Bagikan melalui


Tentang otorisasi Multi-pengguna menggunakan Resource Guard

Otorisasi multi-pengguna (MUA) untuk Azure Backup memungkinkan Anda menambahkan lapisan perlindungan tambahan ke operasi penting pada vault Layanan Pemulihan dan brankas Cadangan Anda. Untuk MUA, Azure Backup menggunakan sumber daya Azure lain yang disebut Resource Guard untuk memastikan operasi penting dilakukan hanya dengan otorisasi yang berlaku.

Catatan

Otorisasi multi-pengguna menggunakan Resource Guard untuk brankas Backup sekarang tersedia secara umum.

Bagaimana cara kerja MUA untuk Backup?

Azure Backup menggunakan Resource Guard sebagai mekanisme otorisasi tambahan untuk vault Layanan Pemulihan atau brankas Cadangan. Oleh karena itu, untuk melakukan operasi penting (dijelaskan di bawah) dengan sukses, Anda juga harus memiliki izin yang memadai pada Resource Guard terkait.

Penting

Agar berfungsi seperti yang dimaksudkan, Resource Guard harus dimiliki oleh pengguna yang berbeda, dan admin vault tidak boleh memiliki izin Kontributor, Admin MUA Cadangan, atau Operator MUA Cadangan di Resource Guard. Anda dapat menempatkan Resource Guard dalam langganan atau penyewa yang berbeda dari yang berisi vault untuk memberikan perlindungan yang lebih baik.

Operasi penting

Tabel berikut mencantumkan operasi yang dijelaskan sebagai operasi penting dan dapat dilindungi oleh Resource Guard. Anda dapat memilih untuk mengecualikan operasi tertentu agar tidak dilindungi menggunakan Resource Guard saat mengaitkan brankas dengan Resource Guard.

Catatan

Anda tidak dapat mengecualikan operasi yang ditandai sebagai Wajib agar tidak dilindungi menggunakan Resource Guard untuk brankas yang terkait dengannya. Selain itu, operasi penting yang dikecualikan akan berlaku untuk semua brankas yang terkait dengan Resource Guard.

Pilih vault

Operasi Wajib/Opsional Deskripsi
Menonaktifkan penghapusan sementara atau fitur keamanan Wajib Nonaktifkan pengaturan penghapusan sementara pada vault.
Hapus perlindungan MUA Wajib Nonaktifkan perlindungan MUA pada vault.
Hapus perlindungan Opsional Hapus perlindungan dengan menghentikan pencadangan dan melakukan penghapusan data.
Ubah perlindungan Opsional Tambahkan kebijakan pencadangan baru dengan pengurangan retensi atau ubah frekuensi kebijakan untuk meningkatkan RPO.
Mengubah kebijakan Opsional Ubah kebijakan pencadangan untuk mengurangi retensi atau mengubah frekuensi kebijakan untuk meningkatkan RPO.
Mendapatkan PIN keamanan cadangan Opsional Ubah PIN keamanan MARS.
Menghentikan pencadangan dan menyimpan data Opsional Hapus perlindungan dengan menghentikan pencadangan dan melakukan penyimpanan data selamanya atau pertahankan sesuai kebijakan.
Menonaktifkan kekekalan Opsional Nonaktifkan pengaturan imutabilitas pada vault.

Konsep dan proses

Konsep dan proses yang terlibat saat menggunakan MUA untuk Azure Backup dijelaskan di bawah ini.

Mari kita pertimbangkan dua persona berikut untuk pemahaman yang jelas tentang proses dan tanggung jawab. Kedua persona ini dirujuk di seluruh artikel ini.

Admin cadangan: Pemilik vault Layanan Pemulihan atau brankas Cadangan yang melakukan operasi manajemen pada vault. Untuk memulainya, admin Cadangan tidak boleh memiliki izin apa pun di Resource Guard. Ini bisa menjadi peran Operator Pencadangan atau RBAC Kontributor Cadangan pada vault Layanan Pemulihan.

Admin keamanan: Pemilik Resource Guard dan berfungsi sebagai penjaga gerbang operasi penting di brankas. Oleh karena itu, admin Keamanan mengontrol izin yang diperlukan admin Cadangan untuk melakukan operasi penting di brankas. Ini bisa menjadi peran RBAC Admin MUA Cadangan di Resource Guard.

Berikut ini adalah representasi diagram untuk melakukan operasi penting pada brankas yang telah dikonfigurasi MUA menggunakan Resource Guard.

Representasi diagram tentang mengonfigurasi MUA menggunakan Resource Guard.

Berikut adalah alur peristiwa dalam skenario umum:

  1. Admin Cadangan membuat vault Layanan Pemulihan atau brankas Cadangan.

  2. Admin keamanan membuat Resource Guard.

    Resource Guard dapat berada dalam langganan yang berbeda atau penyewa yang berbeda sehubungan dengan vault. Pastikan admin Cadangan tidak memiliki izin Kontributor, Admin MUA Cadangan, atau Operator MUA Cadangan di Resource Guard.

