Condividi tramite


Funzionalità di sicurezza per la protezione dei backup ibridi che usano Backup di Azure

Le preoccupazioni riguardo ai problemi di sicurezza, come malware, ransomware e intrusioni, aumentano continuamente. Questi problemi di sicurezza possono essere costosi in termini di denaro e di dati. Per evitare questi attacchi, Backup di Azure offre ora una serie di funzionalità di sicurezza per la protezione dei backup ibridi. Questo articolo illustra come abilitare e sfruttare queste funzionalità per proteggere i carichi di lavoro locali usando Microsoft Backup di Azure Server (MABS), Data Protection Manager (DPM) e l'agente servizi di ripristino di Microsoft Azure. Queste funzionalità sono:

  • Prevenzione. Ogni volta che viene eseguita un'operazione critica, come la modifica di una passphrase, viene aggiunto un ulteriore livello di autenticazione. Questa convalida serve a garantire che tali operazioni possano essere eseguite solo dagli utenti che hanno credenziali di Azure valide.
  • Invio di avvisi. Ogni volta che viene eseguita un'operazione critica, come l'eliminazione dei dati di backup, viene inviata una notifica tramite posta elettronica all'amministratore della sottoscrizione. Questo messaggio di posta elettronica garantisce che l'utente venga informato rapidamente riguardo a tali azioni.
  • Ripristino. I dati di backup eliminati vengono conservati per altri 14 giorni dalla data di eliminazione. In questo modo, viene garantita la possibilità di recuperare i dati entro un certo periodo di tempo, così da scongiurare la perdita di dati anche in caso di attacco. Inoltre, viene conservato un maggior numero di punti di recupero per prevenire il rischio di dati danneggiati.

Nota

Abilitare l'autorizzazione multiutente (MUA) nell'insieme di credenziali dei servizi di ripristino per aggiungere un ulteriore livello di protezione al funzionamento critico della disabilitazione delle funzionalità di sicurezza. Ulteriori informazioni.

Requisiti di versione minima

Abilitare le funzionalità di sicurezza solo se si usa:

  • agente Backup di Azure: versione minima dell'agente 2.0.9052. Dopo aver abilitato queste funzionalità, aggiornare la versione dell'agente per eseguire operazioni critiche.
  • Backup di Azure Server: versione minima dell'agente Backup di Azure 2.0.9052 con Backup di Azure Server update 1.
  • System Center Data Protection Manager: versione minima dell'agente di Backup di Azure versione 2.0.9052 con Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.

Nota

Assicurarsi di non abilitare le funzionalità di sicurezza se si usa il backup di macchine virtuali IaaS (Infrastructure as a Service). Attualmente, queste funzionalità non sono disponibili per il backup delle macchine virtuali IaaS e pertanto l'abilitazione non avrà alcun impatto.

Abilitare le funzionalità di sicurezza

Se si sta creando un insieme di credenziali di Servizi di ripristino, è possibile usare tutte le funzionalità di sicurezza. Se si usa un insieme di credenziali esistente, abilitare le funzionalità di sicurezza seguendo questa procedura:

  1. Accedere al portale di Azure con le credenziali di Azure.

  2. Selezionare Sfoglia e quindi digitare Servizi di ripristino.

    Screenshot of Azure portal Browse option

    Viene visualizzato l'elenco di insiemi di credenziali dei servizi di ripristino. Selezionare un insieme di credenziali dall'elenco. Viene aperto il dashboard dell'insieme di credenziali selezionato.

  3. Nell'elenco di elementi visualizzati nell'insieme di credenziali, in Impostazioni selezionare Proprietà.

    Screenshot of Recovery Services vault options

  4. In Sicurezza Impostazioni selezionare Aggiorna.

    Screenshot of Recovery Services vault properties

    Il collegamento di aggiornamento apre il riquadro Sicurezza Impostazioni, che fornisce un riepilogo delle funzionalità e consente di abilitarle.

