Fonctionnalités de sécurité pour la protection des sauvegardes hybrides ayant recours à la Sauvegarde Azure
Les préoccupations en matière de risques de sécurité, comme les logiciels malveillants, le ransomware et les intrusions, sont de plus en plus nombreuses. Ces problèmes de sécurité peuvent coûter cher, à la fois en termes d’argent et de données. Pour vous protéger contre ces attaques, la Sauvegarde Azure fournit désormais des fonctionnalités de sécurité visant à protéger les sauvegardes hybrides. Cet article explique comment activer et tirer parti de ces fonctionnalités pour protéger les charges de travail locales à l’aide du Serveur de sauvegarde Microsoft Azure (MABS), de Data Protection Manager (DPM) et de l’agent Microsoft Azure Recovery Services (MARS). Voici quelques fonctionnalités :
- Prévention. Une couche supplémentaire d’authentification est ajoutée à chaque fois qu’une opération critique (par exemple, Modifier la phrase secrète) est effectuée. Cette validation permet de garantir que ces opérations ne peuvent être effectuées que par les utilisateurs ayant des informations d’identification Azure valides.
- Alertes. Un e-mail de notification est envoyé à l’administrateur de l’abonnement à chaque fois qu’une opération critique (par exemple, Supprimer les données de sauvegarde) est effectuée. Ce courrier électronique garantit que l’utilisateur est rapidement averti de ces actions.
- Récupération. Les données de sauvegarde supprimées sont conservées pendant 14 jours supplémentaires à compter de la date de suppression. Cela garantit la possibilité de les récupérer dans un délai donné afin d’éviter toute perte, même en cas d’attaque. En outre, les points de récupération minimum sont conservés en plus grand nombre pour offrir une protection contre les données corrompues.
Notes
Activez l’autorisation multi-utilisateur sur votre coffre Recovery Services pour ajouter une couche de protection à l’opération critique de désactivation des fonctionnalités de sécurité. En savoir plus.
Version minimale requise
Activez les fonctionnalités de sécurité uniquement si vous utilisez :
- Agent Sauvegarde Azure : version minimale de l’agent 2.0.9052. Une fois que vous avez activé ces fonctionnalités, mettez à niveau la version de l’agent pour effectuer des opérations critiques.
- Serveur de sauvegarde Azure : version minimale de l’agent Sauvegarde Azure 2.0.9052 avec la mise à jour 1 du serveur de sauvegarde Azure.
- System Center Data Protection Manager : version minimale de l’agent Sauvegarde Azure 2.0.9052 avec Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.
Remarque
Veillez à ne pas activer les fonctionnalités de sécurité si vous utilisez la sauvegarde de machine virtuelle IaaS (infrastructure as a service). Actuellement, ces fonctionnalités ne sont pas disponibles pour la sauvegarde de machine virtuelle IaaS et, par conséquent, leur activation n’a pas d’impact.
Activer les fonctionnalités de sécurité
Si vous créez un coffre Recovery Services, vous pouvez utiliser toutes les fonctionnalités de sécurité. Si vous utilisez un coffre existant, activez les fonctionnalités de sécurité en procédant comme suit :
Connectez-vous au portail Azure à l’aide de vos informations d’identification Azure.
Sélectionnez Parcourir, puis entrez Recovery Services.
La liste des archivages de Recovery Services s’affiche. Dans cette liste, sélectionnez un coffre. Le tableau de bord de l’archivage sélectionné s'ouvre.
Dans la liste d’éléments qui s’affiche sous le coffre, sous Paramètres, sélectionnez Propriétés.
Sous Paramètres de sécurité, sélectionnez Mettre à jour.
Le lien de mise à jour ouvre le volet Paramètres de sécurité, qui vous permet de découvrir une courte présentation de ces fonctionnalités et d’activer ces dernières.
Activez les fonctionnalités de sécurité, puis sélectionnez Enregistrer.
