Ringkasan fitur keamanan di Azure Backup
Salah satu langkah terpenting yang dapat diambil untuk melindungi data Anda adalah memiliki infrastruktur pencadangan yang andal. Tetapi sama pentingnya untuk memastikan bahwa data Anda dicadangkan dengan cara yang aman, dan cadangan Anda terlindungi setiap saat. Azure Backup menyediakan keamanan untuk lingkungan cadangan Anda - baik saat data Anda sedang transit maupun saat tidak aktif. Pelajari tentang kapabilitas keamanan di Azure Backup yang membantu Anda melindungi data cadangan dan memenuhi kebutuhan keamanan bisnis Anda.
Manajemen dan kontrol identitas serta akses pengguna
Akun penyimpanan yang digunakan oleh kubah Layanan Pemulihan diisolasi dan tidak dapat diakses oleh pengguna untuk tujuan berbahaya apa pun. Akses hanya diperbolehkan melalui operasi manajemen Azure Backup, seperti pemulihan. Azure Backup memungkinkan Anda mengontrol operasi terkelola melalui akses detail menggunakan kontrol akses berbasis peran Azure (Azure RBAC). Azure RBAC memungkinkan Anda untuk memisahkan tugas dalam tim Anda dan hanya memberikan jumlah akses kepada pengguna yang diperlukan untuk melakukan pekerjaan mereka.
Azure Backup menyediakan tiga peran bawaan untuk mengontrol operasi manajemen cadangan:
- Kontributor Cadangan: Untuk membuat dan mengelola cadangan, kecuali menghapus vault Layanan Pemulihan dan memberikan akses kepada orang lain
- Operator Cadangan: Semua yang dilakukan kontributor kecuali menghapus pencadangan dan mengelola kebijakan pencadangan
- Pembaca Cadangan: izin untuk melihat semua operasi manajemen cadangan
Pelajari selengkapnya tentang kontrol akses berbasis peran Azure untuk mengelola Azure Backup.
Azure Backup memiliki beberapa kontrol keamanan yang disertakan ke dalam layanan untuk mencegah, mendeteksi, dan merespons kerentanan keamanan. Pelajari selengkapnya tentang kontrol keamanan untuk Azure Backup.
Isolasi data dengan Azure Backup
Dengan Azure Backup, data cadangan yang dikubah disimpan di langganan dan penyewa Azure yang dikelola Microsoft. Pengguna atau tamu eksternal tidak memiliki akses langsung ke penyimpanan cadangan ini atau kontennya, memastikan isolasi data cadangan dari lingkungan produksi tempat sumber data berada.
Di Azure, semua komunikasi dan data saat transit ditransfer dengan aman dengan protokol HTTPS dan TLS 1.2+ . Data ini tetap berada di jaringan backbone Azure yang memastikan transmisi data yang andal dan efisien. Data cadangan tidak aktif dienkripsi secara default menggunakan kunci yang dikelola Microsoft. Anda juga dapat membawa kunci Anda sendiri untuk enkripsi jika Anda memerlukan kontrol yang lebih besar atas data. Untuk meningkatkan perlindungan, Anda dapat menggunakan kekekalan, yang mencegah data diubah atau dihapus sebelum periode retensinya. Azure Backup memberi Anda berbagai opsi seperti penghapusan sementara, menghentikan pencadangan dan menghapus data atau menyimpan data jika Anda perlu menghentikan pencadangan kapan saja. Untuk melindungi operasi penting, Anda dapat menambahkan Otorisasi Multi-Pengguna (MUA) yang menambahkan lapisan perlindungan tambahan dengan menggunakan sumber daya Azure yang disebut Azure Resource Guard.
Pendekatan yang kuat ini memastikan bahwa bahkan di lingkungan yang disusupi, cadangan yang ada tidak dapat dirusak atau dihapus oleh pengguna yang tidak sah.
Konektivitas internet tidak diperlukan untuk cadangan Azure VM
Cadangan Azure VM memerlukan pergerakan data dari disk komputer virtual Anda ke kubah Layanan Pemulihan. Namun, semua komunikasi dan transfer data yang diperlukan hanya terjadi di jaringan backbone Azure tanpa perlu mengakses jaringan virtual Anda. Oleh karena itu, cadangan Azure VM yang ditempatkan di dalam jaringan aman tidak mengharuskan Anda untuk mengizinkan akses ke IP atau FQDN mana pun.
