Funzionalità di sicurezza per la protezione dei backup ibridi che usano Backup di Azure
Le preoccupazioni riguardo ai problemi di sicurezza, come malware, ransomware e intrusioni, aumentano continuamente. Questi problemi di sicurezza possono essere costosi in termini di denaro e di dati. Per evitare questi attacchi, Backup di Azure offre ora una serie di funzionalità di sicurezza per la protezione dei backup ibridi. Questo articolo illustra come abilitare e sfruttare queste funzionalità per proteggere i carichi di lavoro locali usando Microsoft Backup di Azure Server (MABS),Data Protection Manager (DPM) e Microsoft Azure Recovery Services (MARS). Queste funzionalità includono:
- Prevenzione. Ogni volta che viene eseguita un'operazione critica, come la modifica di una passphrase, viene aggiunto un ulteriore livello di autenticazione. Questa convalida serve a garantire che tali operazioni possano essere eseguite solo dagli utenti che hanno credenziali di Azure valide.
- Avviso. Ogni volta che viene eseguita un'operazione critica, come l'eliminazione dei dati di backup, viene inviata una notifica tramite posta elettronica all'amministratore della sottoscrizione. Questo messaggio di posta elettronica garantisce che l'utente venga informato rapidamente riguardo a tali azioni.
- Ripristino. I dati di backup eliminati vengono conservati per altri 14 giorni dalla data di eliminazione. In questo modo, viene garantita la possibilità di recuperare i dati entro un certo periodo di tempo, così da scongiurare la perdita di dati anche in caso di attacco. Inoltre, viene conservato un maggior numero di punti di recupero per prevenire il rischio di dati danneggiati.
Nota
Abilitare l'autorizzazione multiutente (MUA) nell'insieme di credenziali dei servizi di ripristino per aggiungere un ulteriore livello di protezione all'operazione critica della disabilitazione delle funzionalità di sicurezza. Altre informazioni
Requisiti minimi per la versione
Abilitare le funzionalità di sicurezza solo se si usa:
- Backup di Azure agente: versione minima dell'agente2.0.9052. Dopo aver abilitato queste funzionalità, aggiornare la versione dell'agente per eseguire operazioni critiche.
- Backup di Azure Server: versione minima dell'agente di Backup di Azure versione 2.0.9052 con Backup di Azure Server update 1.
- System Center Data Protection Manager: versione minima Backup di Azure agente 2.0.9052 con Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.
Nota
Assicurarsi di non abilitare le funzionalità di sicurezza se si usa il backup dell'infrastruttura come servizio (IaaS). Attualmente, queste funzionalità non sono disponibili per il backup delle macchine virtuali IaaS e quindi l'abilitazione non avrà alcun impatto.
Abilitare le funzionalità di sicurezza
Se si crea un insieme di credenziali di Servizi di ripristino, è possibile usare tutte le funzionalità di sicurezza. Se si usa un insieme di credenziali esistente, abilitare le funzionalità di sicurezza seguendo questa procedura:
Accedere al portale di Azure con le credenziali di Azure.
Selezionare Sfoglia e quindi digitare Servizi di ripristino.
Viene visualizzato l'elenco di insiemi di credenziali dei servizi di ripristino. Selezionare un insieme di credenziali dall'elenco. Viene aperto il dashboard dell'insieme di credenziali selezionato.
Nell'elenco di elementi visualizzati nell'insieme di credenziali, in Impostazioni selezionare Proprietà.
In Impostazioni di sicurezza selezionare Aggiorna.
Il collegamento di aggiornamento apre il riquadro Impostazioni di sicurezza , che fornisce un riepilogo delle funzionalità e consente di abilitarli.
Abilitare le funzionalità di sicurezza e selezionare Salva.
Ripristino dei dati di backup eliminati
Se l'impostazione delle funzionalità di sicurezza è abilitata, Backup di Azure mantiene i dati di backup eliminati per un periodo aggiuntivo di 14 giorni e non la elimina immediatamente se viene eseguita l'operazione Arresta backup con l'eliminazione dei dati di backup. Per ripristinare questi dati nel periodo di 14 giorni, seguire questa procedura, a seconda di ciò che si sta usando:
Per utenti dell'agente di Servizi di ripristino di Azure:
- Se il computer in cui si verificano i backup è ancora disponibile, riproteggere le origini dati eliminate e usare i dati Ripristina nella stessa macchina in Servizi di ripristino di Azure, per ripristinare da tutti i punti di ripristino precedenti.
- Se questo computer non è disponibile, usare Ripristina in un computer alternativo per usare un altro computer di Servizi di ripristino di Azure per ottenere questi dati.
Per gli utenti che usano il server di Backup di Azure:
- Se il server in cui si verificano i backup è ancora disponibile, riproteggere le origini dati eliminate e usare la funzionalità Ripristina dati per ripristinare da tutti i punti di ripristino precedenti.
- Se questo server non è disponibile, usare Ripristina dati da un altro server di Backup di Azure per usare un'altra istanza del server di Backup di Azure per ottenere questi dati.
