto con Soporte técnico de Microsoft.

¿Se pueden realizar operaciones de eliminación temporal en PowerShell o la CLI?

Las operaciones de eliminación temporal se pueden realizar mediante PowerShell. Actualmente, no se admite la CLI.

Pasos siguientes

• Introducción a las características de seguridad de Azure Backup