Récupérer les données de sauvegarde supprimées
Si le paramètre de fonctionnalités de sécurité est activé, Sauvegarde Azure conserve les données de sauvegarde supprimées pendant 14 jours supplémentaires et ne les supprime pas immédiatement si l’opération Arrêter la sauvegarde avec suppression des données de sauvegarde est effectuée. Pour restaurer ces données dans la période de 14 jours autorisée, procédez comme suit, selon ce que vous utilisez :
Pour les utilisateurs de l’agent Azure Recovery Services :
- Si l’ordinateur sur lequel les sauvegardes étaient effectuées est toujours disponible, protégez à nouveau les sources de données supprimées et utilisez la fonctionnalité Récupération des données sur le même ordinateur d’Azure Recovery Services pour procéder à la récupération à partir de tous les anciens points de récupération.
- Si l’ordinateur n’est pas disponible, utilisez Récupération sur un autre ordinateur pour utiliser un autre ordinateur Azure Recovery Services afin d’obtenir ces données.
Pour les utilisateurs Serveur de sauvegarde Azure :
- Si le serveur sur lequel les sauvegardes étaient effectuées est toujours disponible, protégez à nouveau les sources de données supprimées et utilisez la fonctionnalité Récupérer les données pour effectuer la récupération à partir de tous les anciens points de récupération.
- Si le serveur n’est pas disponible, utilisez Récupérer les données à partir d’un autre serveur de sauvegarde Azure pour utiliser une autre instance de serveur de sauvegarde Azure afin d’obtenir ces données.
Pour les utilisateurs de Data Protection Manager :
- Si le serveur sur lequel les sauvegardes étaient effectuées est toujours disponible, protégez à nouveau les sources de données supprimées et utilisez la fonctionnalité Récupérer les données pour effectuer la récupération à partir de tous les anciens points de récupération.
- Si le serveur n’est pas disponible, sélectionnez Ajouter un serveur DPM externe pour utiliser un autre serveur Data Protection Manager afin d’obtenir ces données.
Empêcher les attaques
Des vérifications ont été ajoutées pour que seuls les utilisateurs valides puissent effectuer diverses opérations. Ces vérifications incluent l’ajout d’une couche d’authentification et la conservation d’une durée de rétention minimale pour la récupération.
Authentification pour exécuter des opérations critiques
Dans le cadre de l’ajout d’une couche d’authentification pour les opérations critiques, vous êtes invité à entrer un code PIN de sécurité lorsque vous exécutez les opérations Arrêter la protection lors de la suppression de données et Changer la phrase secrète pour DPM, MABS et MARS.
De plus, avec MARS version 2.0.9262.0 et ultérieure, les opérations permettant de supprimer un volume de la sauvegarde de fichiers/dossiers MARS, d’ajouter un nouveau paramètre d’exclusion pour un volume existant, de réduire la durée de rétention et de passer à une planification de sauvegarde moins fréquente sont également protégées avec un code PIN de sécurité pour renforcer la sécurité.
Remarque
Actuellement, pour les versions suivantes de DPM et MABS, le code PIN de sécurité est pris en charge pour l'arrêt de la protection lors de la suppression de données dans le stockage en ligne :
- DPM 2016 UR9 ou version ultérieure
- DPM 2019 UR1 ou version ultérieure
- MABS v3 UR1 ou version ultérieure
Pour recevoir ce code PIN :
- Connectez-vous au portail Azure.
- Accédez à Coffre Recovery Services>Paramètres>Propriétés.
- Sous Code PIN de sécurité, sélectionnez Générer. Cela a pour effet d’ouvrir un panneau contenant le code PIN à entrer dans l’interface utilisateur de l’agent Azure Recovery Services. Ce code PIN n’est valide que pendant cinq minutes, après quoi il est généré automatiquement.
Maintenir la durée de rétention minimale
Les vérifications suivantes ont été ajoutées pour garantir qu’il existe toujours un nombre valide de points de récupération disponibles :
- Pour une rétention quotidienne, une rétention de sept jours minimum doit être appliquée.
- Pour une rétention hebdomadaire, une rétention de quatre semaines minimum doit être appliquée.
- Pour une rétention mensuelle, une rétention de trois mois minimum doit être appliquée.
- Pour une rétention annuelle, une rétention d’un an minimum doit être appliquée.
Notifications pour les opérations critiques
Généralement, lorsqu’une opération critique est effectuée, l’administrateur de l’abonnement reçoit une notification électronique contenant les détails de l’opération. Vous pouvez configurer les autres destinataires de ces notifications électroniques sur le portail Azure.
