Funzionalità di sicurezza per la protezione dei backup ibridi che usano Backup di Azure
Le preoccupazioni riguardo ai problemi di sicurezza, come malware, ransomware e intrusioni, aumentano continuamente. Questi problemi di sicurezza possono essere costosi in termini di denaro e di dati. Per evitare questi attacchi, Backup di Azure offre ora una serie di funzionalità di sicurezza per la protezione dei backup ibridi. Questo articolo illustra come abilitare e sfruttare queste funzionalità per proteggere i carichi di lavoro locali usando Microsoft Backup di Azure Server (MABS), Data Protection Manager (DPM) e l'agente servizi di ripristino di Microsoft Azure. Queste funzionalità sono:
- Prevenzione. Ogni volta che viene eseguita un'operazione critica, come la modifica di una passphrase, viene aggiunto un ulteriore livello di autenticazione. Questa convalida serve a garantire che tali operazioni possano essere eseguite solo dagli utenti che hanno credenziali di Azure valide.
- Invio di avvisi. Ogni volta che viene eseguita un'operazione critica, come l'eliminazione dei dati di backup, viene inviata una notifica tramite posta elettronica all'amministratore della sottoscrizione. Questo messaggio di posta elettronica garantisce che l'utente venga informato rapidamente riguardo a tali azioni.
- Ripristino. I dati di backup eliminati vengono conservati per altri 14 giorni dalla data di eliminazione. In questo modo, viene garantita la possibilità di recuperare i dati entro un certo periodo di tempo, così da scongiurare la perdita di dati anche in caso di attacco. Inoltre, viene conservato un maggior numero di punti di recupero per prevenire il rischio di dati danneggiati.
Nota
Abilitare l'autorizzazione multiutente (MUA) nell'insieme di credenziali dei servizi di ripristino per aggiungere un ulteriore livello di protezione al funzionamento critico della disabilitazione delle funzionalità di sicurezza. Ulteriori informazioni.
Requisiti di versione minima
Abilitare le funzionalità di sicurezza solo se si usa:
- agente Backup di Azure: versione minima dell'agente 2.0.9052. Dopo aver abilitato queste funzionalità, aggiornare la versione dell'agente per eseguire operazioni critiche.
- Backup di Azure Server: versione minima dell'agente Backup di Azure 2.0.9052 con Backup di Azure Server update 1.
- System Center Data Protection Manager: versione minima dell'agente di Backup di Azure versione 2.0.9052 con Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.
Nota
Assicurarsi di non abilitare le funzionalità di sicurezza se si usa il backup di macchine virtuali IaaS (Infrastructure as a Service). Attualmente, queste funzionalità non sono disponibili per il backup delle macchine virtuali IaaS e pertanto l'abilitazione non avrà alcun impatto.
Abilitare le funzionalità di sicurezza
Se si sta creando un insieme di credenziali di Servizi di ripristino, è possibile usare tutte le funzionalità di sicurezza. Se si usa un insieme di credenziali esistente, abilitare le funzionalità di sicurezza seguendo questa procedura:
Accedere al portale di Azure con le credenziali di Azure.
Selezionare Sfoglia e quindi digitare Servizi di ripristino.
Viene visualizzato l'elenco di insiemi di credenziali dei servizi di ripristino. Selezionare un insieme di credenziali dall'elenco. Viene aperto il dashboard dell'insieme di credenziali selezionato.
Nell'elenco di elementi visualizzati nell'insieme di credenziali, in Impostazioni selezionare Proprietà.
In Sicurezza Impostazioni selezionare Aggiorna.
Il collegamento di aggiornamento apre il riquadro Sicurezza Impostazioni, che fornisce un riepilogo delle funzionalità e consente di abilitarle.
Abilitare le funzionalità di sicurezza e selezionare Salva.
