Az Azure Backup biztonsági funkcióinak áttekintése

Az adatok védelmének egyik legfontosabb lépése egy megbízható biztonsági mentési infrastruktúra létrehozása. De ugyanolyan fontos, hogy az adatok biztonsági mentése biztonságos legyen, és hogy a biztonsági másolatok mindig védettek legyenek. Az Azure Backup gondoskodik a biztonsági másolatok környezetének biztonságáról, az éppen átvitt és a nem használt adatokra vonatkozóan is. Ez a cikk az Azure Backup biztonsági funkcióit sorolja fel, amelyek segítenek a biztonsági mentési adatok védelmében és a vállalat biztonsági igényeinek kielégítésében.

Identitás- és felhasználói hozzáférés kezelése és ellenőrzése

A Recovery Services-tárolók által használt tárfiókok elkülönítettek, és a felhasználók semmilyen rosszindulatú célból nem férhetnek hozzá. A hozzáférés csak az Azure Backup felügyeleti műveletein, például a visszaállításon keresztül engedélyezett. Az Azure Backup lehetővé teszi a felügyelt műveletek felügyeletét részletes hozzáféréssel az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával. Az Azure RBAC lehetővé teszi a feladatok elkülönítését a csapaton belül, és csak a munkájuk elvégzéséhez szükséges felhasználók számára biztosít hozzáférést.

Az Azure Backup három beépített szerepkört biztosít a biztonsági mentéskezelési műveletek vezérléséhez:

• Biztonsági mentés közreműködője: Biztonsági másolatok létrehozása és kezelése, kivéve a Recovery Services-tároló törlését és másoknak való hozzáférést
• Biztonsági mentési operátor: Minden, amit a közreműködő végez, kivéve a biztonsági mentés eltávolítását és a biztonsági mentési szabályzatok kezelését
• Biztonsági mentési olvasó: engedélyek az összes biztonsági mentéskezelési művelet megtekintéséhez

További információ az Azure-beli szerepköralapú hozzáférés-vezérlésről az Azure Backup kezeléséhez.

Az Azure Backup számos biztonsági vezérlőt beépített a szolgáltatásba a biztonsági rések megelőzése, észlelése és megválaszolása érdekében. További információ az Azure Backup biztonsági vezérlőiről.

Adatelkülönítés az Azure Backup használatával

Az Azure Backup használatával a tárolóalapú biztonsági mentési adatok a Microsoft által felügyelt Azure-előfizetésben és -bérlőben lesznek tárolva. A külső felhasználók vagy vendégek nem rendelkeznek közvetlen hozzáféréssel ehhez a biztonsági mentési tárolóhoz vagy annak tartalmához, biztosítva a biztonsági mentési adatok elkülönítését az adatforrást tároló éles környezetből.

Az Azure-ban az átvitel alatt lévő összes kommunikáció és adat biztonságosan át lesz adva HTTPS és TLS 1.2+ protokollal. Ezek az adatok az Azure gerinchálózatán maradnak, biztosítva a megbízható és hatékony adatátvitelt. Az inaktív biztonsági mentési adatok alapértelmezés szerint a Microsoft által felügyelt kulcsokkal vannak titkosítva. A titkosításhoz saját kulcsokat is használhat, ha nagyobb ellenőrzést igényel az adatok felett. A védelem javítása érdekében használhatja a megváltoztathatatlanságot, amely megakadályozza az adatok módosítását vagy törlését a megőrzési időszak előtt. Az Azure Backup különféle lehetőségeket kínál, például a helyreállítható törlést, a biztonsági mentés leállítását és az adatok törlését, illetve az adatok megőrzését, ha bármikor le kell állítania a biztonsági mentéseket. A kritikus műveletek védelme érdekében hozzáadhat többfelhasználós engedélyezést (MUA ), amely további védelmi réteget ad hozzá egy Azure Resource Guard nevű Azure-erőforrás használatával.

Ez a robusztus megközelítés biztosítja, hogy a meglévő biztonsági másolatokat illetéktelen felhasználók még sérült környezetben sem módosíthatják vagy törölhetik.

Nem szükséges internetkapcsolat az Azure-beli virtuális gépek biztonsági mentéséhez

Az Azure-beli virtuális gépek biztonsági mentéséhez át kell mozgatni az adatokat a virtuális gép lemezéről a Recovery Services-tárolóba. Az összes szükséges kommunikáció és adatátvitel azonban csak az Azure gerinchálózatán történik anélkül, hogy hozzá kellene férnie a virtuális hálózathoz. Ezért a biztonságos hálózatokon belül elhelyezett Azure-beli virtuális gépek biztonsági mentése nem követeli meg, hogy engedélyezze az IP-címekhez vagy teljes tartománynevekhez való hozzáférést.