  3. Admin Keamanan memberikan peran Pembaca ke Admin Cadangan untuk Resource Guard (atau cakupan yang relevan). Admin Cadangan memerlukan peran pembaca untuk mengaktifkan MUA di brankas.

  4. Admin Cadangan sekarang mengonfigurasi vault untuk dilindungi oleh MUA melalui Resource Guard.

  5. Sekarang, jika admin Cadangan atau pengguna yang memiliki akses tulis ke vault ingin melakukan operasi penting yang dilindungi dengan Resource Guard di brankas, mereka perlu meminta akses ke Resource Guard. Admin Cadangan dapat menghubungi admin Keamanan untuk detail tentang mendapatkan akses untuk melakukan operasi tersebut. Admin Cadangan dapat melakukan ini menggunakan Privileged Identity Management (PIM) atau proses lain sebagaimana diamanatkan oleh organisasi. Mereka dapat meminta peran RBAC "Operator MUA Cadangan" yang memungkinkan pengguna untuk melakukan hanya operasi penting yang dilindungi oleh Resource Guard dan tidak memungkinkan untuk menghapus Resource Guard.

  6. Admin Keamanan untuk sementara memberikan peran "Operator MUA Cadangan" pada Resource Guard kepada admin Cadangan untuk melakukan operasi penting.

  7. Kemudian admin Backup memulai operasi penting.

  8. Azure Resource Manager memeriksa apakah admin Cadangan memiliki izin yang memadai atau tidak. Karena admin Cadangan sekarang memiliki peran "Operator MUA Cadangan" di Resource Guard, permintaan selesai. Jika admin Cadangan tidak memiliki izin/peran yang diperlukan, permintaan akan gagal.

  9. Admin Keamanan harus memastikan untuk mencabut hak istimewa untuk melakukan operasi penting setelah tindakan yang diotorisasi dilakukan atau setelah durasi yang ditentukan. Anda dapat menggunakan alat JIT Microsoft Entra Privileged Identity Management untuk memastikan hal yang sama.

Catatan

  • Jika Anda memberikan peran Kontributor atau Admin MUA Cadangan pada akses Resource Guard untuk sementara waktu ke Admin Cadangan, peran tersebut juga menyediakan izin penghapusan di Resource Guard. Kami menyarankan Anda untuk memberikan izin Operator MUA Cadangan saja.
  • MUA memberikan perlindungan pada operasi yang tercantum di atas yang dilakukan pada cadangan yang dikubahkan saja. Setiap operasi yang dilakukan langsung pada sumber data (yaitu, sumber daya/beban kerja Azure yang dilindungi) berada di luar cakupan Resource Guard.

Skenario penggunaan

Tabel berikut mencantumkan skenario untuk membuat Resource Guard dan vault Anda (vault Layanan Pemulihan dan brankas Backup), bersama dengan perlindungan relatif yang ditawarkan oleh masing-masing.

Penting

Admin Cadangan tidak boleh memiliki izin Kontributor, Admin MUA Cadangan, atau Operator MUA Cadangan ke Resource Guard dalam skenario apa pun karena ini mengambil alih penambahan perlindungan MUA pada vault.

Skenario penggunaan Perlindungan karena MUA Kemudahan implementasi Catatan
Vault dan Resource Guard berada dalam langganan yang sama.
Admin Cadangan tidak memiliki akses ke Resource Guard.
Isolasi minimal antara admin Cadangan dan admin Keamanan. Relatif mudah diterapkan karena hanya satu langganan yang diperlukan. Izin/ peran tingkat sumber daya perlu dipastikan telah ditetapkan dengan benar.
Vault dan Resource Guard berada dalam langganan yang berbeda tetapi penyewa yang sama.
Admin Cadangan tidak memiliki akses ke Resource Guard atau langganan yang sesuai.
Isolasi sedang antara admin Cadangan dan admin Keamanan. Kemudahan implementasi yang relatif sedang karena dua langganan (tetapi satu penyewa) diperlukan. Pastikan bahwa izin/peran ditetapkan dengan benar untuk sumber daya atau langganan.
Vault dan Resource Guard berada di penyewa yang berbeda.
Admin Cadangan tidak memiliki akses ke Resource Guard, langganan yang sesuai, atau penyewa yang sesuai.
Isolasi maksimum antara admin Cadangan dan admin Keamanan, oleh karena itu, keamanan maksimum. Relatif sulit untuk diuji karena membutuhkan dua penyewa atau direktori untuk diuji. Pastikan bahwa izin/ peran ditetapkan dengan benar untuk sumber daya, langganan, atau direktori.

Langkah berikutnya

Konfigurasikan Otorisasi multi-pengguna menggunakan Resource Guard.