Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Backuphoz többfelhasználós engedélyezéssel (MUA) védelmi réteget adhat hozzá a Helyreállítási tárak és a Backup-tárolók kritikus műveleteihez. A MUA esetében az Azure Backup egy másik Azure-erőforrást, a Resource Guardot használja annak biztosítására, hogy a kritikus műveletek csak a megfelelő engedélyekkel legyenek végrehajtva.
Általánosan elérhető a Resource Guard biztonsági mentési tárolóhoz való használatát használó többfelhasználós engedélyezés.
Az Azure Backup MUA-jának engedélyei
Az Azure Backup a Resource Guardot használja a Recovery Services-tároló vagy a Backup-tároló további engedélyezési mechanizmusaként. Egy kritikus művelet sikeres végrehajtásához (amelyet a következő szakaszban ismertetünk) a Resource Guardra vonatkozó megfelelő engedélyekkel kell rendelkeznie.
Ahhoz, hogy a MUA a kívánt módon működjön:
- Egy másik felhasználónak kell birtokolnia a Resource Guard-példányt.
- A tároló rendszergazdája nem rendelkezhet közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel a Resource Guardon.
A jobb védelem érdekében a Resource Guardot olyan előfizetésben vagy bérlőben helyezheti el, amely eltér attól, amelyik a tárolókat tartalmazza.
Kritikus műveletek
Az alábbi táblázat felsorolja a kritikusként definiált műveleteket, és a Resource Guard segíthet a védelemben. Ha tárolókat társít hozzá, kizárhat bizonyos műveleteket a Resource Guardon keresztüli védelem alól.
Feljegyzés
Nem zárhatja ki a kötelezőként megadott műveleteket a védelemből a Resource Guard segítségével a hozzá társított tárolók esetében. Emellett a kizárt kritikus műveletek a Resource Guardhoz társított összes biztonsági tárolóra vonatkoznak.
| Művelet | Kötelező/ Nem kötelező | Alapértelmezett érték | Leírás |
|---|---|---|---|
| Helyreállítható törlési vagy biztonsági funkciók letiltása | Kötelező | Enabled | Tiltsd le a lágy törlési beállítást egy tárolóhelyen. |
| MUA-védelem eltávolítása | Kötelező | Enabled | Tiltsa le a MUA-védelmet egy tárolóban. |
| Védelem törlése | Választható | Enabled | A védelem megszüntetése a biztonsági mentések leállítása és az adattörlés végrehajtása által. |
| Védelem módosítása | Választható | Enabled | Adjon hozzá egy új biztonsági mentési szabályzatot, amely csökkenti a megőrzést, vagy módosítja a szabályzat gyakoriságát az RPO növeléséhez. |
| Szabályzat módosítása | Választható | Enabled | Módosítsa a biztonsági mentési szabályzatot a megőrzés csökkentése érdekében, vagy módosítsa a szabályzat gyakoriságát az RPO növelése érdekében. |
| Biztonsági PIN-kód lekérése biztonsági mentéshez | Választható | Enabled | Módosítsa Microsoft Azure Recovery Services (MARS) biztonsági PIN-kódját. |
| Titkosítási beállítások módosítása | Választható | Enabled | Módosítsa a CMK titkosítási kulcsát, vagy frissítse a PMK-kulcsokat a CMK-ra. |
| Biztonsági mentés leállítása és adatok megőrzése | Választható | Enabled | Állítsa le a biztonsági mentéseket, és őrizze meg az adatokat örökre vagy szabályzatonként. |
| A nem módosíthatóság letiltása | Választható | Enabled | Tiltsa le a tároló nem módosíthatósági beállítását. |
| Restore | Választható | Disabled | Visszaállítás végrehajtása a tárolóban lévő biztonsági mentési elemeken. |
| Hibrid tároló törlése | Választható | Enabled | Törölje a hibrid biztonsági mentési (DPM/MABS/MARS) tárolókat és a megfelelő biztonsági mentési adatokat. |
Fogalmak és folyamatok
Ez a szakasz a MUA Azure Backuphoz való használatakor felmerülő fogalmakat és folyamatokat ismerteti.
A folyamat és a felelősség egyértelmű megértéséhez vegye figyelembe a következő két személyt. Ezekre a személyekre a jelen cikkben hivatkozunk.
Biztonsági mentési rendszergazda: A Helyreállítási tár vagy a Biztonsági mentési tároló tulajdonosa, aki felügyeleti műveleteket végez a tárolón. A biztonsági mentési rendszergazdának először nem szabad engedélyekkel rendelkeznie a Resource Guardhoz. A biztonsági mentési rendszergazda rendelkezhet a Backup Operator vagy a Backup Contributor szerepköralapú hozzáférés-vezérlési (RBAC) szerepkörével a Recovery Services-tárolóban.
Biztonsági rendszergazda: A Resource Guard-példány tulajdonosa, és a tároló kritikus műveleteinek kapuőreként szolgál. A biztonsági rendszergazda szabályozza a jogosultságokat, amelyekre a biztonsági mentési rendszergazdának szüksége van, hogy végrehajtsa a kritikus műveleteket a tárolón. A biztonsági rendszergazda rendelkezhet a Backup MUA admin RBAC szerepkörével a Resource Guardon.
Az alábbi ábra a resource guardon keresztül konfigurált MUA-t tartalmazó tárolókon végzett kritikus művelet lépéseit mutatja be.
Egy tipikus forgatókönyv eseményeinek folyamata a következő:
A biztonsági mentési rendszergazda létrehozza a Recovery Services-tárolót vagy a Backup-tárolót.
A biztonsági rendszergazda létrehozza a Resource Guard-példányt.
