Preguntas más frecuentes: Protección de copias de seguridad frente a ransomware

En este artículo se responden preguntas comunes sobre cómo proteger las copias de seguridad contra ransomware con servicio de Azure Backup.

¿Cuáles son los procedimientos recomendados para configurar y proteger Azure Backups frente a amenazas de seguridad y ransomware?

Los datos de copia de seguridad que están almacenados de forma segura en un recurso de Azure llamado Almacén de Recovery Services o Almacén de Backup están aislados. Este almacén es una entidad de administración, cualquier aplicación o invitado no tiene acceso directo a estas copias de seguridad, por lo que impide que actores malintencionados realicen operaciones destructivas en el almacenamiento de copia de seguridad, como eliminaciones o manipulación de datos de copia de seguridad.

Las prácticas siguientes protegen las copias de seguridad frente a amenazas de seguridad y ransomware:

• Administre el acceso para hacer una copia de seguridad de los recursos mediante el control de acceso basado en rol (RBAC de Azure) de Azure.

  • Azure Backup permite separar las tareas dentro del equipo para conceder solo la cantidad de acceso necesaria para que los miembros del equipo realicen su trabajo mediante el control de acceso basado en rol de Azure (RBAC de Azure) para administrar Azure Backup.
  • Use Privileged Identity Management para proporcionar una activación de rol basada en el tiempo y en la aprobación para mitigar los riesgos de permisos excesivos, innecesarios o mal utilizados. Más información.

• Asegúrese de que la eliminación temporal está habilitada para proteger las copias de seguridad frente a eliminaciones accidentales o malintencionadas

  La eliminación temporal está habilitada de manera predeterminada en un almacén de Recovery Services recién creado. Protege los datos de copia de seguridad de eliminaciones accidentales o malintencionadas durante 14 días sin costo adicional, lo que permite la recuperación de ese elemento de copia de seguridad antes de que se pierda permanentemente. Se recomienda no deshabilitar esta característica. Si las copias de seguridad se eliminan y la eliminación temporal no está habilitada, usted o Microsoft no pueden recuperar los datos de copia de seguridad eliminados. Use la autorización multiusuario (MUA) como capa adicional de protección para estas operaciones críticas en el almacén de Recovery Services para validar la operación antes de deshabilitar esta característica. Para obtener más información, consulte ¿Cómo habilitar, administrar y cuándo deshabilitar la eliminación temporal para Azure Backup?

  También se recomienda usar la autorización multiusuario (MUA) para proteger las operaciones críticas en el almacén de Recovery Services.

• Asegúrese de que la autorización multiusuario (MUA) esté habilitada para protegerse frente a escenarios de administración no autorizados.

  MUA para Azure Backup usa un nuevo recurso denominado Resource Guard para garantizar que las operaciones críticas, como deshabilitar la eliminación temporal, detener y eliminar copias de seguridad o reducir la retención de directivas de copia de seguridad, solo se realizan con la autorización aplicable. Para más información, consulte:

  • ¿Cómo funciona MUA mediante Resource Guard?
  • Proporcione acceso Just-In-Time en Resource Guard mediante Privileged Identity Management.

• Configure alertas y notificaciones para las operaciones críticas de copia de seguridad.

  Azure Backup proporciona varias funcionalidades de supervisión y notificación para una amplia gama de escenarios. Asegúrese de que estén configurados correctamente para las alertas y las acciones necesarias a tiempo. Más información

  Se recomienda usar Azure Monitor for Alerts para recibir alertas o notificaciones sobre operaciones críticas.

• Asegúrese de que la conectividad de red entre los servicios de copia de seguridad y las cargas de trabajo sea segura.

  • En el caso de la máquina virtual de Azure, los datos en tránsito permanecen en la red troncal de Azure sin necesidad de acceder a la red virtual. Por lo tanto, la copia de seguridad de las máquinas virtuales de Azure colocadas dentro de redes protegidas no requiere que permita el acceso a direcciones IP ni nombres de dominio completo.
  • En el caso de las bases de datos de máquinas virtuales de Azure, proteja el acceso saliente con los siguientes requisitos de conectividad de red para SQL Server, para base de datos de SAP HANA de datos en máquina virtual de Azure.
  • En el caso de los recursos de PaaS, como PostgreSQL, la comunicación se produce dentro de la red de Azure. En el caso de las cargas de trabajo (como Azure Files, Azure Disk y Azure Blobs) en las que los datos de copia de seguridad se almacenan en el nivel operativo, debe permitir que los servicios de Azure de la lista de servicios de confianza accedan a la cuenta de almacenamiento de la Configuración de red para la cuenta de almacenamiento correspondiente.
  • En el caso de las cargas de trabajo locales protegidas mediante MARS o MABS, puede usar el emparejamiento de Microsoft para ExpressRoute o Virtual Private Network (VPN) para conectarse a Azure. Use el emparejamiento privado al usar puntos de conexión privados para Backup. El tráfico de red entre redes virtuales emparejadas sigue siendo privado.