Titik Akhir Privat untuk Azure Backup
Sekarang Anda dapat menggunakan Titik Akhir Privat untuk mencadangkan data Anda dengan aman dari server di dalam jaringan virtual ke kubah Layanan Pemulihan Anda. Titik akhir privat menggunakan IP dari ruang alamat VNET untuk kubah Anda, sehingga Anda tidak perlu mengekspos jaringan virtual Anda ke IP publik mana pun. Titik Akhir Privat dapat digunakan untuk mencadangkan dan memulihkan database SQL dan SAP HANA Anda yang berjalan di dalam Azure VM Anda. Ini juga dapat digunakan untuk server lokal Anda menggunakan agen MARS.
Baca selengkapnya tentang titik akhir privat untuk Azure Backup di sini.
Enkripsi data
Enkripsi melindungi data Anda dan membantu Anda memenuhi komitmen keamanan dan kepatuhan organisasi Anda. Enkripsi data terjadi dalam berbagai tahap di Azure Backup:
Dalam Azure, data yang transit antara penyimpanan Azure dan kubah dilindungi oleh HTTPS. Data ini tetap ada di jaringan backbone Azure.
Data cadangan secara otomatis dienkripsi menggunakan kunci yang dikelola platform, dan Anda tidak perlu mengambil tindakan eksplisit untuk mengaktifkannya. Anda juga dapat mengenkripsi data yang dicadangkan menggunakan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault. Ini berlaku untuk semua beban kerja yang dicadangkan ke kubah Layanan Pemulihan Anda.
Azure Backup mendukung pencadangan dan pemulihan Azure VM yang memiliki disk OS/data mereka dienkripsi dengan Azure Disk Encryption (ADE) dan VM dengan disk terenkripsi CMK. Untuk informasi selengkapnya, pelajari selengkapnya tentang Azure VM terenkripsi dan Azure Backup.
Ketika data dicadangkan dari server lokal dengan agen MARS, data dienkripsi dengan frasa sandi sebelum diunggah ke Azure Backup dan didekripsi hanya setelah diunduh dari Azure Backup. Baca selengkapnya tentang fitur keamanan untuk membantu melindungi cadangan hibrid.
Penghapusan sementara
Azure Backup menyediakan fitur keamanan untuk membantu melindungi data cadangan bahkan setelah penghapusan. Dengan penghapusan sementara, jika Anda menghapus cadangan VM, data cadangan disimpan selama 14 hari tambahan, memungkinkan pemulihan item cadangan tersebut tanpa kehilangan data. Retensi data cadangan tambahan 14 hari dalam status "penghapusan sementara tidak dikenakan biaya apa pun. Pelajari lebih lanjut tentang penghapusan sementara.
Azure Backup sekarang juga telah meningkatkan penghapusan sementara untuk lebih meningkatkan kemungkinan pemulihan data setelah penghapusan. Pelajari selengkapnya.
Vault yang tidak dapat diubah
Vault yang tidak dapat diubah dapat membantu Anda melindungi data cadangan Anda dengan memblokir operasi apa pun yang dapat menyebabkan hilangnya titik pemulihan. Selanjutnya, Anda dapat mengunci pengaturan vault yang tidak dapat diubah untuk membuatnya tidak dapat diubah yang dapat mencegah aktor jahat menonaktifkan kekekalan dan menghapus cadangan. Pelajari selengkapnya tentang vault yang tidak dapat diubah.
Otorisasi multi-pengguna
Otorisasi multi-pengguna (MUA) untuk Azure Backup memungkinkan Anda menambahkan lapisan perlindungan tambahan ke operasi penting pada vault Layanan Pemulihan dan brankas Cadangan Anda. Untuk MUA, Azure Backup menggunakan sumber daya Azure lain yang disebut Resource Guard untuk memastikan operasi penting dilakukan hanya dengan otorisasi yang berlaku. Pelajari selengkapnya tentang otorisasi multi-pengguna untuk Azure Backup.
Penghapusan sementara yang ditingkatkan
Penghapusan sementara yang ditingkatkan memberi Anda kemampuan untuk memulihkan data Anda bahkan setelah dihapus, secara tidak sengaja, atau berbahaya. Ini bekerja dengan menunda penghapusan data secara permanen dengan durasi tertentu, memberi Anda kesempatan untuk mengambilnya. Anda juga dapat membuat penghapusan sementara selalu aktif untuk mencegahnya dinonaktifkan. Pelajari selengkapnya tentang penghapusan sementara yang disempurnakan untuk Pencadangan.
Pemantauan dan peringatan aktivitas yang mencurigakan
Azure Backup menyediakan kapabilitas pemantauan dan peringatan bawaan untuk menampilkan dan mengonfigurasi tindakan untuk peristiwa yang terkait dengan Azure Backup. Laporan Cadangan berfungsi sebagai tujuan satu atap untuk melacak penggunaan, mengaudit cadangan dan pemulihan, dan mengidentifikasi tren utama pada tingkat granularitas yang berbeda. Menggunakan alat pemantauan dan pelaporan Azure Backup dapat memperingatkan Anda tentang aktivitas yang tidak sah, mencurigakan, atau berbahaya segera setelah hal tersebut terjadi.
