Tudnivalók a többfelhasználós engedélyezésről a Resource Guard használatával
Az Azure Backup többfelhasználós engedélyezése (MUA) lehetővé teszi egy további védelmi réteg hozzáadását a Helyreállítási tárak és a Backup-tárolók kritikus műveleteihez. A MUA esetében az Azure Backup egy másik Azure-erőforrást, a Resource Guardot használja annak biztosítására, hogy a kritikus műveletek csak a megfelelő engedélyekkel legyenek végrehajtva.
Megjegyzés:
A Resource Guard for Backup-tárolóval történő többfelhasználós engedélyezés általánosan elérhető.
Hogyan működik a MUA a biztonsági mentéshez?
Az Azure Backup a Resource Guardot használja további engedélyezési mechanizmusként egy Recovery Services-tárolóhoz vagy egy Backup-tárolóhoz. Ezért egy kritikus művelet sikeres (alább ismertetett) sikeres végrehajtásához a társított Resource Guardra is megfelelő engedélyekkel kell rendelkeznie.
Fontos
A kívánt működéshez a Resource Guardnak egy másik felhasználónak kell lennie, és a tároló rendszergazdájának nem szabad közreműködői engedélyekkel rendelkeznie. A Jobb védelem érdekében a Resource Guardot a tárolókat tartalmazó előfizetésben vagy bérlőben helyezheti el.
Kritikus műveletek
Az alábbi táblázat felsorolja a kritikus műveletekként definiált műveleteket, amelyeket egy Resource Guard védhet. A tárolók társításakor kizárhat bizonyos műveleteket a Resource Guard használatával történő védelem alól.
Megjegyzés:
Nem zárhatja ki, hogy a Kötelezőként megadott műveletek védettek legyenek a Resource Guard használatával a hozzá társított tárolók esetében. Emellett a kizárt kritikus műveletek a Resource Guardhoz társított összes tárolóra vonatkoznak.
Tároló kiválasztása
Művelet | Kötelező/ Nem kötelező |
---|---|
Helyreállítható törlés letiltása | Kötelező |
MUA-védelem letiltása | Kötelező |
Biztonsági mentési szabályzat módosítása (csökkentett megőrzés) | Lehetséges |
Védelem módosítása (csökkentett megőrzés) | Lehetséges |
Védelem leállítása az adatok törlésével | Lehetséges |
Biztonsági MARS PIN-kód módosítása | Lehetséges |
Fogalmak és folyamatok
A MUA Azure Backuphoz való használatakor használt fogalmakat és folyamatokat az alábbiakban ismertetjük.
Tekintsük át a következő két felhasználót a folyamat és a felelősség egyértelmű megértéséhez. Erre a két szerepkörre a jelen cikkben hivatkozunk.
Biztonsági mentési rendszergazda: A Helyreállítási tár vagy a Biztonsági mentési tároló tulajdonosa, aki felügyeleti műveleteket végez a tárolón. Először is a biztonsági mentési rendszergazdának nem szabad engedélyekkel rendelkeznie a Resource Guardhoz.
Biztonsági rendszergazda: A Resource Guard tulajdonosa, és a tároló kritikus műveleteinek kapuőreként szolgál. Ezért a biztonsági rendszergazda szabályozza azokat az engedélyeket, amelyeknek a biztonsági mentési rendszergazdának kritikus műveleteket kell végrehajtania a tárolón.
Az alábbiakban egy diagramos ábrázolást követünk egy kritikus művelet végrehajtásához egy olyan tárolón, amelyen a MUA egy Resource Guard használatával van konfigurálva.
Egy tipikus forgatókönyv eseményeinek folyamata a következő:
A biztonsági mentési rendszergazda létrehozza a Recovery Services-tárolót vagy a Backup-tárolót.
A biztonsági rendszergazda létrehozza a Resource Guardot. A Resource Guard egy másik előfizetésben vagy egy másik bérlőben lehet a tároló tekintetében. Győződjön meg arról, hogy a biztonsági mentési rendszergazda nem rendelkezik közreműködői engedélyekkel a Resource Guardhoz.
A biztonsági rendszergazda az Olvasó szerepkört a Resource Guard biztonsági mentési Rendszergazda (vagy egy releváns hatókör) számára biztosítja. A biztonsági mentési rendszergazdának az olvasói szerepkörnek engedélyeznie kell a MUA-t a tárolóban.
