Biztonsági funkciók az Azure Backupot használó hibrid biztonsági mentések védelméhez
A biztonsági veszélyforrások, például a kártevők, a zsarolóprogramok és a jogosulatlan behatolások egyre jelentősebb problémát okoznak. Ezek a biztonsági fenyegetések egyre nagyobb költséggel is járnak pénzben és adatban kifejezve egyaránt. Az ilyen támadások elleni védelem érdekében az Azure Backup mostantól biztonsági funkciókat biztosít a hibrid biztonsági mentések védelméhez. Ez a cikk bemutatja, hogyan engedélyezheti és használhatja ezeket a funkciókat a helyszíni számítási feladatok védelméhez a Microsoft Azure Backup Server (MABS), a Data Protection Manager (DPM) és a Microsoft Azure Recovery Services (MARS) ügynök használatával. Ezek a funkciók a következők:
- Megelőzés. A rendszer egy további hitelesítési réteget ad hozzá, amikor egy kritikus művelet, például egy jelszó módosítása történik. Ez az ellenőrzés biztosítja, hogy az ilyen műveleteket csak érvényes Azure-hitelesítő adatokkal rendelkező felhasználók hajthassák végre.
- Riasztás. A rendszer e-mail-értesítést küld az előfizetés rendszergazdájának, amikor egy kritikus művelet, például a biztonsági mentési adatok törlése történik. Ez az e-mail biztosítja, hogy a felhasználó gyorsan értesítést kapjon az ilyen műveletekről.
- Helyreállítás. A törölt biztonsági mentési adatok a törléstől számított további 14 napig maradnak meg. Ez biztosítja az adatok helyreállíthatóságát egy adott időszakon belül, így akkor sem történik adatvesztés, ha támadás történik. Emellett a rendszer nagyobb számú minimális helyreállítási pontot tart fenn a sérült adatok elleni védelem érdekében.
Megjegyzés:
Engedélyezze a többfelhasználós engedélyezést (MUA) a helyreállítási tárban, hogy további védelmi réteget adjon hozzá a biztonsági funkciók letiltásának kritikus műveletéhez. További információ.
A minimális verziókövetelmények
Csak akkor engedélyezze a biztonsági funkciókat, ha a következőt használja:
- Azure Backup-ügynök: Az ügynök minimális verziója 2.0.9052. Miután engedélyezte ezeket a funkciókat, frissítse az ügynök verzióját a kritikus műveletek végrehajtásához.
- Azure Backup Server: Az Azure Backup-ügynök minimális 2.0.9052-es verziója az Azure Backup Server 1. frissítésével.
- System Center Data Protection Manager: Az Azure Backup-ügynök minimális 2.0.9052-es verziója a Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2-vel.
Megjegyzés:
Győződjön meg arról, hogy nem engedélyezi a biztonsági funkciókat, ha az infrastruktúra szolgáltatásként (IaaS) való virtuális gép biztonsági mentését használja. Ezek a funkciók jelenleg nem érhetők el az IaaS virtuális gépek biztonsági mentéséhez, így az engedélyezésük nem lesz hatással.
Biztonsági funkciók engedélyezése
Ha helyreállítási tárat hoz létre, az összes biztonsági funkciót használhatja. Ha meglévő tárolóval dolgozik, engedélyezze a biztonsági funkciókat az alábbi lépések végrehajtásával:
Jelentkezzen be az Azure Portalra az Azure-beli hitelesítő adataival.
Válassza a Tallózás lehetőséget, és írja be a Recovery Services parancsot.
A Recovery Services-tárolók listája megjelenik. Ebben a listában válasszon ki egy tárolót. Megnyílik a kiválasztott tároló irányítópultja.
A tároló alatt megjelenő elemek listájában a Gépház alatt válassza a Tulajdonságok lehetőséget.
A Biztonsági Gépház területen válassza a Frissítés lehetőséget.
A frissítési hivatkozás megnyitja a Biztonsági Gépház panelt, amely összefoglalja a funkciókat, és lehetővé teszi azok engedélyezését.
Engedélyezze a biztonsági funkciókat, és válassza a Mentés lehetőséget.
