Az Azure Backup biztonsági funkcióinak áttekintése
Az adatok védelmének egyik legfontosabb lépése a megbízható biztonsági mentési infrastruktúra használata. De ugyanolyan fontos, hogy az adatok biztonsági mentése biztonságos módon történjen, és hogy a biztonsági másolatok mindig védettek legyenek. Azure Backup biztonságot nyújt a biztonsági mentési környezetnek , mind az adatok átvitele, mind pedig inaktív állapotban. Ez a cikk az Azure Backup biztonsági funkcióit sorolja fel, amelyek segítenek a biztonsági mentési adatok védelmében és a vállalat biztonsági igényeinek kielégítésében.
Identitás- és felhasználói hozzáférés kezelése és ellenőrzése
A Recovery Services-tárolók által használt tárfiókok elkülönítettek, és a felhasználók semmilyen rosszindulatú célra nem férhetnek hozzá. A hozzáférés csak Azure Backup felügyeleti műveleteken, például a visszaállításon keresztül engedélyezett. Azure Backup lehetővé teszi a felügyelt műveletek részletes hozzáféréssel történő vezérlését az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával. Az Azure RBAC lehetővé teszi, hogy elkülönítse a feladatokat a csapaton belül, és csak a munkájuk elvégzéséhez szükséges felhasználók számára biztosítson hozzáférést.
Azure Backup három beépített szerepkört biztosít a biztonsági mentések felügyeleti műveleteinek vezérléséhez:
- Biztonsági mentés közreműködője – biztonsági másolatok létrehozásához és kezeléséhez, kivéve a Recovery Services-tároló törlését és másoknak való hozzáférést
- Biztonsági mentési operátor – minden, amit a közreműködő végez, kivéve a biztonsági mentés eltávolítását és a biztonsági mentési szabályzatok kezelését
- Backup Reader – Engedélyek az összes biztonsági mentéskezelési művelet megtekintéséhez
További információ az Azure szerepköralapú hozzáférés-vezérléséről a Azure Backup kezeléséhez.
Azure Backup számos biztonsági vezérlő van beépítve a szolgáltatásba a biztonsági rések megelőzése, észlelése és megválaszolása érdekében. További információ a Azure Backup biztonsági vezérlőiről.
A vendég és az Azure Storage elkülönítése
Az Azure Backup, amely magában foglalja a virtuális gépek biztonsági mentését, valamint az SQL és az SAP HANA virtuális gépek biztonsági mentését, a biztonsági mentési adatok az Azure Storage-ban lesznek tárolva, és a vendég nem rendelkezik közvetlen hozzáféréssel a biztonsági mentési tárhoz vagy annak tartalmához. A virtuális gép biztonsági mentésével a biztonsági mentési pillanatképek létrehozását és tárolását az Azure Fabric végzi, ahol a vendégnek nincs más szerepe, mint az alkalmazáskonzisztens biztonsági mentések számítási feladatainak leállítása. Az SQL és az SAP HANA használatával a biztonsági mentési bővítmény ideiglenes hozzáférést kap adott blobokhoz való íráshoz. Ily módon még a sérült környezetben sem lehet módosítani vagy törölni a meglévő biztonsági másolatokat a vendég.
Az Azure-beli virtuális gépek biztonsági mentéséhez nincs szükség internetkapcsolatra
Az Azure-beli virtuális gépek biztonsági mentéséhez az adatoknak a virtuális gép lemezéről a Recovery Services-tárolóba való áthelyezésére van szükség. Az összes szükséges kommunikáció és adatátvitel azonban csak az Azure gerinchálózatán történik anélkül, hogy hozzá kellene férnie a virtuális hálózathoz. Ezért a biztonságos hálózatokba helyezett Azure-beli virtuális gépek biztonsági mentése nem igényli az IP-címekhez vagy teljes tartománynevekhez való hozzáférést.
Privát végpontok Azure Backup
Mostantól a privát végpontok használatával biztonságosan készíthet biztonsági másolatot az adatokról a virtuális hálózaton belüli kiszolgálókról a Recovery Services-tárolóba. A privát végpont a tároló virtuális hálózat címteréből származó IP-címet használ, így nem kell nyilvános IP-címeknek kitennie a virtuális hálózatokat. A privát végpontok az Azure-beli virtuális gépeken futó SQL- és SAP HANA-adatbázisok biztonsági mentéséhez és visszaállításához használhatók. A helyszíni kiszolgálókhoz is használható a MARS-ügynökkel.
További információ a privát végpontokról a Azure Backup itt.
Adatok titkosítása
A titkosítás védi az adatokat, és segít a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítésében. Az adattitkosítás a Azure Backup számos szakaszában történik:
Az Azure-ban az Azure Storage és a tároló között áthaladó adatokat HTTPS védi. Ezek az adatok az Azure gerinchálózatán maradnak.
A biztonsági mentési adatok automatikusan titkosítva lesznek platform által felügyelt kulcsokkal, és nem kell explicit műveletet végeznie az engedélyezéséhez. A biztonsági mentési adatokat az Azure Key Vault tárolt ügyfél által kezelt kulcsokkal is titkosíthatja. Ez az összes olyan számítási feladatra vonatkozik, amelyről biztonsági másolatot készít a Recovery Services-tárolóba.
Azure Backup támogatja azoknak az Azure-beli virtuális gépeknek a biztonsági mentését és visszaállítását, amelyek operációs rendszerét/adatlemezeit Az Azure Disk Encryption (ADE) és a CMK által titkosított lemezekkel rendelkező virtuális gépek titkosítják. További információ a titkosított Azure-beli virtuális gépekről és Azure Backup.