A biztonsági mentési rendszergazda mostantól úgy konfigurálja a tárolót, hogy a MUA a Resource Guardon keresztül védve legyen.
Ha a biztonsági mentési rendszergazda kritikus műveletet szeretne végrehajtani a tárolón, hozzáférést kell kérnie a Resource Guardhoz. A biztonsági mentési rendszergazda kapcsolatba léphet a biztonsági rendszergazdával az ilyen műveletek végrehajtásához való hozzáféréssel kapcsolatos részletekért. Ezt a Privileged Identity Management (PIM) vagy a szervezet által előírt egyéb folyamatok használatával tehetik meg.
A biztonsági rendszergazda ideiglenesen megadja a Resource Guard közreműködői szerepkörét a biztonsági mentési rendszergazdának a kritikus műveletek végrehajtásához.
A biztonsági mentési rendszergazda most elindítja a kritikus műveletet.
Az Azure Resource Manager ellenőrzi, hogy a biztonsági mentési rendszergazda rendelkezik-e megfelelő engedélyekkel. Mivel a biztonsági mentési rendszergazda már közreműködői szerepkörrel rendelkezik a Resource Guardon, a kérés befejeződött.
Ha a biztonsági mentési rendszergazda nem rendelkezik a szükséges engedélyekkel/szerepkörökmel, a kérés sikertelen lett volna.
A biztonsági rendszergazda biztosítja, hogy a kritikus műveletek végrehajtására vonatkozó jogosultságok visszavonva legyenek az engedélyezett műveletek végrehajtása után vagy egy meghatározott időtartam után. Ennek biztosításához hasznos lehet a JIT-eszközök használata a Microsoft Entra Privileged Identity Management használatával.
Megjegyzés:
A MUA csak a tárolóalapú biztonsági mentéseken végzett fent felsorolt műveletek védelmét biztosítja. A közvetlenül az adatforráson (azaz a védett Azure-erőforráson/számítási feladaton) végrehajtott műveletek túllépnek a Resource Guard hatókörén.
Használati forgatókönyvek
Az alábbi táblázat felsorolja a Resource Guard és a tárolók (Recovery Services-tároló és Backup-tároló) létrehozásának forgatókönyveit, valamint az egyes tárolók által nyújtott relatív védelmet.
Fontos
A biztonsági mentési rendszergazda semmilyen esetben nem rendelkezhet közreműködői engedélyekkel a Resource Guardhoz.
Használati forgatókönyv | A MUA miatti védelem | Egyszerű megvalósítás | Megjegyzések |
---|---|---|---|
A Tároló és a Resource Guard ugyanabban az előfizetésben található . A biztonsági mentési rendszergazda nem rendelkezik hozzáféréssel a Resource Guardhoz. | A legkisebb elkülönítés a biztonsági mentési rendszergazda és a biztonsági rendszergazda között. | Viszonylag könnyen implementálható, mivel csak egy előfizetésre van szükség. | Az erőforrásszintű engedélyeket/ szerepköröket megfelelően kell hozzárendelni. |
A Tároló és a Resource Guard különböző előfizetésekben található , de ugyanaz a bérlő. A biztonsági mentési rendszergazda nem rendelkezik hozzáféréssel a Resource Guardhoz vagy a megfelelő előfizetéshez. | Közepes elkülönítés a biztonsági mentési rendszergazda és a biztonsági rendszergazda között. | Viszonylag közepesen könnyű implementációra van szükség, mivel két előfizetésre (de egyetlen bérlőre) van szükség. | Győződjön meg arról, hogy az engedélyek/ szerepkörök megfelelően vannak hozzárendelve az erőforráshoz vagy az előfizetéshez. |
A tároló és a Resource Guard különböző bérlőkben található . A biztonsági mentési rendszergazda nem rendelkezik hozzáféréssel a Resource Guardhoz, a megfelelő előfizetéshez vagy a megfelelő bérlőhöz. | A biztonsági mentési rendszergazda és a biztonsági rendszergazda közötti maximális elkülönítés, így a maximális biztonság. | Viszonylag nehéz tesztelni, mivel két bérlőt vagy könyvtárat kell tesztelni. | Győződjön meg arról, hogy az engedélyek/ szerepkörök megfelelően vannak hozzárendelve az erőforráshoz, az előfizetéshez vagy a címtárhoz. |
Következő lépések
Többfelhasználós engedélyezés konfigurálása a Resource Guard használatával.