Per gli utenti di Data Protection Manager:
- Se il server in cui si verificano i backup è ancora disponibile, riproteggere le origini dati eliminate e usare la funzionalità Ripristina dati per ripristinare da tutti i punti di ripristino precedenti.
- Se questo server non è disponibile, usare Aggiungi DPM esterno per usare un altro server di Gestione protezione dati per ottenere questi dati.
Prevenire gli attacchi
Sono stati aggiunti alcuni controlli per garantire che solo gli utenti validi possano eseguire diverse operazioni. Questi controlli includono l'aggiunta di un ulteriore livello di autenticazione e il mantenimento di un intervallo minimo di conservazione per scopi di ripristino.
Autenticazione per eseguire operazioni critiche
Come parte dell'aggiunta di un livello aggiuntivo di autenticazione per le operazioni critiche, viene richiesto di immettere un PIN di sicurezza quando si esegue Stop Protection with Delete data and Change Passphrase operations .As part of add an extra layer of authentication for critical operations, you're prompt to enter a security PIN when you perform Stop Protection with Delete data and Change Passphrase operations.
Nota
Attualmente, per le versioni DPM e MABS seguenti, il PIN di sicurezza è supportato per Stop Protection con Elimina dati nell'archiviazione online:
- DPM 2016 UR9 o versioni successive
- DPM 2019 UR1 o versioni successive
- MABS v3 UR1 o versione successiva
Per ricevere questo PIN:
- Accedere al portale di Azure.
- Passare aImpostazioni>dell'insieme di credenziali> di Servizi di ripristino.
- In Pin di sicurezza selezionare Genera. Verrà aperto un riquadro contenente il PIN da immettere nell'interfaccia utente dell'agente di Servizi di ripristino di Azure. Questo PIN è valido solo per cinque minuti e viene generato automaticamente dopo questo periodo.
Mantenimento di un intervallo minimo di conservazione
Per garantire che sia sempre disponibile un numero valido di punti di recupero, sono stati aggiunti i controlli seguenti:
- Per la conservazione giornaliera, è necessario garantire almeno sette giorni.
- Per la conservazione settimanale, è necessario garantire almeno quattro settimane.
- Per la conservazione mensile, è necessario garantire almeno tre mesi.
- Per la conservazione annuale, è necessario garantire almeno un anno.
Notifiche relative alle operazioni critiche
In genere, quando viene eseguita un'operazione critica, l'amministratore della sottoscrizione riceve una notifica tramite posta elettronica con i dettagli dell'operazione. È possibile configurare altri destinatari di posta elettronica per queste notifiche usando il portale di Azure.
Le funzionalità di sicurezza descritte in questo articolo offrono meccanismi di difesa da attacchi mirati. Un aspetto ancora più importante è che se si verifica un attacco, queste funzionalità permettono di ripristinare i dati.
Risolvere gli errori
| Operazione | Dettagli errore | Risoluzione |
|---|---|---|
| Modifica dei criteri | Impossibile modificare i criteri di backup. Errore: Impossibile eseguire l'operazione corrente a causa di un errore di servizio interno [0x29834]. Ripetere l'operazione in un secondo momento. Se il problema persiste, contattare il supporto tecnico Microsoft. | Causa: Questo errore viene visualizzato quando le impostazioni di sicurezza sono abilitate, si tenta di ridurre l'intervallo di conservazione al di sotto dei valori minimi specificati in precedenza e si è in una versione non supportata (le versioni supportate vengono specificate nella prima nota di questo articolo). Azione consigliata: In questo caso, per procedere con gli aggiornamenti relativi ai criteri è consigliabile impostare un periodo di memorizzazione maggiore del valore minimo specificato (sette giorni per il backup giornaliero, quattro settimane per il backup settimanale, tre settimane per il backup mensile e un anno per il backup annuale). Facoltativamente, un approccio preferito consiste nell'aggiornare l'agente di backup, Backup di Azure Server e/o DPM UR per sfruttare tutti gli aggiornamenti della sicurezza. |
| Modificare la passphrase | Il PIN di sicurezza immesso non è corretto. (ID: 100130) Specificare il PIN di sicurezza corretto per completare questa operazione. | Causa: Questo errore si verifica quando si immette un PIN di sicurezza non valido o scaduto durante l'esecuzione di operazioni critiche, ad esempio la modifica della passphrase. Azione consigliata: Per completare l'operazione, è necessario immettere un PIN di sicurezza valido. Per ottenere il PIN, accedere a portale di Azure e passare a Impostazioni >> dell'insieme di credenziali > di Servizi di ripristino Proprietà Genera PIN di sicurezza. Usare questo PIN per modificare la passphrase. |
| Modificare la passphrase | Operazione non riuscita. ID: 120002 | Causa: Questo errore viene visualizzato quando le impostazioni di sicurezza sono abilitate, si tenta di modificare la passphrase e si è in una versione non supportata (versioni valide specificate nella prima nota di questo articolo). Azione consigliata: Per modificare la passphrase, è prima necessario aggiornare l'agente di backup alla versione minima 2.0.9052, Backup di Azure Server all'aggiornamento minimo 1 e/o DPM al valore minimo di DPM 2012 R2 UR12 o DPM 2016 UR2 (scarica i collegamenti seguenti), quindi immettere un PIN di sicurezza valido. Per ottenere il PIN, accedere al portale di Azure e passare a Impostazioni > dell'insieme di credenziali > di Servizi di ripristino Proprietà > Genera PIN di sicurezza. Usare questo PIN per modificare la passphrase. |
Supporto dell'immutabilità (anteprima)
Quando l'immutabilità per l'insieme di credenziali di Servizi di ripristino è abilitata, le operazioni che riducono la conservazione dei backup cloud o rimuovono il backup cloud per le origini dati locali vengono bloccate.