Ripristino dei dati di backup eliminati
Se l'impostazione delle funzionalità di sicurezza è abilitata, Backup di Azure mantiene i dati di backup eliminati per altri 14 giorni e non la elimina immediatamente se viene eseguita l'operazione Arresta backup con eliminazione dei dati di backup. Per ripristinare questi dati nel periodo di 14 giorni, seguire questa procedura, a seconda di ciò che si sta usando:
Per utenti dell'agente di Servizi di ripristino di Azure:
- Se il computer in cui sono stati eseguiti i backup è ancora disponibile, riproteggere le origini dati eliminate e usare recupera i dati nello stesso computer in Servizi di ripristino di Azure per eseguire il ripristino da tutti i punti di ripristino precedenti.
- Se il computer non è disponibile, usare Ripristina in un computer alternativo per usare un altro computer di Servizi di ripristino di Azure per ottenere questi dati.
Per gli utenti che usano il server di Backup di Azure:
- Se il server in cui sono stati eseguiti i backup è ancora disponibile, riproteggere le origini dati eliminate e usare la funzionalità Ripristina dati per eseguire il ripristino da tutti i punti di ripristino precedenti.
- Se questo server non è disponibile, usare Recupera dati da un altro server Backup di Azure per usare un'altra istanza del server Backup di Azure per ottenere questi dati.
Per gli utenti di Data Protection Manager:
- Se il server in cui sono stati eseguiti i backup è ancora disponibile, riproteggere le origini dati eliminate e usare la funzionalità Ripristina dati per eseguire il ripristino da tutti i punti di ripristino precedenti.
- Se questo server non è disponibile, usare Aggiungi DPM esterno per usare un altro server di Data Protection Manager per ottenere questi dati.
Prevenire gli attacchi
Sono stati aggiunti alcuni controlli per garantire che solo gli utenti validi possano eseguire diverse operazioni. Questi controlli includono l'aggiunta di un ulteriore livello di autenticazione e il mantenimento di un intervallo minimo di conservazione per scopi di ripristino.
Autenticazione per eseguire operazioni critiche
Come parte dell'aggiunta di un ulteriore livello di autenticazione per le operazioni critiche, viene richiesto di immettere un PIN di sicurezza quando si esegue Interrompi protezione con Elimina dati e Modifica passphrase per DPM, MABS e MARS.
Inoltre, con MARS versione 2.0.9262.0 e successive, le operazioni per rimuovere un volume dal backup di file/cartelle MARS, aggiungere una nuova impostazione di esclusione per un volume esistente, ridurre la durata della conservazione e passare a una pianificazione di backup meno frequente sono protette anche con un pin di sicurezza per maggiore sicurezza.
Nota
Attualmente, per le versioni di DPM e MABS seguenti, il PIN di sicurezza è supportato per l'arresto della protezione con l'eliminazione dei dati nell'archiviazione online:
- DPM 2016 UR9 o versione successiva
- DPM 2019 UR1 o versione successiva
- MABS v3 UR1 o versione successiva
Per ricevere questo PIN:
- Accedi al portale di Azure.
- Passare a Insiemi di credenziali dei servizi di ripristino>Impostazioni>Proprietà.
- In PIN di sicurezza selezionare Genera. Verrà aperto un riquadro contenente il PIN da immettere nell'interfaccia utente dell'agente di Servizi di ripristino di Azure. Questo PIN è valido solo per cinque minuti e viene generato automaticamente dopo questo periodo.
Mantenimento di un intervallo minimo di conservazione
Per garantire che sia sempre disponibile un numero valido di punti di recupero, sono stati aggiunti i controlli seguenti:
- Per la conservazione giornaliera, è necessario garantire almeno sette giorni.
- Per la conservazione settimanale, è necessario garantire almeno quattro settimane.
- Per la conservazione mensile, è necessario garantire almeno tre mesi.
- Per la conservazione annuale, è necessario garantire almeno un anno.
Notifiche relative alle operazioni critiche
In genere, quando viene eseguita un'operazione critica, l'amministratore della sottoscrizione riceve una notifica tramite posta elettronica con i dettagli dell'operazione. È possibile configurare altri destinatari di posta elettronica per queste notifiche usando il portale di Azure.
Le funzionalità di sicurezza descritte in questo articolo offrono meccanismi di difesa da attacchi mirati. Un aspetto ancora più importante è che se si verifica un attacco, queste funzionalità permettono di ripristinare i dati.