  Para más información, consulte:

  • Conexión conjunta de redes privadas.
  • Establecimiento del acceso de red privada a los servicios de Azure.
  • Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red para los recursos de Backup en los grupos de seguridad de red o las instancias de Azure Firewall.
  • Características de seguridad para copias de seguridad híbridas que usan Azure Backup.

• Asegúrese de que los datos de copia de seguridad están cifrados.

  De manera predeterminada, los datos de copia de seguridad en reposo se cifran mediante claves administradas por la plataforma (PMK). Para las copias de seguridad en almacén, puede elegir usar claves administradas por el cliente (CMK) para poseer y administrar las claves de cifrado usted mismo. Además, puede configurar el cifrado en la infraestructura de almacenamiento mediante el cifrado de nivel de infraestructura, que junto con el cifrado de CMK proporciona el cifrado doble de datos en reposo.

  • La copia de seguridad de MARS o MABS permite usar su propia frase de contraseña para permitir el cifrado de datos de un extremo a otro. Sin embargo, asegúrese de que la frase de contraseña de cifrado asociada se almacene de forma segura en una ubicación alternativa (que no sea la máquina de origen), preferiblemente en Azure Key Vault. Realice un seguimiento de todas las frases de contraseña, si tiene copias de seguridad de varias máquinas con los agentes de MARS.
  • También puede realizar copias de seguridad de máquinas virtuales de Azure cifradas (cifradas mediante Azure Disk Encryption) y servidores SQL cifrados que se ejecutan en máquinas virtuales de Azure (cifradas mediante TDE) para garantizar el cifrado de un extremo a otro.

  Para más información, consulte:

  • Cifrado de datos en el almacén de Recovery Services mediante CMK, PMK, cifrado de nivel de infraestructura.
  • Cifrado de Azure Storage para datos en reposo.
  • Seguridad de la capa de transporte en Azure Backup.

• Supervisión periódica de las copias de seguridad

  Use las soluciones de supervisión (por ejemplo, Explorador de Backup) para identificar las máquinas de la organización que no están protegidas por Azure Backup, supervisar los elementos de copia de seguridad, los trabajos de copia de seguridad y las directivas. Para más información, consulte:

  • Escenarios de supervisión y creación de informes.
  • Supervisión de las copias de seguridad con el Explorador de Backup.
  • Supervise las cargas de trabajo de copia de seguridad Azure Portal (mediante el almacén de Recovery Services).
  • Supervise el estado de la copia de seguridad mediante las métricas de Azure Monitor.
  • Supervisión y alertas personalizadas mediante el área de trabajo de Log Analytics de Azure Monitor.

• Valide las copias de seguridad periódicamente mediante la realización de restauraciones de prueba.

  Realice periódicamente pruebas de recuperación de datos de las copias de seguridad para comprobar que las configuraciones y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación de su organización y los requisitos de RPO y RTO esperados. Defina la estrategia de prueba de recuperación de copia de seguridad para incluir el ámbito de la recuperación de pruebas y la frecuencia para realizar una recuperación de prueba.

¿Cómo bloquear la eliminación intencionada o involuntaria de los datos de copia de seguridad?

• Habilitar eliminación temporal está habilitado para proteger las copias de seguridad de eliminaciones accidentales o malintencionadas.

  La eliminación temporal es una característica útil que le ayuda a tratar con la pérdida de datos. La eliminación temporal conserva los datos de copia de seguridad durante 14 días, lo que permite la recuperación de ese elemento de copia de seguridad antes de que se pierda permanentemente. Para más información, consulte ¿Cómo habilitar, administrar y deshabilitar la eliminación temporal de Azure Backup?