Supporto dell'immutabilità per DPM
Questa funzionalità è supportata da DPM 2022 UR1 con l'agente MARS versione 2.0.9250.0 e successive.
La tabella seguente elenca le operazioni non consentite in DPM connesse a un ripristino non modificabile:
| Operazione nell'insieme di credenziali non modificabile | Risultato con DPM 2022 UR1 e l'agente MARS più recente | Risultato con l'agente DPM e o MARS meno recente |
|---|---|---|
| Rimuovere l'origine dati dal gruppo protezione dati configurato per il backup online | 81001: gli elementi di backup non possono essere eliminati perché hanno punti di ripristino attivi e l'insieme di credenziali selezionato è un insieme di credenziali non modificabile. | 130001: Microsoft Backup di Azure ha rilevato un errore interno. |
| Arrestare la protezione eliminando i dati | 81001: gli elementi di backup non possono essere eliminati perché hanno punti di ripristino attivi e l'insieme di credenziali selezionato è un insieme di credenziali non modificabile. | 130001: Microsoft Backup di Azure ha rilevato un errore interno. |
| Ridurre il periodo di conservazione online | 810002: la riduzione della conservazione durante la modifica di criteri/protezione non è consentita perché l'insieme di credenziali selezionato non è modificabile. | 130001: Microsoft Backup di Azure ha rilevato un errore interno. |
| Comando Remove-DPMChildDatasource | 81001: gli elementi di backup non possono essere eliminati perché hanno punti di ripristino attivi e l'insieme di credenziali selezionato è un insieme di credenziali non modificabile. Usare la nuova opzione -EnableOnlineRPsPruning con -KeepOnlineData per conservare i dati solo fino alla durata dei criteri. |
130001: Microsoft Backup di Azure ha rilevato un errore interno. Usare il flag -KeepOnlineData per conservare i dati. |
Supporto dell'immutabilità per MARS
Nella tabella seguente sono elencate le operazioni non consentite per MARS quando l'immutabilità è abilitata nell'insieme di credenziali di Servizi di ripristino. Sono consentite altre operazioni, ad esempio l'aumento della conservazione e l'esclusione di un file/cartella dal backup.
| Operazione non consentita | Risultato con l'agente MARS più recente | Risultato con l'agente MARS precedente |
|---|---|---|
| Arrestare la protezione con l'eliminazione dei dati per lo stato del sistema | Errore 810001 L'utente tenta di eliminare l'elemento di backup o arrestare la protezione con l'eliminazione dei dati in cui l'elemento di backup ha un punto di ripristino valido (non scaduto). |
Errore 130001 Backup di Microsoft Azure ha riscontrato un errore interno. |
| Arrestare la protezione con l'eliminazione dei dati per file/cartelle | Errore 810001 L'utente tenta di eliminare l'elemento di backup o arrestare la protezione con l'eliminazione dei dati in cui l'elemento di backup ha un punto di ripristino valido (non scaduto). |
Errore 130001 Backup di Microsoft Azure ha riscontrato un errore interno. |
| Ridurre il periodo di conservazione online | L'utente tenta di modificare i criteri o la protezione con riduzione della conservazione. | 130001 Backup di Microsoft Azure ha riscontrato un errore interno. |
| Remove-OBPolicy con il flag -DeleteBackup | 810001 L'utente tenta di eliminare l'elemento di backup o arrestare la protezione con l'eliminazione dei dati in cui l'elemento di backup ha un punto di ripristino valido (non scaduto). Usare il flag –EnablePruning per conservare i backup fino al periodo di conservazione. |
130001 Backup di Microsoft Azure ha riscontrato un errore interno. Non usare il flag -DeleteBackup . |
Passaggi successivi
- Vedere Get started with Azure Recovery Services vault (Introduzione all'insieme di credenziali di Servizi di ripristino di Azure) per abilitare queste funzionalità.
- Vedere Download the latest Azure Recovery Services agent (Download dell'agente di Servizi di ripristino di Azure più recente) per proteggere i computer Windows e i dati di backup dagli attacchi.
- Vedere Download the latest Azure Backup Server (Download del server di Backup di Azure più recente) per proteggere i carichi di lavoro e i dati di backup dagli attacchi.
- Vedere Download UR12 for System Center 2012 R2 Data Protection Manager (Download della versione UR2 per System Center 2012 R2 Data Protection Manager) o Download UR2 for System Center 2016 Data Protection Manager (Download della versione UR2 per System Center 2016 Data Protection Manager) per proteggere i carichi di lavoro e i dati di backup dagli attacchi.