Fitur keamanan untuk membantu melindungi cadangan hibrid
Layanan Azure Backup menggunakan agen Microsoft Azure Recovery Services (MARS) untuk mencadangkan dan memulihkan file, folder, dan volume atau status sistem dari komputer lokal ke Azure. MARS sekarang menyediakan fitur keamanan untuk membantu melindungi cadangan hibrid. Fitur ini mencakup:
Lapisan autentikasi tambahan ditambahkan setiap kali operasi penting seperti mengubah frasa sandi dilakukan. Validasi ini untuk memastikan bahwa operasi tersebut hanya dapat dilakukan oleh pengguna yang memiliki kredensial Azure yang valid. Pelajari selengkapnya tentang fitur yang mencegah serangan.
Data cadangan yang dihapus dipertahankan selama 14 hari tambahan sejak tanggal penghapusan. Ini memastikan pemulihan data dalam periode waktu tertentu, sehingga tidak ada data yang hilang bahkan jika serangan terjadi. Juga, sejumlah besar titik pemulihan minimum dipertahankan untuk menjaga terhadap data yang rusak. Pelajari selengkapnya tentang memulihkan data cadangan yang dihapus.
Untuk data yang dicadangkan menggunakan agen Microsoft Azure Recovery Services (MARS), frasa sandi digunakan untuk memastikan data dienkripsi sebelum diunggah ke Azure Backup dan didekripsi hanya setelah diunduh dari Azure Backup. Detail frasa sandi hanya tersedia untuk pengguna yang membuat frasa sandi dan agen yang dikonfigurasi dengannya. Tidak ada yang ditransmisikan atau dibagikan dengan layanan. Ini memastikan keamanan lengkap data Anda, karena data apa pun yang diekspos secara tidak sengaja (seperti serangan man-in-the-middle pada jaringan) tidak dapat digunakan tanpa frasa sandi, dan frasa sandi tidak dikirim melalui jaringan.
Postur keamanan dan tingkat keamanan
Azure Backup menyediakan fitur keamanan di tingkat brankas untuk melindungi data cadangan yang disimpan di dalamnya. Langkah-langkah keamanan ini mencakup pengaturan yang terkait dengan solusi Azure Backup untuk vault, dan sumber data yang dilindungi yang terkandung dalam vault.
Tingkat keamanan untuk vault Azure Backup dikategorikan sebagai berikut:
Sangat baik (Maksimum): Tingkat ini mewakili keamanan tertinggi, yang memastikan perlindungan komprehensif. Anda dapat mencapai ini ketika semua data cadangan dilindungi dari penghapusan dan pertahanan yang tidak disengaja dari serangan ransomware. Untuk mencapai tingkat keamanan yang tinggi ini, kondisi berikut harus terpenuhi:
- Pengaturan brankas kekekalan atau penghapusan sementara harus diaktifkan dan tidak dapat diubah (terkunci/selalu aktif).
- Otorisasi multi-pengguna (MUA) harus diaktifkan pada vault.
Baik (Memadai): Ini menandakan tingkat keamanan yang kuat, yang memastikan perlindungan data yang dapat diandalkan. Tingkat keamanan ini melindungi cadangan yang ada dari penghapusan yang tidak disengaja dan meningkatkan potensi pemulihan data. Untuk mencapai tingkat keamanan ini, Anda harus mengaktifkan kekekalan dengan kunci atau penghapusan sementara.
Adil (Minimum/Rata-rata): Ini mewakili tingkat keamanan dasar, sesuai untuk persyaratan perlindungan standar. Operasi pencadangan penting mendapat manfaat dari lapisan perlindungan tambahan. Untuk mencapai keamanan minimal, Anda harus mengaktifkan Otorisasi Multi-pengguna (MUA) di vault.
Buruk (Buruk/Tidak Ada): Ini menunjukkan kekurangan dalam langkah-langkah keamanan, yang kurang cocok untuk perlindungan data. Dalam tingkat ini, tidak ada fitur pelindung tingkat lanjut atau hanya kemampuan yang dapat dibalik. Keamanan tingkat Tidak Ada memberikan perlindungan terutama dari penghapusan yang tidak disengaja saja.
Kepatuhan terhadap persyaratan keamanan standar
Untuk membantu organisasi mematuhi persyaratan nasional/regional dan khusus industri yang mengatur pengumpulan dan penggunaan data individu, Microsoft Azure & Azure Backup menawarkan serangkaian sertifikasi dan pengesahan yang komprehensif. Lihat daftar sertifikasi kepatuhan