Amikor a helyszíni kiszolgálókról a MARS-ügynökkel biztonsági másolatot készít az adatokról, a rendszer jelszóval titkosítja az adatokat, mielőtt feltöltené a Azure Backup, és csak a Azure Backup letöltését követően fejtené vissza. További információ a hibrid biztonsági mentések védelmének biztonsági funkcióiról.
Helyreállítható törlés
Azure Backup olyan biztonsági szolgáltatásokat biztosít, amelyekkel a biztonsági mentési adatok még a törlés után is védve lesznek. Helyreállítható törlés esetén, ha törli egy virtuális gép biztonsági másolatát, a biztonsági mentési adatok további 14 napig megmaradnak, így a biztonsági mentési elem adatvesztés nélkül helyreállítható. A biztonsági mentési adatok "helyreállítható törlési állapotban" történő további 14 napos megőrzése semmilyen költséggel nem jár. További információ a helyreállítható törlésről.
Azure Backup mostantól bővítette a helyreállítható törlést is, hogy tovább javítsa az adatok törlését követő helyreállítás esélyét. További információ.
Nem módosítható tárolók
A nem módosítható tároló segít megvédeni a biztonsági mentési adatokat az olyan műveletek blokkolásával, amelyek helyreállítási pontok elvesztéséhez vezethetnek. Emellett zárolhatja a nem módosítható tároló beállítást, hogy visszafordíthatatlanná tegye, ami megakadályozhatja, hogy a rosszindulatú szereplők letiltják a nem módosíthatóságot és töröljék a biztonsági másolatokat. További információ a nem módosítható tárolókról.
Többfelhasználós engedélyezés
A Azure Backup többfelhasználós engedélyezése (MUA) lehetővé teszi egy további védelmi réteg hozzáadását a helyreállítási tárak és a biztonsági mentési tárolók kritikus műveleteihez. A MUA esetében Azure Backup egy másik Azure-erőforrást, a Resource Guardot használja annak biztosítására, hogy a kritikus műveletek végrehajtása csak a megfelelő engedélyekkel történjen. További információ a Azure Backup többfelhasználós engedélyezéséről.
Továbbfejlesztett helyreállítható törlés
A továbbfejlesztett helyreállítható törlés lehetővé teszi az adatok helyreállítását még a törlés után is, véletlenül vagy rosszindulatúan. Úgy működik, hogy késlelteti az adatok meghatározott időtartamig történő végleges törlését, és lehetővé teszi az adatok lekérését. A mindig helyreállítható törléssel megakadályozhatja, hogy le legyen tiltva. További információ a biztonsági mentés továbbfejlesztett helyreállítható törléséről.
Gyanús tevékenységek monitorozása és riasztásai
Azure Backup beépített monitorozási és riasztási képességeket biztosít a Azure Backup kapcsolatos események műveleteinek megtekintéséhez és konfigurálásához. A biztonsági mentési jelentések egyablakos célként szolgálnak a használat nyomon követéséhez, a biztonsági mentések és visszaállítások naplózásához, valamint a különböző részletességi szintek fő trendjeinek azonosításához. A Azure Backup monitorozási és jelentéskészítési eszközeinek használatával azonnal riasztást kaphat a jogosulatlan, gyanús vagy rosszindulatú tevékenységekről.
A hibrid biztonsági másolatok védelmét segítő biztonsági szolgáltatások
Azure Backup szolgáltatás a Microsoft Azure Recovery Services-ügynökkel készít biztonsági másolatot a fájlokról, mappákról, valamint a mennyiségi vagy rendszerállapotról egy helyszíni számítógépről az Azure-ba. A MARS mostantól biztonsági funkciókat biztosít a hibrid biztonsági mentések védelméhez. Ezek a funkciók a következők:
A rendszer egy további hitelesítési réteget ad hozzá, amikor kritikus műveletet hajt végre, például jelszómódosítást. Ennek az ellenőrzésnek az a célja, hogy az ilyen műveleteket csak érvényes Azure-hitelesítő adatokkal rendelkező felhasználók hajthassák végre. További információ a támadásokat megakadályozó funkciókról.
A törölt biztonsági mentési adatok a törlés napjától számított 14 napig megmaradnak. Ez biztosítja az adatok helyreállíthatóságát egy adott időtartamon belül, így akkor sem történik adatvesztés, ha támadás történik. Emellett a rendszer nagyobb számú minimális helyreállítási pontot tart fenn a sérült adatok elleni védelem érdekében. További információ a törölt biztonsági mentési adatok helyreállításáról.
A Microsoft Azure Recovery Services-ügynökkel (MARS) történő biztonsági mentéshez a rendszer jelszóval biztosítja, hogy az adatok titkosítása a Azure Backup való feltöltés és visszafejtés előtt csak a Azure Backup-ból való letöltés után történjen. A jelszó részletei csak a jelszót létrehozó felhasználó és a vele konfigurált ügynök számára érhetők el. A rendszer semmit nem továbbít vagy oszt meg a szolgáltatással. Ez biztosítja az adatok teljes biztonságát, mivel a véletlenül közzétett adatok (például a hálózat középső támadása) a jelszó nélkül használhatatlanok, és a jelszó nem lesz elküldve a hálózaton keresztül.
Standardizált biztonsági követelményeknek való megfelelés
Annak érdekében, hogy a szervezetek megfeleljenek az egyének adatainak gyűjtésére és felhasználására vonatkozó nemzeti/regionális és iparágspecifikus követelményeknek, a Microsoft Azure & Azure Backup a tanúsítványok és igazolások átfogó készletét kínálja. A megfelelőségi tanúsítványok listájának megtekintése