Suppression réversible pour la Sauvegarde Azure

Cet article explique comment activer et désactiver la fonctionnalité de suppression réversible, et comment supprimer définitivement des données qui sont dans un état de suppression réversible.

Les préoccupations en matière de risques de sécurité, comme les logiciels malveillants, le ransomware et les intrusions, sont de plus en plus nombreuses. Ces problèmes de sécurité peuvent coûter cher, à la fois en termes d’argent et de données. Pour vous protéger contre ces attaques, Sauvegarde Azure fournit désormais des fonctionnalités de sécurité visant à protéger les données de sauvegarde après la suppression.

Une fonctionnalité de ce type est la suppression réversible. Avec la suppression réversible, même si un intervenant malveillant supprime une sauvegarde (ou même si les données de sauvegarde sont accidentellement supprimées), les données de sauvegarde sont conservées pendant 14 jours supplémentaires, ce qui permet la récupération de cet élément de sauvegarde sans perte de données. La conservation des données de sauvegarde pendant 14 jours supplémentaires à l’état « suppression réversible » n’engendre aucun frais pour vous.

La protection Suppression réversible est disponible pour les services suivants :

• Suppression réversible pour les machines virtuelles Azure
• Suppression réversible pour SQL Server dans les machines virtuelles Azure, et suppression réversible pour SAP HANA dans les charges de travail des machines virtuelles Azure

Cycle de vie d’un élément de sauvegarde ayant fait l’objet d’une suppression réversible

Cet organigramme montre les différentes étapes et états d’un élément de sauvegarde lorsque la suppression réversible est activée :

Activer et désactiver la suppression réversible

La suppression réversible est activée par défaut sur les coffres nouvellement créés pour protéger les données de sauvegarde des suppressions accidentelles ou malveillantes. La désactivation de cette fonctionnalité est déconseillée. La seule circonstance où vous devez envisager la désactivation de la suppression réversible est quand vous vous préparez à déplacer vos éléments protégés vers un nouveau coffre et que vous ne pouvez pas attendre les 14 jours requis avant d’effectuer la suppression et la reprotection (dans un environnement de test, par exemple).

Pour désactiver la suppression réversible dans un coffre, vous devez disposer du rôle Collaborateur de sauvegarde pour ce coffre (vous devez disposer des autorisations nécessaires pour exécuter Microsoft.RecoveryServices/Vaults/backupconfig/write sur le coffre). Si vous désactivez cette fonctionnalité, toutes les suppressions d’éléments protégés à venir entraîneront une suppression immédiate, sans possibilité de restauration. Les données de sauvegarde existant à l’état de suppression réversible avant la désactivation de cette fonctionnalité conservent cet état pendant 14 jours. Si vous souhaitez immédiatement les supprimer définitivement, vous devez en annuler la suppression et les supprimer à nouveau pour les supprimer définitivement.

Il est important de se rappeler qu’une fois la fonctionnalité de suppression réversible désactivée, elle le reste pour tous les types de charge de travail. Par exemple, il n’est plus possible de désactiver la suppression réversible uniquement pour les bases de données SQL Server ou SAP HANA tout en la gardant activée pour les machines virtuelles présentes dans le même coffre. Vous pouvez créer des coffres distincts pour un contrôle plus précis.

Conseil

Pour recevoir des alertes/notifications lorsqu’un utilisateur de l’organisation désactive la suppression réversible pour un coffre, utilisez Alertes Azure Monitor pour Sauvegarde Azure. Étant donné que la désactivation de la suppression réversible est une opération potentiellement destructrice, nous vous recommandons d’utiliser le système d’alerte de ce scénario pour surveiller toutes ces opérations et effectuer des actions sur les opérations inattendues.

Notes

• Vous pouvez également utiliser l’autorisation multi-utilisateur (MUA) pour ajouter une couche de protection supplémentaire contre la désactivation de la suppression réversible. Plus d’informations
• L’autorisation multi-utilisateur n’est actuellement prise en charge que pour les coffres Recovery Services.