Törölt biztonsági mentési adatok helyreállítása
Ha a biztonsági funkciók beállítása engedélyezve van, az Azure Backup további 14 napig megőrzi a törölt biztonsági mentési adatokat, és nem törli azonnal, ha a biztonsági mentés törlési adatműveletet hajtja végre. Ha a 14 napos időszakban szeretné visszaállítani ezeket az adatokat, kövesse az alábbi lépéseket a használt adatoktól függően:
Az Azure Recovery Services-ügynök felhasználói számára:
- Ha a számítógépen, amelyen biztonsági mentések történtek, továbbra is elérhető a törölt adatforrások védelme, és az Adatok helyreállítása az Azure Recovery Services ugyanazon gépére az összes régi helyreállítási pontból való helyreállításhoz.
- Ha ez a számítógép nem érhető el, a Helyreállítás másik gépre funkcióval egy másik Azure Recovery Services-számítógéppel szerezheti be ezeket az adatokat.
Az Azure Backup Server felhasználói számára:
- Ha a kiszolgáló, ahol biztonsági másolatok történtek, továbbra is elérhető, akkor a törölt adatforrások védelmére, és az Adatok helyreállítása funkcióval az összes régi helyreállítási pontról helyreállhat.
- Ha ez a kiszolgáló nem érhető el, az adatok lekéréséhez használja a másik Azure Backup Server-példány adatainak helyreállítását egy másik Azure Backup Server-példány használatával.
A Data Protection Manager felhasználói számára:
- Ha a kiszolgáló, ahol biztonsági másolatok történtek, továbbra is elérhető, akkor a törölt adatforrások védelmére, és az Adatok helyreállítása funkcióval az összes régi helyreállítási pontról helyreállhat.
- Ha ez a kiszolgáló nem érhető el, a Külső DPM hozzáadása funkcióval egy másik Data Protection Manager-kiszolgálót használhat az adatok lekéréséhez.
Támadások megakadályozása
Az ellenőrzésekkel meggyőződhet arról, hogy csak érvényes felhasználók hajthatnak végre különböző műveleteket. Ezek közé tartozik egy további hitelesítési réteg hozzáadása, valamint a minimális megőrzési tartomány fenntartása helyreállítási célokra.
Hitelesítés kritikus műveletek végrehajtásához
A kritikus műveletekhez szükséges további hitelesítési réteg hozzáadásakor a rendszer biztonsági PIN-kód megadását kéri, amikor leállítja a védelmet törlési adatokkal , és módosítja a jelszómódosítási műveleteket a DPM, a MABS és a MARS esetében.
Emellett a MARS 2.0.9262.0-s és újabb verziójával a kötet MARS-fájl/mappa biztonsági mentéséből való eltávolítására, egy meglévő kötet új kizárási beállításának hozzáadására, a megőrzés időtartamának csökkentésére és a kevésbé gyakori biztonsági mentési ütemezésre való áttérésre vonatkozó műveletek biztonsági pin-kóddal is védettek lesznek a további biztonság érdekében.
Megjegyzés:
Jelenleg az alábbi DPM- és MABS-verziók esetében a biztonsági PIN-kód támogatott az adatok törlése és az online tárolóba való törlés elleni védelem leállítása esetén:
- DPM 2016 UR9 vagy újabb
- DPM 2019 UR1 vagy újabb
- MABS v3 UR1 vagy újabb
A PIN-kód fogadása:
- Jelentkezzen be az Azure Portalra.
- Keresse meg a Recovery Services-tárolót> Gépház> Properties.
- A Biztonsági PIN-kód területen válassza a Létrehozás lehetőséget. Ekkor megnyílik egy panel, amely tartalmazza az Azure Recovery Services-ügynök felhasználói felületén beírandó PIN-kódot. Ez a PIN-kód csak öt percig érvényes, és az adott időszak után automatikusan létrejön.
Minimális megőrzési tartomány fenntartása
Annak érdekében, hogy mindig érvényes számú helyreállítási pont legyen elérhető, a következő ellenőrzések lettek hozzáadva:
- Napi megőrzés esetén legalább hét napos megőrzést kell végezni.
- Heti megőrzés esetén legalább négy hét megőrzést kell elvégezni.
- Havi megőrzés esetén legalább három hónapos megőrzést kell elvégezni.
- Éves megőrzés esetén legalább egy év megőrzést kell végrehajtani.
Kritikus műveletek értesítései
Általában egy kritikus művelet végrehajtásakor az előfizetés rendszergazdája e-mailben értesítést kap a művelet részleteiről. Az Azure Portal használatával további e-mail-címzetteket is konfigurálhat ezekhez az értesítésekhez.
A cikkben említett biztonsági funkciók védelmi mechanizmusokat biztosítanak a célzott támadások ellen. Ami még fontosabb, ha támadás történik, ezek a funkciók lehetővé teszik az adatok helyreállítását.