A Resource Guard-példány lehet egy másik előfizetésben vagy egy másik bérlőben a tárolóhoz viszonyítva. Győződjön meg arról, hogy a biztonsági mentési rendszergazda nem rendelkezik közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel a Resource Guardon.
A biztonsági rendszergazda a Resource Guard biztonsági mentési rendszergazdájának adja az Olvasó szerepkört (vagy egy releváns hatókört). A biztonsági mentési rendszergazdának rendelkeznie kell az Olvasó szerepkörrel a MUA tárolóban történő engedélyezéséhez.
A biztonsági mentési rendszergazda úgy konfigurálja a MUA-t, hogy az segítsen megvédeni az adatpáncéltermet a Resource Guard által.
Ha a biztonsági mentési rendszergazda vagy bármely olyan felhasználó, aki írási hozzáféréssel rendelkezik a tárolóhoz, egy olyan kritikus műveletet szeretne végrehajtani, amely a tárolóban található Resource Guard-védelemmel van védve, hozzáférést kell kérnie a Resource Guardhoz.
A biztonsági mentési rendszergazda kapcsolatba léphet a biztonsági rendszergazdával az ilyen műveletek végrehajtásához való hozzáféréssel kapcsolatos részletekért. Ezt a privileged Identity Management (PIM) vagy más, a szervezet által meghatalmazott folyamatok használatával tehetik meg.
A biztonsági mentési rendszergazda kérheti a Biztonsági mentés MUA-operátor RBAC-szerepkörét. Ezzel a szerepkörrel a felhasználók csak a Resource Guard által védett kritikus műveleteket hajthatják végre. Nem engedélyezi a Resource Guard-példány törlését.
A biztonsági rendszergazda ideiglenesen megadja a Resource Guard biztonsági mentési MUA-operátori szerepkörét a biztonsági mentés rendszergazdájának a kritikus műveletek végrehajtásához.
A biztonsági mentési rendszergazda elindítja a kritikus műveletet.
Az Azure Resource Manager ellenőrzi, hogy a biztonsági mentési rendszergazda rendelkezik-e megfelelő engedélyekkel. Mivel a biztonsági mentési rendszergazda már rendelkezik a Resource Guard biztonsági mentési MUA-operátori szerepkörével, a kérés befejeződött. Ha a biztonsági mentési rendszergazda nem rendelkezik a szükséges engedélyekkel vagy szerepkörökmel, a kérés meghiúsul.
A biztonsági rendszergazda visszavonja a jogosultságokat a kritikus műveletek végrehajtásához az engedélyezett műveletek végrehajtása után vagy egy meghatározott időtartam után. A jogosultságok visszavonásához a Microsoft Entra Privileged Identity Management just-in-time (JIT) eszközeit használhatja.
Feljegyzés
- Ha ideiglenesen hozzáférést ad a Resource Guardhoz a Közreműködő vagy a Backup MUA Admin szerepkörben a biztonsági mentés rendszergazdájának, ez a hozzáférés törlési engedélyeket is biztosít a Resource Guardon. Javasoljuk, hogy csak biztonsági mentési MUA-operátori engedélyeket adjon meg.
- A MUA csak a tárolóalapú biztonsági másolatokon végrehajtott, korábban felsorolt műveletek védelmét biztosítja. A közvetlenül az adatforráson (azaz a védett Azure-erőforráson vagy számítási feladaton) végrehajtott műveletek túllépnek a Resource Guard hatókörén.
Használati forgatókönyvek
Az alábbi táblázat felsorolja a Resource Guard-példányok és -tárolók (Recovery Services-tároló és Backup-tároló) létrehozásának forgatókönyveit, valamint az egyes szolgáltatások által nyújtott relatív védelmet.
Fontos
A biztonsági mentési rendszergazda semmilyen esetben nem rendelkezhet közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel a Resource Guardhoz. Ezek az engedélyek felülbírálják a tároló MUA-védelmét.
| Használati forgatókönyv | MUA miatti védelem | Egyszerű megvalósítás | Jegyzetek |
|---|---|---|---|
| A Tároló és a Resource Guard ugyanabban az előfizetésben található. A biztonsági mentési rendszergazda nem rendelkezik hozzáféréssel a Resource Guardhoz. |
A biztonsági mentési rendszergazda és a biztonsági rendszergazda közötti legkisebb elkülönítés. | Viszonylag könnyen implementálható, mert csak egy előfizetésre van szükség. | Az erőforrásszintű engedélyeket és szerepköröket helyesen kell hozzárendelni. |
| A Tároló és a Resource Guard különböző előfizetésekben található, de ugyanaz a bérlő. A biztonsági mentési rendszergazda nem rendelkezik hozzáféréssel a Resource Guardhoz vagy a megfelelő előfizetéshez. |
Közepes elkülönítés a biztonsági mentési rendszergazda és a biztonsági rendszergazda között. | A megvalósítás közepesen egyszerű, mert két előfizetésre (de egyetlen bérlőre) van szükség. | Győződjön meg arról, hogy az engedélyek és szerepkörök megfelelően vannak hozzárendelve az erőforráshoz vagy az előfizetéshez. |
| A tároló és a Resource Guard különböző bérlőkben található.
A biztonsági mentési rendszergazda nem rendelkezik hozzáféréssel a Resource Guardhoz, a megfelelő előfizetéshez vagy a megfelelő bérlőhöz. |
A biztonsági mentési rendszergazda és a biztonsági rendszergazda közötti maximális elkülönítés, amely maximális biztonságot nyújt. | Viszonylag nehéz tesztelni, mert a teszteléshez két bérlőre vagy címtárra van szükség. | Győződjön meg arról, hogy az engedélyek és szerepkörök megfelelően vannak hozzárendelve az erőforráshoz, az előfizetéshez vagy a címtárhoz. |