  5. Abilitare le funzionalità di sicurezza e selezionare Salva.

    Screenshot of security settings

Ripristino dei dati di backup eliminati

Se l'impostazione delle funzionalità di sicurezza è abilitata, Backup di Azure mantiene i dati di backup eliminati per altri 14 giorni e non la elimina immediatamente se viene eseguita l'operazione Arresta backup con eliminazione dei dati di backup. Per ripristinare questi dati nel periodo di 14 giorni, seguire questa procedura, a seconda di ciò che si sta usando:

Per utenti dell'agente di Servizi di ripristino di Azure:

  1. Se il computer in cui sono stati eseguiti i backup è ancora disponibile, riproteggere le origini dati eliminate e usare recupera i dati nello stesso computer in Servizi di ripristino di Azure per eseguire il ripristino da tutti i punti di ripristino precedenti.
  2. Se il computer non è disponibile, usare Ripristina in un computer alternativo per usare un altro computer di Servizi di ripristino di Azure per ottenere questi dati.

Per gli utenti che usano il server di Backup di Azure:

  1. Se il server in cui sono stati eseguiti i backup è ancora disponibile, riproteggere le origini dati eliminate e usare la funzionalità Ripristina dati per eseguire il ripristino da tutti i punti di ripristino precedenti.
  2. Se questo server non è disponibile, usare Recupera dati da un altro server Backup di Azure per usare un'altra istanza del server Backup di Azure per ottenere questi dati.

Per gli utenti di Data Protection Manager:

  1. Se il server in cui sono stati eseguiti i backup è ancora disponibile, riproteggere le origini dati eliminate e usare la funzionalità Ripristina dati per eseguire il ripristino da tutti i punti di ripristino precedenti.
  2. Se questo server non è disponibile, usare Aggiungi DPM esterno per usare un altro server di Data Protection Manager per ottenere questi dati.

Prevenire gli attacchi

Sono stati aggiunti alcuni controlli per garantire che solo gli utenti validi possano eseguire diverse operazioni. Questi controlli includono l'aggiunta di un ulteriore livello di autenticazione e il mantenimento di un intervallo minimo di conservazione per scopi di ripristino.

Autenticazione per eseguire operazioni critiche

Come parte dell'aggiunta di un ulteriore livello di autenticazione per le operazioni critiche, viene richiesto di immettere un PIN di sicurezza quando si esegue Interrompi protezione con Elimina dati e Modifica passphrase per DPM, MABS e MARS.

Inoltre, con MARS versione 2.0.9262.0 e successive, le operazioni per rimuovere un volume dal backup di file/cartelle MARS, aggiungere una nuova impostazione di esclusione per un volume esistente, ridurre la durata della conservazione e passare a una pianificazione di backup meno frequente sono protette anche con un pin di sicurezza per maggiore sicurezza.

Nota

Attualmente, per le versioni di DPM e MABS seguenti, il PIN di sicurezza è supportato per l'arresto della protezione con l'eliminazione dei dati nell'archiviazione online:

  • DPM 2016 UR9 o versione successiva
  • DPM 2019 UR1 o versione successiva
  • MABS v3 UR1 o versione successiva

Per ricevere questo PIN:

  1. Accedi al portale di Azure.
  2. Passare a Insiemi di credenziali dei servizi di ripristino>Impostazioni>Proprietà.
  3. In PIN di sicurezza selezionare Genera. Verrà aperto un riquadro contenente il PIN da immettere nell'interfaccia utente dell'agente di Servizi di ripristino di Azure. Questo PIN è valido solo per cinque minuti e viene generato automaticamente dopo questo periodo.

Mantenimento di un intervallo minimo di conservazione

Per garantire che sia sempre disponibile un numero valido di punti di recupero, sono stati aggiunti i controlli seguenti:

  • Per la conservazione giornaliera, è necessario garantire almeno sette giorni.
  • Per la conservazione settimanale, è necessario garantire almeno quattro settimane.
  • Per la conservazione mensile, è necessario garantire almeno tre mesi.
  • Per la conservazione annuale, è necessario garantire almeno un anno.