Les fonctionnalités de sécurité mentionnées dans cet article fournissent des mécanismes de défense contre les attaques ciblées. Et surtout, en cas d’attaque, ces fonctionnalités vous permettent de récupérer vos données.
Résoudre les erreurs
| Opération | Détails de l’erreur | Résolution |
|---|---|---|
| Modification de la stratégie | Impossible de modifier la stratégie de sauvegarde. Erreur : Échec de l’opération en cours en raison d’une erreur de service interne [0x29834]. Veuillez réessayer l’opération après un certain temps. Si le problème persiste, contactez le support technique Microsoft. | Cause : Cette erreur apparaît quand les paramètres de sécurité sont activés, que vous essayez de réduire la durée de conservation en deçà des valeurs minimales spécifiées ci-dessus et que vous utilisez une version non prise en charge (les versions prises en charge sont indiquées dans la première remarque de cet article). Action recommandée : Dans ce cas, vous devez définir la période de rétention sur une valeur supérieure à la période de rétention minimale spécifiée (sept jours pour la rétention quotidienne, quatre semaines pour la rétention hebdomadaire, trois semaines pour la rétention mensuelle ou une année pour la rétention annuelle) pour exécuter les mises à jour relatives à la stratégie. Vous pouvez également mettre à jour l’agent de sauvegarde, le serveur de sauvegarde Azure et/ou le correctif cumulatif de DPM pour tirer parti de toutes les mises à jour de sécurité. |
| Modification de la phrase secrète | Le code PIN de sécurité entré est incorrect. (ID : 100130) Indiquez le code PIN de sécurité approprié pour effectuer cette opération. | Cause : Cette erreur se produit lorsque vous entrez un code PIN de sécurité non valide ou qui a expiré lors d’une opération critique (par exemple, la modification de la phrase secrète). Action recommandée : Pour exécuter l’opération, vous devez entrer un code PIN de sécurité valide. Pour obtenir le code PIN, connectez-vous au portail Azure et accédez au coffre Recovery Services > Paramètres > Propriétés > Générer un code PIN de sécurité. Utilisez ce code PIN pour modifier la phrase secrète. |
| Modification de la phrase secrète | Échec de l’opération. ID : 120002 | Cause : Cette erreur apparaît lorsque les paramètres de sécurité sont activés, que vous essayez de modifier la phrase secrète et que vous utilisez une version non prise en charge (les versions valides sont indiquées dans la première remarque de cet article). Action recommandée : Pour modifier la phrase secrète, vous devez commencer par mettre à jour l'agent de sauvegarde vers la version 2.0.9052, le serveur de sauvegarde Azure vers la mise à jour minimale 1 et/ou DPM vers la version minimale DPM 2012 R2 UR12 ou DPM 2016 UR2 (liens de téléchargement disponibles plus bas), puis entrer un code PIN de sécurité valide. Pour obtenir le code PIN, connectez-vous au portail Azure et accédez au coffre Recovery Services > Paramètres > Propriétés > Générer un code PIN de sécurité. Utilisez ce code PIN pour modifier la phrase secrète. |
Prise en charge de l’immuabilité
Quand l’immuabilité de votre coffre Recovery Services est activée, les opérations qui réduisent la rétention des sauvegardes cloud ou suppriment la sauvegarde cloud pour les sources de données locales sont bloquées.
Prise en charge de l’immuabilité pour DPM et MABS
Cette fonctionnalité est prise en charge avec l’agent MARS version 2.0.9250.0 et ultérieure à partir de DPM 2022 UR1 et MABS v4.