Risolvere gli errori
| Operazione | Dettagli errore | Risoluzione |
|---|---|---|
| Modifica dei criteri | Non è stato possibile modificare i criteri di backup. Errore: impossibile eseguire l'operazione corrente a causa di un errore di servizio interno [0x29834]. Ripetere l'operazione in un secondo momento. Se il problema persiste, contattare il supporto tecnico Microsoft. | Causa: Questo errore viene visualizzato quando le impostazioni di sicurezza sono abilitate, si tenta di ridurre l'intervallo di conservazione al di sotto dei valori minimi specificati in precedenza e si è in una versione non supportata (le versioni supportate vengono specificate nella prima nota di questo articolo). Azione consigliata: In questo caso, per procedere con gli aggiornamenti relativi ai criteri è consigliabile impostare un periodo di memorizzazione maggiore del valore minimo specificato (sette giorni per il backup giornaliero, quattro settimane per il backup settimanale, tre settimane per il backup mensile e un anno per il backup annuale). Facoltativamente, un approccio preferito consiste nell'aggiornare l'agente di backup, Backup di Azure Server e/o DPM UR per sfruttare tutti gli aggiornamenti della sicurezza. |
| Modificare la passphrase | Il PIN di sicurezza immesso non è corretto. (ID: 100130) Specificare il PIN di sicurezza corretto per completare questa operazione. | Causa: Questo errore si verifica quando si immette un PIN di sicurezza non valido o scaduto durante l'esecuzione di operazioni critiche, ad esempio la modifica della passphrase. Azione consigliata: Per completare l'operazione, è necessario immettere un PIN di sicurezza valido. Per ottenere il PIN, accedere al portale di Azure e passare all'insieme di credenziali > di Servizi di ripristino Impostazioni > Proprietà > Genera PIN di sicurezza. Usare questo PIN per modificare la passphrase. |
| Modificare la passphrase | Operazione non riuscita. ID: 120002 | Causa: Questo errore viene visualizzato quando le impostazioni di sicurezza sono abilitate, si tenta di modificare la passphrase e si è in una versione non supportata (versioni valide specificate nella prima nota di questo articolo). Azione consigliata: Per modificare la passphrase, è prima necessario aggiornare l'agente di backup alla versione minima 2.0.9052, Backup di Azure Server all'aggiornamento minimo 1 e/o DPM al valore minimo di DPM 2012 R2 UR12 o DPM 2016 UR2 (collegamenti di download seguenti), quindi immettere un PIN di sicurezza valido. Per ottenere il PIN, accedere al portale di Azure e passare all'insieme di credenziali > di Servizi di ripristino Impostazioni > Proprietà > Genera PIN di sicurezza. Usare questo PIN per modificare la passphrase. |
Supporto per l'immutabilità
Quando l'immutabilità per l'insieme di credenziali di Servizi di ripristino è abilitata, le operazioni che riducono la conservazione dei backup cloud o rimuovono il backup cloud per le origini dati locali vengono bloccate.
Supporto dell'immutabilità per DPM e MABS
Questa funzionalità è supportata con l'agente MARS versione 2.0.9250.0 e successive da DPM 2022 UR1 e MABS v4.