• Asegúrese de que la autorización multiusuario (MUA) está habilitada para una capa adicional de protección.

  MUA para Azure Backup usa un nuevo recurso denominado Resource Guard para garantizar que las operaciones críticas, como deshabilitar la eliminación temporal, detener y eliminar copias de seguridad o reducir la retención de directivas de copia de seguridad, solo se realizan con la autorización aplicable.

  Para más información, consulte:

  • Funcionamiento de MUA con Resource Guard
  • Proporcione acceso Just-In-Time en Resource Guard mediante Privileged Identity Management.

¿Cómo restaurar un sistema afectado por ransomware?

Si la copia de seguridad se habilitó en el sistema de origen y las copias de seguridad son correctas antes del punto de ataque, tenga en cuenta las siguientes acciones:

• Revise la escala de tiempo del incidente para calcular el impacto en las cargas de trabajo de producción.
• Identifique el último punto de recuperación limpio creado antes del impacto.
• Revise la duración de retención de los puntos de recuperación existentes. Si se necesita más tiempo para restaurar desde un ataque, considere la posibilidad de ampliar la duración de retención en la directiva de copia de seguridad.
• Realice la recuperación en una red aislada y segura.
• Realice restauraciones en conjuntos de datos más pequeños (por ejemplo, recuperación de nivel de elemento) para garantizar puntos de recuperación correctos.
• Escanee los datos restaurados en busca de signos de infección para asegurarse de que no estén comprometidos.
• Una vez que se compruebe que los datos están limpios, utilícelos para el sistema de producción.
• Una vez completadas, asegúrese de que las copias de seguridad están configuradas y en buen estado en las cargas de trabajo recuperadas.
• Identifique las brechas para comprobar dónde el proceso no ha funcionado según lo previsto. Busque oportunidades para mejorar el proceso.

¿Afectará una copia de seguridad infectado a los puntos de recuperación limpios existentes?

No, el punto de recuperación infectado (es decir, los datos de copia de seguridad que contienen datos infectados) no se puede propagar a puntos de recuperación no infectados anteriores.

¿Cómo puedo ampliar la expiración de los puntos de recuperación en caso de impacto?

Si necesita más tiempo para investigar y recuperar en caso de impacto, puede ampliar la expiración para asegurarse de que los puntos de recuperación no se limpian (según la directiva). Obtenga más información para que no se eliminen mediante la directiva de retención.

En este artículo se responden preguntas comunes sobre cómo proteger las copias de seguridad contra ransomware con servicio de Azure Backup.

Los datos de copia de seguridad que están almacenados de forma segura en un recurso de Azure llamado Almacén de Recovery Services o Almacén de Backup están aislados. Este almacén es una entidad de administración, cualquier aplicación o invitado no tiene acceso directo a estas copias de seguridad, por lo que impide que actores malintencionados realicen operaciones destructivas en el almacenamiento de copia de seguridad, como eliminaciones o manipulación de datos de copia de seguridad.

Las prácticas siguientes protegen las copias de seguridad frente a amenazas de seguridad y ransomware:

• Administre el acceso para hacer una copia de seguridad de los recursos mediante el control de acceso basado en rol (RBAC de Azure) de Azure.

  • Azure Backup permite separar las tareas dentro del equipo para conceder solo la cantidad de acceso necesaria para que los miembros del equipo realicen su trabajo mediante el control de acceso basado en rol de Azure (RBAC de Azure) para administrar Azure Backup.
  • Use Privileged Identity Management para proporcionar una activación de rol basada en el tiempo y en la aprobación para mitigar los riesgos de permisos excesivos, innecesarios o mal utilizados. Más información.

• Asegúrese de que la eliminación temporal está habilitada para proteger las copias de seguridad frente a eliminaciones accidentales o malintencionadas

  La eliminación temporal está habilitada de manera predeterminada en un almacén de Recovery Services recién creado. Protege los datos de copia de seguridad de eliminaciones accidentales o malintencionadas durante 14 días sin costo adicional, lo que permite la recuperación de ese elemento de copia de seguridad antes de que se pierda permanentemente. Se recomienda no deshabilitar esta característica. Si las copias de seguridad se eliminan y la eliminación temporal no está habilitada, usted o Microsoft no pueden recuperar los datos de copia de seguridad eliminados. Use la autorización multiusuario (MUA) como capa adicional de protección para estas operaciones críticas en el almacén de Recovery Services para validar la operación antes de deshabilitar esta característica. Para obtener más información, consulte ¿Cómo habilitar, administrar y cuándo deshabilitar la eliminación temporal para Azure Backup?