Privát végpontok az Azure Backuphoz

Mostantól a privát végpontok használatával biztonságosan készíthet biztonsági másolatot az adatokról a virtuális hálózaton belüli kiszolgálókról a Recovery Services-tárolóba. A privát végpont a tároló virtuális hálózat címteréből származó IP-címet használ, így nem kell nyilvános IP-címeken elérhetővé tennie a virtuális hálózatokat. A privát végpontok az Azure-beli virtuális gépeken futó SQL- és SAP HANA-adatbázisok biztonsági mentéséhez és visszaállításához használhatók. A helyszíni kiszolgálókhoz is használható a MARS-ügynök használatával.

Az Azure Backup privát végpontjairól itt olvashat bővebben.

Adatok titkosítása

A titkosítás védi az adatokat, és segít a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítésében. Az adattitkosítás az Azure Backup számos szakaszában történik:

• Az Azure-ban az Azure Storage és a tároló között áthaladó adatok HTTPS-védelem alatt állnak. Ezek az adatok az Azure gerinchálózatán maradnak.

• A biztonsági mentési adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, és nem kell explicit műveletet elvégeznie az engedélyezéséhez. A biztonsági másolatokat az Azure Key Vaultban tárolt ügyfél által kezelt kulcsokkal is titkosíthatja. Ez az összes számítási feladatra vonatkozik, amelyről biztonsági másolatot készít a Recovery Services-tárolóba.

• Az Azure Backup támogatja azoknak az Azure-beli virtuális gépeknek a biztonsági mentését és visszaállítását, amelyek operációs rendszerét/adatlemezeit az Azure Disk Encryption (ADE) és a CMK által titkosított lemezekkel rendelkező virtuális gépek titkosítják. További információ a titkosított Azure-beli virtuális gépekről és az Azure Backupról.

• Ha a helyszíni kiszolgálókról a MARS-ügynökkel készít biztonsági másolatot az adatokról, az adatok titkosítása jelszóval történik, mielőtt feltöltené az Azure Backupba, és csak az Azure Backupból letöltött adatok visszafejtése után fejtené vissza. További információ a hibrid biztonsági mentések védelmének biztonsági funkcióiról.

Helyreállítható törlés

Az Azure Backup biztonsági funkciókat biztosít a biztonsági mentési adatok védelméhez még a törlés után is. Helyreállítható törlés esetén, ha törli egy virtuális gép biztonsági másolatát, a biztonsági mentési adatok további 14 napig maradnak meg, ami lehetővé teszi a biztonsági mentési elem adatvesztés nélküli helyreállítását. A biztonsági mentési adatok "helyreállítható törlési állapotban" további 14 napos megőrzése nem jár semmilyen költséggel. További információ a helyreállítható törlésről.

Az Azure Backup mostantól bővítette a helyreállítható törlést is, hogy tovább növelhesse az adatok törlését követő helyreállítás esélyét. További információ.

Nem módosítható tárolók

A nem módosítható tároló a helyreállítási pontok elvesztéséhez vezető műveletek blokkolásával segítheti a biztonsági mentési adatok védelmét. Emellett zárolhatja a nem módosítható tároló beállításait, hogy visszafordíthatatlanná tegye azt, ami megakadályozhatja, hogy a rosszindulatú szereplők letiltják a nem módosíthatóságot és töröljék a biztonsági másolatokat. További információ a nem módosítható tárolókról.

Többfelhasználós engedélyezés

Az Azure Backup többfelhasználós engedélyezése (MUA) lehetővé teszi egy további védelmi réteg hozzáadását a Helyreállítási tárak és a Backup-tárolók kritikus műveleteihez. A MUA esetében az Azure Backup egy másik Azure-erőforrást, a Resource Guardot használja annak biztosítására, hogy a kritikus műveletek csak a megfelelő engedélyekkel legyenek végrehajtva. További információ az Azure Backup többfelhasználós engedélyezéséről.

Továbbfejlesztett helyreállítható törlés

A továbbfejlesztett helyreállítható törlés lehetővé teszi az adatok helyreállítását még a törlés után is, véletlenül vagy rosszindulatúan. Úgy működik, hogy késlelteti az adatok meghatározott időtartammal történő végleges törlését, és lehetővé teszi az adatok lekérését. A helyreállítható törlést mindig bekapcsolhatja , hogy megakadályozza a letiltását. További információ a biztonsági mentés továbbfejlesztett helyreállítható törléséről.

Gyanús tevékenységek figyelése és riasztásai

Az Azure Backup beépített monitorozási és riasztási képességeket biztosít az Azure Backuphoz kapcsolódó események műveleteinek megtekintéséhez és konfigurálásához. A biztonsági mentési jelentések egyablakos célként szolgálnak a használat nyomon követéséhez, a biztonsági mentések és visszaállítások naplózásához, valamint a különböző részletességi szintek kulcsfontosságú trendjeinek azonosításához. Az Azure Backup monitorozási és jelentéskészítési eszközeinek használatával azonnal riasztást kaphat a jogosulatlan, gyanús vagy rosszindulatú tevékenységekről.