Troubleshoot errors
| Operation | A hiba részletei | Resolution (Osztás) |
|---|---|---|
| Szabályzat módosítása | A biztonsági mentési szabályzat nem módosítható. Hiba: Az aktuális művelet egy belső szolgáltatáshiba miatt meghiúsult [0x29834]. Később próbálkozzon újra a művelettel. If the issue persists, please contact Microsoft support. (Az Azure Key Vault-művelet meghiúsult. Próbálja meg újból végrehajtani a műveletet. Ha a probléma továbbra is fennáll, forduljon a Microsoft támogatási szolgálatához.) | Cause: Ez a hiba akkor jelenik meg, ha a biztonsági beállítások engedélyezve vannak, próbálja csökkenteni a megőrzési tartományt a fent megadott minimális értékek alatt, és nem támogatott verziót használ (a támogatott verziók a jelen cikk első megjegyzésében vannak megadva). Javasolt művelet: Ebben az esetben a szabályzattal kapcsolatos frissítések folytatásához a megadott minimális megőrzési idő (napi hét nap, heti négy hét, havonta három hét vagy évente egy év) feletti megőrzési időtartamot kell beállítania. Opcionálisan előnyben részesített módszer a biztonsági mentési ügynök, az Azure Backup Server és/vagy a DPM URL-címének frissítése az összes biztonsági frissítés kihasználásához. |
| Jelszó módosítása | A megadott biztonsági PIN-kód helytelen. (Azonosító: 100130) Adja meg a megfelelő biztonsági PIN-kódot a művelet végrehajtásához. | Cause: Ez a hiba akkor jelentkezik, ha érvénytelen vagy lejárt biztonsági PIN-kódot ad meg a kritikus művelet (például a jelszó módosítása) végrehajtása közben. Javasolt művelet: A művelet végrehajtásához érvényes biztonsági PIN-kódot kell megadnia. A PIN-kód lekéréséhez jelentkezzen be az Azure Portalra, és keresse meg a Recovery Services-tárolót > , Gépház > Tulajdonságok > biztonsági PIN-kód létrehozása. Ezzel a PIN-kóddal módosíthatja a jelszót. |
| Jelszó módosítása | A művelet nem sikerült. Azonosító: 120002 | Cause: Ez a hiba akkor jelenik meg, ha a biztonsági beállítások engedélyezve vannak, próbálja meg módosítani a jelszót, és nem támogatott verzióban van (a cikk első megjegyzésében megadott érvényes verziók). Javasolt művelet: A jelszó módosításához először frissítenie kell a biztonsági mentési ügynököt a minimum 2.0.9052-es verzióra, az Azure Backup Servert a minimális 1-es frissítésre, és/vagy a DPM-et a DPM 2012 R2 UR12-re vagy a DPM 2016 UR2-re (töltse le az alábbi hivatkozásokat), majd adjon meg egy érvényes biztonsági PIN-kódot. A PIN-kód lekéréséhez jelentkezzen be az Azure Portalra, és keresse meg a Recovery Services-tárolót > , Gépház > Tulajdonságok > biztonsági PIN-kód létrehozása. Ezzel a PIN-kóddal módosíthatja a jelszót. |
A nem módosíthatóság támogatása
Ha engedélyezve van a Recovery Services-tároló nem módosíthatósága , a rendszer letiltja azokat a műveleteket, amelyek csökkentik a felhőbeli biztonsági mentések megőrzését vagy eltávolítják a helyszíni adatforrások felhőbeli biztonsági mentését.
A DPM és a MABS nem módosítható támogatása
Ez a funkció a MARS-ügynök 2.0.9250.0-s és újabb verziójával támogatott a DPM 2022 UR1 és a MABS 4-es verziójától.