  También se recomienda usar la autorización multiusuario (MUA) para proteger las operaciones críticas en el almacén de Recovery Services.

• Asegúrese de que la autorización multiusuario (MUA) esté habilitada para protegerse frente a escenarios de administración no autorizados.

  MUA para Azure Backup usa un nuevo recurso denominado Resource Guard para garantizar que las operaciones críticas, como deshabilitar la eliminación temporal, detener y eliminar copias de seguridad o reducir la retención de directivas de copia de seguridad, solo se realizan con la autorización aplicable. Para más información, consulte:

  • ¿Cómo funciona MUA mediante Resource Guard?
  • Proporcione acceso Just-In-Time en Resource Guard mediante Privileged Identity Management.

• Configure alertas y notificaciones para las operaciones críticas de copia de seguridad.

  Azure Backup proporciona varias funcionalidades de supervisión y notificación para una amplia gama de escenarios. Asegúrese de que estén configurados correctamente para las alertas y las acciones necesarias a tiempo. Más información

  Se recomienda usar Azure Monitor for Alerts para recibir alertas o notificaciones sobre operaciones críticas.

• Asegúrese de que la conectividad de red entre los servicios de copia de seguridad y las cargas de trabajo sea segura.

  • En el caso de la máquina virtual de Azure, los datos en tránsito permanecen en la red troncal de Azure sin necesidad de acceder a la red virtual. Por lo tanto, la copia de seguridad de las máquinas virtuales de Azure colocadas dentro de redes protegidas no requiere que permita el acceso a direcciones IP ni nombres de dominio completo.
  • En el caso de las bases de datos de máquinas virtuales de Azure, proteja el acceso saliente con los siguientes requisitos de conectividad de red para SQL Server, para base de datos de SAP HANA de datos en máquina virtual de Azure.
  • En el caso de los recursos de PaaS, como PostgreSQL, la comunicación se produce dentro de la red de Azure. En el caso de las cargas de trabajo (como Azure Files, Azure Disk y Azure Blobs) en las que los datos de copia de seguridad se almacenan en el nivel operativo, debe permitir que los servicios de Azure de la lista de servicios de confianza accedan a la cuenta de almacenamiento de la Configuración de red para la cuenta de almacenamiento correspondiente.
  • En el caso de las cargas de trabajo locales protegidas mediante MARS o MABS, puede usar el emparejamiento de Microsoft para ExpressRoute o Virtual Private Network (VPN) para conectarse a Azure. Use el emparejamiento privado al usar puntos de conexión privados para Backup. El tráfico de red entre redes virtuales emparejadas sigue siendo privado.

  Para más información, consulte:

  • Conexión conjunta de redes privadas.
  • Establecimiento del acceso de red privada a los servicios de Azure.
  • Use etiquetas de servicio de Azure Virtual Network para definir controles de acceso a la red para los recursos de Backup en los grupos de seguridad de red o las instancias de Azure Firewall.
  • Características de seguridad para copias de seguridad híbridas que usan Azure Backup.

• Asegúrese de que los datos de copia de seguridad están cifrados.

  De manera predeterminada, los datos de copia de seguridad en reposo se cifran mediante claves administradas por la plataforma (PMK). Para las copias de seguridad en almacén, puede elegir usar claves administradas por el cliente (CMK) para poseer y administrar las claves de cifrado usted mismo. Además, puede configurar el cifrado en la infraestructura de almacenamiento mediante el cifrado de nivel de infraestructura, que junto con el cifrado de CMK proporciona el cifrado doble de datos en reposo.

  • La copia de seguridad de MARS o MABS permite usar su propia frase de contraseña para permitir el cifrado de datos de un extremo a otro. Sin embargo, asegúrese de que la frase de contraseña de cifrado asociada se almacene de forma segura en una ubicación alternativa (que no sea la máquina de origen), preferiblemente en Azure Key Vault. Realice un seguimiento de todas las frases de contraseña, si tiene copias de seguridad de varias máquinas con los agentes de MARS.
  • También puede realizar copias de seguridad de máquinas virtuales de Azure cifradas (cifradas mediante Azure Disk Encryption) y servidores SQL cifrados que se ejecutan en máquinas virtuales de Azure (cifradas mediante TDE) para garantizar el cifrado de un extremo a otro.