Suppression réversible toujours activée avec conservation prolongée

La suppression réversible est activée sur tous les nouveaux coffres par défaut. L’état Suppression réversible toujours activée est une fonctionnalité disponible par abonnement. Une fois activée, cette fonctionnalité ne peut plus être désactivée (elle est irréversible).

Par ailleurs, vous pouvez étendre la durée de conservation des données de sauvegarde supprimées, en spécifiant une durée entre 14 et 180 jours. Par défaut, la durée de conservation est définie sur 14 jours (conformément à la suppression réversible de base) pour le coffre, et vous pouvez l’étendre selon vos besoins. La suppression réversible est gratuite pendant les 14 premiers jours de conservation ; toutefois, vous êtes facturé pour la période au-delà de 14 jours. Apprenez-en davantage sur la tarification.

Désactiver la suppression réversible

Vous pouvez désactiver la fonctionnalité de suppression réversible en utilisant les clients pris en charge suivants.

Choisir un client :

Azure portal

Effectuez les étapes suivantes :

1. Dans le Portail Azure, accédez à votre coffre, puis accédez à Paramètres >Propriétés.
2. Dans le volet Propriétés, sélectionnez Paramètres de sécurité Mettre à jour.
3. Dans le volet Paramètres de sécurité et de suppression réversible, décochez les cases requises pour désactiver la suppression réversible.

PowerShell

Utilisez la cmdlet Set-AzRecoveryServicesVaultBackupProperty.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Important

La version minimale d’Az.RecoveryServices qui permet d’utiliser la suppression réversible à l’aide d’Azure PowerShell est la version 2.2.0. Utilisez Install-Module -Name Az.RecoveryServices -Force pour récupérer la version la plus récente.

REST API

Pour désactiver la fonctionnalité de suppression réversible en utilisant l’API REST, reportez-vous à ces étapes.

Supprimer définitivement des éléments de sauvegarde ayant fait l’objet d’une suppression réversible

Les données de sauvegarde dans l’état de suppression réversible avant la désactivation de cette fonctionnalité conservent cet état. Pour supprimer immédiatement ces éléments de façon définitive, annulez leur suppression, puis supprimez-les à nouveau. Utilisez un des clients suivants pour supprimer définitivement des données supprimées avec une suppression réversible.

Choisir un client :

Azure portal

Effectuez les étapes suivantes :

1. Désactivez la suppression réversible.

2. Dans le portail Azure, accédez à votre coffre>Éléments de sauvegarde, puis choisissez l’élément supprimé de façon réversible.

   

3. Sélectionnez Annuler la suppression.

   

4. Une fenêtre s’affiche. Sélectionnez Annuler la suppression.

   

5. Choisissez Supprimer les données de sauvegarde pour supprimer définitivement les données de sauvegarde.

   

6. Tapez le nom de l’élément de sauvegarde pour confirmer la suppression des points de récupération.

   

7. Pour supprimer les données de sauvegarde relatives à l’élément, sélectionnez Supprimer. Un message de notification vous informe que les données de sauvegarde ont été supprimées.

PowerShell

Effectuez les étapes suivantes :

1. Identifiez les éléments qui sont dans un état de suppression réversible.

   $vault = Get-AzRecoveryServicesVault -ResourceGroupName "yourResourceGroupName" -Name "yourVaultName"
   Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultID $vault.ID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}
   
   Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
   ----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
   VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted
   
   $myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1
   

2. Annulez l’opération de suppression qui a été effectuée quand la suppression réversible était activée.

   Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2
   

3. Quand la suppression réversible est désactivée, l’opération de suppression supprime immédiatement les données de sauvegarde.

   Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb
   

REST API

Effectuez les étapes suivantes :

1. Annuler les opérations de suppression.
2. Désactiver la fonctionnalité de suppression réversible en utilisant l’API REST.
3. Supprimer les sauvegardes en utilisant l’API REST.

Étapes suivantes

• Vue d’ensemble des fonctionnalités de sécurité de Sauvegarde Azure
• Forum aux questions.