Eliminazione temporanea per Backup di Azure

Questo articolo descrive come abilitare e disabilitare la funzionalità di eliminazione temporanea ed eliminare definitivamente i dati in stato di eliminazione temporanea.

Le preoccupazioni riguardo ai problemi di sicurezza, come malware, ransomware e intrusioni, aumentano continuamente. Questi problemi di sicurezza possono essere costosi in termini di denaro e di dati. Per proteggersi da tali attacchi, Backup di Azure offre ora funzionalità di sicurezza che consentono di proteggere i dati di backup anche dopo l'eliminazione.

Una di queste funzionalità è l'eliminazione temporanea. Con l'eliminazione temporanea, anche se un utente malintenzionato elimina un backup (o i dati di backup vengono accidentalmente eliminati), i dati di backup vengono conservati per altri 14 giorni, consentendo il ripristino di tale elemento di backup senza perdita di dati. I 14 giorni di conservazione aggiuntivi dei dati di backup nello stato di eliminazione temporanea non comportano alcun costo.

La protezione dall'eliminazione temporanea è disponibile per questi servizi:

• Eliminazione temporanea per macchine virtuali di Azure
• Eliminazione temporanea per SQL Server in macchine virtuali di Azure ed eliminazione temporanea per SAP HANA nei carichi di lavoro delle macchine virtuali di Azure

Ciclo di vita di un elemento di backup eliminato temporaneamente

Questo diagramma di flusso mostra i diversi passaggi e gli stati di un elemento di backup quando l'eliminazione temporanea è abilitata:

Abilitare e disabilitare l'eliminazione temporanea

L'eliminazione temporanea è abilitata per impostazione predefinita nei nuovi insiemi di credenziali creati per proteggere i dati di backup da eliminazioni accidentali o dannose. La disabilitazione di questa funzionalità non è consigliata. L'unica circostanza in cui è possibile valutare la possibilità di disabilitare l'eliminazione temporanea è se si prevede di spostare gli elementi protetti in un nuovo insieme di credenziali e non è possibile attendere i 14 giorni richiesti prima dell'eliminazione e della riprotezione (ad esempio in un ambiente di test).

Per disabilitare l'eliminazione temporanea in un insieme di credenziali, è necessario avere il ruolo Collaboratore backup per tale insieme di credenziali. È necessario disporre delle autorizzazioni per eseguire Microsoft.RecoveryServices/Vaults/backupconfig/write sull'insieme di credenziali. Se si disabilita questa funzionalità, tutte le eliminazioni future degli elementi protetti comporteranno la rimozione immediata, senza possibilità di ripristino. I dati di backup esistenti nello stato di eliminazione temporanea prima di disabilitare questa funzionalità rimarranno in stato di eliminazione temporanea per il periodo di 14 giorni. Se si desidera eliminare subito in via definitiva questi elementi, è necessario annullare l'eliminazione ed eliminarli di nuovo.

È importante ricordare che una volta disabilitata l'eliminazione temporanea, la funzionalità viene disabilitata per tutti i tipi di carichi di lavoro. Ad esempio, non è possibile disabilitare l'eliminazione temporanea solo per database di SQL Server o SAP HANA mantenendola abilitata per le macchine virtuali nello stesso insieme di credenziali. È possibile creare insiemi di credenziali separati per un controllo granulare.

Suggerimento

Per ricevere avvisi/notifiche quando un utente dell'organizzazione disabilita l'eliminazione temporanea per un insieme di credenziali, usare gli avvisi di Monitoraggio di Azure per Backup di Azure. Poiché la disabilitazione dell'eliminazione temporanea è un'operazione potenzialmente distruttiva, è consigliabile usare il sistema di avvisi per questo scenario per monitorare tutte queste operazioni e intervenire per qualsiasi operazione imprevista.

Nota

• È anche possibile usare l'autorizzazione multiutente (MUA) per aggiungere un ulteriore livello di protezione dalla disabilitazione dell'eliminazione temporanea. Altre informazioni.
• L'autorizzazione multiutente per l'eliminazione temporanea è attualmente supportata solo per gli insiemi di credenziali di Servizi di ripristino.