A hibrid biztonsági másolatok védelmét segítő biztonsági szolgáltatások

Az Azure Backup szolgáltatás a Microsoft Azure Recovery Services (MARS) ügynök használatával készít biztonsági másolatot a fájlokról, mappákról, valamint a kötet vagy a rendszerállapotról egy helyszíni számítógépről az Azure-ba. A MARS mostantól biztonsági funkciókat biztosít a hibrid biztonsági mentések védelméhez. Ezek a funkciók a következők:

• A rendszer egy további hitelesítési réteget ad hozzá, amikor egy kritikus művelet, például egy jelszó módosítása történik. Ez az ellenőrzés biztosítja, hogy az ilyen műveleteket csak érvényes Azure-hitelesítő adatokkal rendelkező felhasználók hajthassák végre. További információ a támadásokat megakadályozó funkciókról.

• A törölt biztonsági mentési adatok a törléstől számított további 14 napig maradnak meg. Ez biztosítja az adatok helyreállíthatóságát egy adott időszakon belül, így akkor sem történik adatvesztés, ha támadás történik. Emellett a rendszer nagyobb számú minimális helyreállítási pontot tart fenn a sérült adatok elleni védelem érdekében. További információ a törölt biztonsági mentési adatok helyreállításáról.

• A Microsoft Azure Recovery Services (MARS) ügynökkel biztonsági mentésre készült adatok esetében a rendszer jelszóval biztosítja az adatok titkosítását, mielőtt feltöltené az Azure Backupba, és csak az Azure Backupból való letöltés után fejtené vissza. A jelszó részletei csak a jelszót létrehozó felhasználó és a vele konfigurált ügynök számára érhetők el. Semmit nem továbbít vagy oszt meg a szolgáltatással. Ez biztosítja az adatok teljes biztonságát, mivel a véletlenül közzétett adatok (például a hálózaton belüli emberközi támadás) a jelszó nélkül használhatatlanok, és a jelszót nem küldi el a rendszer a hálózaton keresztül.

Biztonsági helyzet és biztonsági szintek

Az Azure Backup a tároló szintjén nyújt biztonsági szolgáltatásokat a benne tárolt biztonsági mentési adatok védelméhez. Ezek a biztonsági intézkedések magukban foglalják a tárolókHoz tartozó Azure Backup-megoldással és a tárolókban található védett adatforrásokkal kapcsolatos beállításokat.

Az Azure Backup-tárolók biztonsági szintjei a következőképpen vannak kategorizálva:

• Kiváló (Maximum): Ez a szint a legmagasabb biztonságot jelenti, amely átfogó védelmet biztosít. Ezt akkor érheti el, ha az összes biztonsági mentési adat védett a véletlen törlésekkel szemben, és védelmet biztosít a ransomware-támadások ellen. E magas szintű biztonság eléréséhez a következő feltételeknek kell teljesülniük:

  • A nem módosítható vagyhelyreállítható tárolóbeállítást engedélyezni kell és visszafordíthatatlannak kell lennie (zárolt/mindig bekapcsolt).
  • A többfelhasználós hitelesítést (MUA) engedélyezni kell a tárolóban.

• Jó (megfelelő): Ez egy robusztus biztonsági szintet jelent, amely megbízható adatvédelmet biztosít. Megvédi a meglévő biztonsági mentéseket a nem szándékos eltávolítástól, és növeli az adatok helyreállításának lehetőségét. Ennek a biztonsági szintnek a eléréséhez engedélyeznie kell a nem módosíthatóságot zárolással vagy helyreállítható törléssel.

• Méltányos (minimum/átlag): Ez egy alapszintű biztonsági szintet jelent, amely megfelel a szabványos védelmi követelményeknek. Az alapvető biztonsági mentési műveletek további védelmi réteget élveznek. A minimális biztonság eléréséhez engedélyeznie kell a többfelhasználós hitelesítést (MUA) a tárolón.

• Gyenge (Rossz/Nincs): Ez a biztonsági intézkedések hiányosságát jelzi, amely kevésbé alkalmas az adatvédelemre. Ezen a szinten sem a fejlett védelmi funkciók, sem a kizárólag megfordítható képességek nincsenek érvényben. A Nincs szintű biztonság elsősorban a véletlen törlésekkel szembeni védelmet nyújt.

Az Azure Üzletmenet-folytonossági központon keresztül megtekintheti és kezelheti a biztonsági szinteket a saját tárolójukban lévő összes adatforrásban.

Standardizált biztonsági követelményeknek való megfelelés

Annak érdekében, hogy a szervezetek megfeleljenek az egyének adatainak gyűjtésére és felhasználására vonatkozó nemzeti/regionális és iparágspecifikus követelményeknek, a Microsoft Azure & Azure Backup a tanúsítványok és igazolások átfogó készletét kínálja. A megfelelőségi tanúsítványok listájának megtekintése

Következő lépések

• Az Azure Backupot használó felhőbeli számítási feladatok védelmének biztonsági funkciói
• Biztonsági funkciók az Azure Backupot használó hibrid biztonsági mentések védelméhez