Le tableau suivant liste les opérations non autorisées sur DPM connecté à une récupération immuable :
| Opération sur le coffre immuable | Résultat avec DPM 2022 UR1, MABS v4 et le dernier agent MARS. Avec DPM 2022 UR2 ou MABS v4 UR1, vous pouvez sélectionner l’option permettant de conserver les points de récupération en ligne conformément à la stratégie lors de l’arrêt de la protection ou de la suppression d’une source de données d’un groupe de protection dans la console. |
Résultat avec une version antérieure de DPM/MABS et un agent MARS plus ancien |
|---|---|---|
| Supprimer la source de données du groupe de protection configuré pour la sauvegarde en ligne | 81001 : Impossible de supprimer le ou les éléments de sauvegarde, car ils possèdent des points de récupération actifs et le coffre sélectionné est un coffre immuable. | 130001 : La Sauvegarde Microsoft Azure a rencontré une erreur interne. |
| Arrêter la protection avec données supprimées | 81001 : Impossible de supprimer le ou les éléments de sauvegarde, car ils possèdent des points de récupération actifs et le coffre sélectionné est un coffre immuable. Avec DPM 2022 UR2 ou MABS v4 UR1, vous pouvez sélectionner l’option permettant de conserver les points de récupération en ligne conformément à la stratégie lors de l’arrêt de la protection ou de la suppression d’une source de données d’un groupe de protection dans la console. |
130001 : La Sauvegarde Microsoft Azure a rencontré une erreur interne. |
| Réduire la période de rétention en ligne | 810002 : La réduction de la rétention pendant la modification de la stratégie/protection n’est pas autorisée, car le coffre sélectionné est immuable. | 130001 : La Sauvegarde Microsoft Azure a rencontré une erreur interne. |
| Commande Remove-DPMChildDatasource | 81001 : Impossible de supprimer le ou les éléments de sauvegarde, car ils possèdent des points de récupération actifs et le coffre sélectionné est un coffre immuable. Utilisez la nouvelle option -EnableOnlineRPsPruning avec -KeepOnlineData pour conserver les données uniquement jusqu’à la durée de la stratégie. Avec DPM 2022 UR2 ou MABS v4 UR1, vous pouvez sélectionner l’option permettant de conserver les points de récupération en ligne conformément à la stratégie lors de l’arrêt de la protection ou de la suppression d’une source de données d’un groupe de protection dans la console. |
130001 : La Sauvegarde Microsoft Azure a rencontré une erreur interne. Utilisez l’indicateur -KeepOnlineData pour conserver les données. |
Prise en charge de l’immuabilité pour MARS
Le tableau suivant liste les opérations non autorisées pour MARS lorsque l’immuabilité est activée sur le coffre Recovery Services. D’autres opérations, comme l’augmentation de la rétention et l’exclusion d’un fichier/dossier de la sauvegarde, sont autorisées.
| Opération non autorisée | Résultat avec le dernier agent MARS | Résultat avec l’ancien agent MARS |
|---|---|---|
| Arrêter la protection avec suppression des données pour l’état système | Erreur 810001 L’utilisateur tente de supprimer un élément de sauvegarde ou d’arrêter la protection avec suppression des données alors que l’élément de sauvegarde a un point de récupération valide (non expiré). |
Erreur 130001 Sauvegarde Microsoft Azure a rencontré une erreur interne. |
| Arrêter la protection avec données supprimées | Erreur 810001 L’utilisateur tente de supprimer un élément de sauvegarde ou d’arrêter la protection avec suppression des données alors que l’élément de sauvegarde a un point de récupération valide (non expiré). |
Erreur 130001 Sauvegarde Microsoft Azure a rencontré une erreur interne. MARS 2.0.9262.0 et ultérieur offre l’option d’arrêter la protection et de conserver les points de récupération en fonction de la stratégie dans la console. |
| Réduire la période de rétention en ligne | L’utilisateur tente de modifier la stratégie ou la protection avec une réduction de la rétention. | 130001 Sauvegarde Microsoft Azure a rencontré une erreur interne. |
| Remove-OBPolicy avec l’indicateur -DeleteBackup | 810001 L’utilisateur tente de supprimer un élément de sauvegarde ou d’arrêter la protection avec suppression des données alors que l’élément de sauvegarde a un point de récupération valide (non expiré). Utilisez l’indicateur -EnablePruning pour conserver les sauvegardes jusqu’à leur période de rétention. |
130001 Sauvegarde Microsoft Azure a rencontré une erreur interne. N’utilisez pas l’indicateur -DeleteBackup. MARS 2.0.9262.0 et ultérieur offre l’option d’arrêter la protection et de conserver les points de récupération en fonction de la stratégie dans la console. |
Étapes suivantes
- Bien démarrer avec le coffre Azure Recovery Services pour activer ces fonctionnalités.
- Téléchargez le dernier Agent Azure Recovery Services pour protéger les ordinateurs Windows, ainsi que vos données de sauvegarde contre les attaques.