Eliminazione temporanea Always On con conservazione estesa

L'eliminazione temporanea viene abilitata per tutti i nuovi insiemi di credenziali creati per impostazione predefinita. Lo stato di eliminazione temporanea Always On è una funzionalità con consenso esplicito. Una volta abilitata, non può essere disabilitata (irreversibile).

Inoltre, è possibile estendere la durata di conservazione per i dati di backup eliminati per un periodo da 14 a 180 giorni. Per impostazione predefinita, la durata della conservazione è impostata su 14 giorni (come per l'eliminazione temporanea di base) per l'insieme di credenziali ed è possibile estenderla in base alle esigenze. L'eliminazione temporanea non comporta costi per i primi 14 giorni di conservazione, ma è previsto un addebito per il periodo oltre i 14 giorni. Altre informazioni sui prezzi.

Disabilitare l'eliminazione temporanea

È possibile disabilitare la funzionalità di eliminazione temporanea usando i client supportati seguenti.

Scegliere un client:

Azure portal

Seguire questa procedura:

1. Nel portale di Azure passare all'insieme di credenziali e quindi passare a Impostazioni>Proprietà.
2. Nel riquadro Proprietà selezionare Aggiornamento impostazioni di sicurezza.
3. Nel riquadro Impostazioni di sicurezza ed eliminazione temporanea deselezionare le caselle di controllo necessarie per disabilitare l'eliminazione temporanea.

PowerShell

Usare il cmdlet Set-AzRecoveryServicesVaultBackupProperty.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Importante

La versione minima di Az.RecoveryServices necessaria per usare l'eliminazione temporanea con Azure PowerShell è la 2.2.0. Usare Install-Module -Name Az.RecoveryServices -Force per ottenere l'ultima versione.

REST API

Per disabilitare la funzionalità di eliminazione temporanea tramite l'API REST, vedere questi passaggi.

Eliminare definitivamente gli elementi di backup eliminati temporaneamente

I dati di backup eliminati temporaneamente prima della disabilitazione di questa funzionalità rimangono nello stato di eliminazione temporanea. Per eliminarli subito in via definitiva, annullare l'eliminazione ed eliminarli di nuovo. Usare uno dei client seguenti per eliminare definitivamente i dati eliminati temporaneamente.

Scegliere un client:

Azure portal

Seguire questa procedura:

1. Disabilitare l'eliminazione temporanea.

2. Nel portale di Azure passare a insieme di credenziali>Elementi di backup e scegliere l'elemento eliminato temporaneamente.

   

3. Selezionare Annullare l'eliminazione.

   

4. Viene visualizzata una finestra. Selezionare Annullare l'eliminazione.

   

5. Scegliere Eliminare dati di backup per eliminare definitivamente i dati di backup.

   

6. Digitare il nome dell'elemento di backup per confermare l'eliminazione dei punti di ripristino.

   

7. Per eliminare i dati di backup per l'elemento, selezionare Elimina. Un messaggio di notifica informa che i dati di backup sono stati eliminati.

PowerShell

Seguire questa procedura:

1. Identificare gli elementi in stato di eliminazione temporanea.

   $vault = Get-AzRecoveryServicesVault -ResourceGroupName "yourResourceGroupName" -Name "yourVaultName"
   Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultID $vault.ID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}
   
   Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
   ----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
   VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted
   
   $myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1
   

2. Invertire l'operazione di eliminazione eseguita quando è stata abilitata l'eliminazione temporanea.

   Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2
   

3. Quando l'eliminazione temporanea è disabilitata, l'operazione di eliminazione rimuove immediatamente i dati di backup.

   Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb
   

REST API

Seguire questa procedura:

1. Annullare le operazioni di eliminazione.
2. Disabilitare la funzionalità di eliminazione temporanea usando l'API REST.
3. Eliminare i backup usando l'API REST.

Passaggi successivi

• Panoramica delle funzionalità di sicurezza in Backup di Azure
• Domande frequenti