Az alábbi táblázat felsorolja a nem engedélyezett műveleteket a nem módosítható helyreállításhoz csatlakoztatott DPM-en:
| Művelet nem módosítható tárolón | Eredmény: DPM 2022 UR1, MABS v4 és legújabb MARS-ügynök. A DPM 2022 UR2 vagy a MABS v4 UR1 használatával beállíthatja az online helyreállítási pontok házirend szerinti megőrzését, amikor leállítja a védelmet, vagy eltávolít egy adatforrást egy védelmi csoportból a konzolról. |
Eredmény régebbi DPM-/MABS- és MARS-ügynökkel |
|---|---|---|
| Adatforrás eltávolítása az online biztonsági mentéshez konfigurált védelmi csoportból | 81001: A biztonsági mentési elem(ek) nem törölhetők, mert aktív helyreállítási pontokkal rendelkezik, és a kijelölt tároló nem módosítható tároló. | 130001: A Microsoft Azure Backup belső hibát észlelt. |
| Védelem leállítása törlési adatokkal | 81001: A biztonsági mentési elem(ek) nem törölhetők, mert aktív helyreállítási pontokkal rendelkezik, és a kijelölt tároló nem módosítható tároló. A DPM 2022 UR2 vagy a MABS v4 UR1 használatával beállíthatja az online helyreállítási pontok házirend szerinti megőrzését, amikor leállítja a védelmet, vagy eltávolít egy adatforrást egy védelmi csoportból a konzolról. |
130001: A Microsoft Azure Backup belső hibát észlelt. |
| Online megőrzési időszak csökkentése | 810002: A házirend/védelem módosítása során a megőrzés csökkentése nem engedélyezett, mert a kijelölt tároló nem módosítható. | 130001: A Microsoft Azure Backup belső hibát észlelt. |
| Remove-DPMChildDatasource parancs | 81001: A biztonsági mentési elem(ek) nem törölhetők, mert aktív helyreállítási pontokkal rendelkezik, és a kijelölt tároló nem módosítható tároló. Az -EnableOnlineRPsPruningwith -KeepOnlineData új lehetőséggel csak a szabályzat időtartamának megfelelően őrizhet meg adatokat. A DPM 2022 UR2 vagy a MABS v4 UR1 használatával beállíthatja az online helyreállítási pontok házirend szerinti megőrzését, amikor leállítja a védelmet, vagy eltávolít egy adatforrást egy védelmi csoportból a konzolról. |
130001: A Microsoft Azure Backup belső hibát észlelt. Az adatok megőrzéséhez használja a -KeepOnlineData jelölőt. |
A MARS nem módosíthatóságának támogatása
Az alábbi táblázat a MARS nem engedélyezett műveleteit sorolja fel, ha a helyreállítási tárban engedélyezve van a nem módosíthatóság. Más műveletek, például a megőrzés növelése és a fájlok/mappák biztonsági mentésből való kizárása engedélyezett.
| Nem engedélyezett művelet | Eredmény a legújabb MARS-ügynökkel | Eredmény régi MARS-ügynökkel |
|---|---|---|
| Védelem leállítása a rendszerállapot törlési adataival | Hiba 810001 A biztonsági mentési elemet törölni vagy a védelem leállítását olyan törlési adatokkal próbálják leállítani, ahol a biztonsági mentési elem érvényes (még nem elérhető) helyreállítási ponttal rendelkezik. |
Hiba 130001 A Microsoft Azure Backup belső hibát észlelt. |
| Védelem leállítása törlési adatokkal | Hiba 810001 A biztonsági mentési elemet törölni vagy a védelem leállítását olyan törlési adatokkal próbálják leállítani, ahol a biztonsági mentési elem érvényes (még nem elérhető) helyreállítási ponttal rendelkezik. |
Hiba 130001 A Microsoft Azure Backup belső hibát észlelt. A MARS 2.0.9262.0 és újabb verziók lehetővé teszik a védelem leállítását és a helyreállítási pontok megőrzését a konzol házirendjének megfelelően. |
| Online megőrzési időszak csökkentése | A felhasználó megkísérli módosítani a szabályzatot vagy a védelmet a megőrzés csökkentésével. | 130001 A Microsoft Azure Backup belső hibát észlelt. |
| Remove-OBPolicy with -DeleteBackup flag | 810001 A biztonsági mentési elemet törölni vagy a védelem leállítását olyan törlési adatokkal próbálják leállítani, ahol a biztonsági mentési elem érvényes (még nem elérhető) helyreállítási ponttal rendelkezik. A –EnablePruning jelölő használatával megőrizze a biztonsági másolatokat a megőrzési időtartamig. |
130001 A Microsoft Azure Backup belső hibát észlelt. Ne használja a -DeleteBackup jelzőt . A MARS 2.0.9262.0 és újabb verziók lehetővé teszik a védelem leállítását és a helyreállítási pontok megőrzését a konzol házirendjének megfelelően. |
Következő lépések
- Az Azure Recovery Services-tároló használatának első lépései a funkciók engedélyezéséhez.
- Töltse le a legújabb Azure Recovery Services-ügynököt a Windows rendszerű számítógépek védelméhez és a biztonsági mentési adatok támadások elleni védelméhez.