Notifiche relative alle operazioni critiche

In genere, quando viene eseguita un'operazione critica, l'amministratore della sottoscrizione riceve una notifica tramite posta elettronica con i dettagli dell'operazione. È possibile configurare altri destinatari di posta elettronica per queste notifiche usando il portale di Azure.

Le funzionalità di sicurezza descritte in questo articolo offrono meccanismi di difesa da attacchi mirati. Un aspetto ancora più importante è che se si verifica un attacco, queste funzionalità permettono di ripristinare i dati.

Risolvere gli errori

Operazione Dettagli errore Risoluzione
Modifica dei criteri Non è stato possibile modificare i criteri di backup. Errore: impossibile eseguire l'operazione corrente a causa di un errore di servizio interno [0x29834]. Ripetere l'operazione in un secondo momento. Se il problema persiste, contattare il supporto tecnico Microsoft. Causa:
Questo errore viene visualizzato quando le impostazioni di sicurezza sono abilitate, si tenta di ridurre l'intervallo di conservazione al di sotto dei valori minimi specificati in precedenza e si è in una versione non supportata (le versioni supportate vengono specificate nella prima nota di questo articolo).
Azione consigliata:
In questo caso, per procedere con gli aggiornamenti relativi ai criteri è consigliabile impostare un periodo di memorizzazione maggiore del valore minimo specificato (sette giorni per il backup giornaliero, quattro settimane per il backup settimanale, tre settimane per il backup mensile e un anno per il backup annuale). Facoltativamente, un approccio preferito consiste nell'aggiornare l'agente di backup, Backup di Azure Server e/o DPM UR per sfruttare tutti gli aggiornamenti della sicurezza.
Modificare la passphrase Il PIN di sicurezza immesso non è corretto. (ID: 100130) Specificare il PIN di sicurezza corretto per completare questa operazione. Causa:
Questo errore si verifica quando si immette un PIN di sicurezza non valido o scaduto durante l'esecuzione di operazioni critiche, ad esempio la modifica della passphrase.
Azione consigliata:
Per completare l'operazione, è necessario immettere un PIN di sicurezza valido. Per ottenere il PIN, accedere al portale di Azure e passare all'insieme di credenziali > di Servizi di ripristino Impostazioni > Proprietà > Genera PIN di sicurezza. Usare questo PIN per modificare la passphrase.
Modificare la passphrase Operazione non riuscita. ID: 120002 Causa:
Questo errore viene visualizzato quando le impostazioni di sicurezza sono abilitate, si tenta di modificare la passphrase e si è in una versione non supportata (versioni valide specificate nella prima nota di questo articolo).
Azione consigliata:
Per modificare la passphrase, è prima necessario aggiornare l'agente di backup alla versione minima 2.0.9052, Backup di Azure Server all'aggiornamento minimo 1 e/o DPM al valore minimo di DPM 2012 R2 UR12 o DPM 2016 UR2 (collegamenti di download seguenti), quindi immettere un PIN di sicurezza valido. Per ottenere il PIN, accedere al portale di Azure e passare all'insieme di credenziali > di Servizi di ripristino Impostazioni > Proprietà > Genera PIN di sicurezza. Usare questo PIN per modificare la passphrase.

Supporto per l'immutabilità

Quando l'immutabilità per l'insieme di credenziali di Servizi di ripristino è abilitata, le operazioni che riducono la conservazione dei backup cloud o rimuovono il backup cloud per le origini dati locali vengono bloccate.

Supporto dell'immutabilità per DPM e MABS

Questa funzionalità è supportata con l'agente MARS versione 2.0.9250.0 e successive da DPM 2022 UR1 e MABS v4.

La tabella seguente elenca le operazioni non consentite in DPM connesso a un ripristino non modificabile:

Operazione nell'insieme di credenziali non modificabile Risultato con DPM 2022 UR1, MABS v4 e l'agente MARS più recente.