La tabella seguente elenca le operazioni non consentite in DPM connesso a un ripristino non modificabile:
| Operazione nell'insieme di credenziali non modificabile | Risultato con DPM 2022 UR1, MABS v4 e l'agente MARS più recente. Con DPM 2022 UR2 o MABS v4 UR1, è possibile selezionare l'opzione per conservare i punti di ripristino online in base ai criteri quando si arresta la protezione o si rimuove un'origine dati da un gruppo protezione dati dalla console. |
Risultato con l'agente DPM/MABS o MARS meno recente |
|---|---|---|
| Rimuovere l'origine dati dal gruppo protezione dati configurato per il backup online | 81001: gli elementi di backup non possono essere eliminati perché dispone di punti di ripristino attivi e l'insieme di credenziali selezionato è un insieme di credenziali non modificabile. | 130001: Microsoft Backup di Azure ha rilevato un errore interno. |
| Arrestare la protezione con l'eliminazione dei dati | 81001: gli elementi di backup non possono essere eliminati perché dispone di punti di ripristino attivi e l'insieme di credenziali selezionato è un insieme di credenziali non modificabile. Con DPM 2022 UR2 o MABS v4 UR1, è possibile selezionare l'opzione per conservare i punti di ripristino online in base ai criteri quando si arresta la protezione o si rimuove un'origine dati da un gruppo protezione dati dalla console. |
130001: Microsoft Backup di Azure ha rilevato un errore interno. |
| Ridurre il periodo di conservazione online | 810002: la riduzione della conservazione durante la modifica di criteri/protezione non è consentita perché l'insieme di credenziali selezionato non è modificabile. | 130001: Microsoft Backup di Azure ha rilevato un errore interno. |
| Comando Remove-DPMChildDatasource | 81001: gli elementi di backup non possono essere eliminati perché dispone di punti di ripristino attivi e l'insieme di credenziali selezionato è un insieme di credenziali non modificabile. Usare la nuova opzione -EnableOnlineRPsPruning con -KeepOnlineData per conservare i dati solo fino alla durata dei criteri. Con DPM 2022 UR2 o MABS v4 UR1, è possibile selezionare l'opzione per conservare i punti di ripristino online in base ai criteri quando si arresta la protezione o si rimuove un'origine dati da un gruppo protezione dati dalla console. |
130001: Microsoft Backup di Azure ha rilevato un errore interno. Usare il flag -KeepOnlineData per conservare i dati. |
Supporto dell'immutabilità per MARS
Nella tabella seguente sono elencate le operazioni non consentite per MARS quando l'immutabilità è abilitata nell'insieme di credenziali di Servizi di ripristino. Sono consentite altre operazioni, ad esempio l'aumento della conservazione e l'esclusione di un file/cartella dal backup.
| Operazione non consentita | Risultato con l'agente MARS più recente | Risultato con l'agente MARS precedente |
|---|---|---|
| Arrestare la protezione con l'eliminazione dei dati per lo stato del sistema | Errore 810001 L'utente tenta di eliminare l'elemento di backup o arrestare la protezione con l'eliminazione dei dati in cui l'elemento di backup ha un punto di ripristino valido (non scaduto). |
Errore 130001 Backup di Microsoft Azure ha riscontrato un errore interno. |
| Arrestare la protezione con l'eliminazione dei dati | Errore 810001 L'utente tenta di eliminare l'elemento di backup o arrestare la protezione con l'eliminazione dei dati in cui l'elemento di backup ha un punto di ripristino valido (non scaduto). |
Errore 130001 Backup di Microsoft Azure ha riscontrato un errore interno. MARS 2.0.9262.0 e versioni successive offrono la possibilità di arrestare la protezione e conservare i punti di ripristino in base ai criteri nella console. |
| Ridurre il periodo di conservazione online | L'utente tenta di modificare i criteri o la protezione con riduzione della conservazione. | 130001 Backup di Microsoft Azure ha riscontrato un errore interno. |
| Remove-OBPolicy con il flag -DeleteBackup | 810001 L'utente tenta di eliminare l'elemento di backup o arrestare la protezione con l'eliminazione dei dati in cui l'elemento di backup ha un punto di ripristino valido (non scaduto). Usare il flag –EnablePruning per conservare i backup fino al periodo di conservazione. |
130001 Backup di Microsoft Azure ha riscontrato un errore interno. Non usare il flag -DeleteBackup . MARS 2.0.9262.0 e versioni successive offrono la possibilità di arrestare la protezione e conservare i punti di ripristino in base ai criteri nella console. |
Passaggi successivi
- Vedere Get started with Azure Recovery Services vault (Introduzione all'insieme di credenziali di Servizi di ripristino di Azure) per abilitare queste funzionalità.
- Vedere Download the latest Azure Recovery Services agent (Download dell'agente di Servizi di ripristino di Azure più recente) per proteggere i computer Windows e i dati di backup dagli attacchi.