  Para más información, consulte:

  • Cifrado de datos en el almacén de Recovery Services mediante CMK, PMK, cifrado de nivel de infraestructura.
  • Cifrado de Azure Storage para datos en reposo.
  • Seguridad de la capa de transporte en Azure Backup.

• Supervisión periódica de las copias de seguridad

  Use las soluciones de supervisión (por ejemplo, Explorador de Backup) para identificar las máquinas de la organización que no están protegidas por Azure Backup, supervisar los elementos de copia de seguridad, los trabajos de copia de seguridad y las directivas. Para más información, consulte:

  • Escenarios de supervisión y creación de informes.
  • Supervisión de las copias de seguridad con el Explorador de Backup.
  • Supervise las cargas de trabajo de copia de seguridad Azure Portal (mediante el almacén de Recovery Services).
  • Supervise el estado de la copia de seguridad mediante las métricas de Azure Monitor.
  • Supervisión y alertas personalizadas mediante el área de trabajo de Log Analytics de Azure Monitor.

• Valide las copias de seguridad periódicamente mediante la realización de restauraciones de prueba.

  Realice periódicamente pruebas de recuperación de datos de las copias de seguridad para comprobar que las configuraciones y la disponibilidad de los datos de copia de seguridad satisfacen las necesidades de recuperación de su organización y los requisitos de RPO y RTO esperados. Defina la estrategia de prueba de recuperación de copia de seguridad para incluir el ámbito de la recuperación de pruebas y la frecuencia para realizar una recuperación de prueba.

• Habilitar eliminación temporal está habilitado para proteger las copias de seguridad de eliminaciones accidentales o malintencionadas.

  La eliminación temporal es una característica útil que le ayuda a tratar con la pérdida de datos. La eliminación temporal conserva los datos de copia de seguridad durante 14 días, lo que permite la recuperación de ese elemento de copia de seguridad antes de que se pierda permanentemente. Para más información, consulte ¿Cómo habilitar, administrar y deshabilitar la eliminación temporal de Azure Backup?

• Asegúrese de que la autorización multiusuario (MUA) está habilitada para una capa adicional de protección.

  MUA para Azure Backup usa un nuevo recurso denominado Resource Guard para garantizar que las operaciones críticas, como deshabilitar la eliminación temporal, detener y eliminar copias de seguridad o reducir la retención de directivas de copia de seguridad, solo se realizan con la autorización aplicable.

  Para más información, consulte:

  • Funcionamiento de MUA con Resource Guard
  • Proporcione acceso Just-In-Time en Resource Guard mediante Privileged Identity Management.

Si la copia de seguridad se habilitó en el sistema de origen y las copias de seguridad son correctas antes del punto de ataque, tenga en cuenta las siguientes acciones:

• Revise la escala de tiempo del incidente para calcular el impacto en las cargas de trabajo de producción.
• Identifique el último punto de recuperación limpio creado antes del impacto.
• Revise la duración de retención de los puntos de recuperación existentes. Si se necesita más tiempo para restaurar desde un ataque, considere la posibilidad de ampliar la duración de retención en la directiva de copia de seguridad.
• Realice la recuperación en una red aislada y segura.
• Realice restauraciones en conjuntos de datos más pequeños (por ejemplo, recuperación de nivel de elemento) para garantizar puntos de recuperación correctos.
• Escanee los datos restaurados en busca de signos de infección para asegurarse de que no estén comprometidos.
• Una vez que se compruebe que los datos están limpios, utilícelos para el sistema de producción.
• Una vez completadas, asegúrese de que las copias de seguridad están configuradas y en buen estado en las cargas de trabajo recuperadas.
• Identifique las brechas para comprobar dónde el proceso no ha funcionado según lo previsto. Busque oportunidades para mejorar el proceso.

No, el punto de recuperación infectado (es decir, los datos de copia de seguridad que contienen datos infectados) no se puede propagar a puntos de recuperación no infectados anteriores.

Si necesita más tiempo para investigar y recuperar en caso de impacto, puede ampliar la expiración para asegurarse de que los puntos de recuperación no se limpian (según la directiva). Obtenga más información para que no se eliminen mediante la directiva de retención.