Con DPM 2022 UR2 o MABS v4 UR1, è possibile selezionare l'opzione per conservare i punti di ripristino online in base ai criteri quando si arresta la protezione o si rimuove un'origine dati da un gruppo protezione dati dalla console.
Risultato con l'agente DPM/MABS o MARS meno recente
Rimuovere l'origine dati dal gruppo protezione dati configurato per il backup online 81001: gli elementi di backup non possono essere eliminati perché dispone di punti di ripristino attivi e l'insieme di credenziali selezionato è un insieme di credenziali non modificabile. 130001: Microsoft Backup di Azure ha rilevato un errore interno.
Arrestare la protezione con l'eliminazione dei dati 81001: gli elementi di backup non possono essere eliminati perché dispone di punti di ripristino attivi e l'insieme di credenziali selezionato è un insieme di credenziali non modificabile.

Con DPM 2022 UR2 o MABS v4 UR1, è possibile selezionare l'opzione per conservare i punti di ripristino online in base ai criteri quando si arresta la protezione o si rimuove un'origine dati da un gruppo protezione dati dalla console.
130001: Microsoft Backup di Azure ha rilevato un errore interno.
Ridurre il periodo di conservazione online 810002: la riduzione della conservazione durante la modifica di criteri/protezione non è consentita perché l'insieme di credenziali selezionato non è modificabile. 130001: Microsoft Backup di Azure ha rilevato un errore interno.
Comando Remove-DPMChildDatasource 81001: gli elementi di backup non possono essere eliminati perché dispone di punti di ripristino attivi e l'insieme di credenziali selezionato è un insieme di credenziali non modificabile.

Usare la nuova opzione -EnableOnlineRPsPruning con -KeepOnlineData per conservare i dati solo fino alla durata dei criteri.

Con DPM 2022 UR2 o MABS v4 UR1, è possibile selezionare l'opzione per conservare i punti di ripristino online in base ai criteri quando si arresta la protezione o si rimuove un'origine dati da un gruppo protezione dati dalla console.
130001: Microsoft Backup di Azure ha rilevato un errore interno.

Usare il flag -KeepOnlineData per conservare i dati.

Supporto dell'immutabilità per MARS

Nella tabella seguente sono elencate le operazioni non consentite per MARS quando l'immutabilità è abilitata nell'insieme di credenziali di Servizi di ripristino. Sono consentite altre operazioni, ad esempio l'aumento della conservazione e l'esclusione di un file/cartella dal backup.

Operazione non consentita Risultato con l'agente MARS più recente Risultato con l'agente MARS precedente
Arrestare la protezione con l'eliminazione dei dati per lo stato del sistema Errore 810001

L'utente tenta di eliminare l'elemento di backup o arrestare la protezione con l'eliminazione dei dati in cui l'elemento di backup ha un punto di ripristino valido (non scaduto).
Errore 130001

Backup di Microsoft Azure ha riscontrato un errore interno.
Arrestare la protezione con l'eliminazione dei dati Errore 810001

L'utente tenta di eliminare l'elemento di backup o arrestare la protezione con l'eliminazione dei dati in cui l'elemento di backup ha un punto di ripristino valido (non scaduto).
Errore 130001

Backup di Microsoft Azure ha riscontrato un errore interno.

MARS 2.0.9262.0 e versioni successive offrono la possibilità di arrestare la protezione e conservare i punti di ripristino in base ai criteri nella console.
Ridurre il periodo di conservazione online L'utente tenta di modificare i criteri o la protezione con riduzione della conservazione. 130001

Backup di Microsoft Azure ha riscontrato un errore interno.
Remove-OBPolicy con il flag -DeleteBackup 810001

L'utente tenta di eliminare l'elemento di backup o arrestare la protezione con l'eliminazione dei dati in cui l'elemento di backup ha un punto di ripristino valido (non scaduto).

Usare il flag –EnablePruning per conservare i backup fino al periodo di conservazione.
130001

Backup di Microsoft Azure ha riscontrato un errore interno.

Non usare il flag -DeleteBackup .

MARS 2.0.9262.0 e versioni successive offrono la possibilità di arrestare la protezione e conservare i punti di ripristino in base ai criteri nella console.

Passaggi successivi