Informazioni sull'autorizzazione multiutente con Resource Guard
L'autorizzazione multiutente (MUA) per Backup di Azure consente di aggiungere un ulteriore livello di protezione alle operazioni critiche sugli insiemi di credenziali di Servizi di ripristino e sugli insiemi di credenziali di backup. Per MUA, Backup di Azure usa un'altra risorsa di Azure denominata Resource Guard per garantire che le operazioni critiche vengano eseguite solo con l'autorizzazione applicabile.
Nota
L'autorizzazione multiutente che usa Resource Guard per l'insieme di credenziali di backup è ora disponibile a livello generale.
Come funziona MUA per il backup?
Backup di Azure usa Resource Guard come meccanismo di autorizzazione aggiuntivo per un insieme di credenziali di Servizi di ripristino o un insieme di credenziali di backup. Pertanto, per eseguire correttamente un'operazione critica (descritta di seguito), è necessario disporre di autorizzazioni sufficienti anche per Resource Guard associato.
Importante
Per funzionare come previsto, Resource Guard deve essere di proprietà di un utente diverso e l'amministratore dell'insieme di credenziali non deve disporre delle autorizzazioni di Collaboratore. È possibile posizionare Resource Guard in una sottoscrizione o in un tenant diverso da quello contenente gli insiemi di credenziali per garantire una migliore protezione.
Operazioni critiche
La tabella seguente elenca le operazioni definite come operazioni critiche e può essere protetta da Resource Guard. È possibile scegliere di escludere determinate operazioni dalla protezione usando Resource Guard quando si associano insiemi di credenziali.
Nota
Non è possibile escludere le operazioni indicate come Obbligatorio da proteggere usando Resource Guard per gli insiemi di credenziali associati. Inoltre, le operazioni critiche escluse si applicano a tutti gli insiemi di credenziali associati a Resource Guard.
Scegliere un insieme di credenziali
| Operazione | Obbligatorio/Facoltativo |
|---|---|
| Disabilitare l'eliminazione temporanea | Obbligatorio |
| Disabilitare la protezione MUA | Obbligatorio |
| Modificare i criteri di backup (conservazione ridotta) | Facoltativo |
| Modificare la protezione (conservazione ridotta) | Facoltativo |
| Arrestare la protezione eliminando i dati | Facoltativo |
| Modifica del PIN di sicurezza di MARS | Facoltativo |
Concetti e processi
Di seguito sono illustrati i concetti e i processi coinvolti quando si usa MUA per Backup di Azure.
Si considerino i due utenti seguenti per una chiara comprensione del processo e delle responsabilità. In questo articolo viene fatto riferimento a questi due ruoli.
Amministratore di backup: proprietario dell'insieme di credenziali di Servizi di ripristino o dell'insieme di credenziali di Backup che esegue operazioni di gestione nell'insieme di credenziali. Per iniziare, l'amministratore di Backup non deve avere autorizzazioni per Resource Guard.
Amministratore della sicurezza: proprietario di Resource Guard e funge da gatekeeper delle operazioni critiche nell'insieme di credenziali. Di conseguenza, l'amministratore della sicurezza controlla le autorizzazioni necessarie all'amministratore di Backup per eseguire operazioni critiche nell'insieme di credenziali.
Di seguito è riportata una rappresentazione diagrammatica per l'esecuzione di un'operazione critica in un insieme di credenziali con MUA configurato tramite Resource Guard.
Ecco il flusso di eventi in uno scenario tipico:
L'amministratore di Backup crea l'insieme di credenziali di Servizi di ripristino o l'insieme di credenziali di Backup.
L'amministratore della sicurezza crea Resource Guard. Resource Guard può trovarsi in una sottoscrizione diversa o in un tenant diverso rispetto all'insieme di credenziali. È necessario assicurarsi che l'amministratore di Backup non disponga delle autorizzazioni di Collaboratore per Resource Guard.
L'amministratore della sicurezza concede il ruolo lettore al Amministrazione di backup per Resource Guard (o un ambito pertinente). L'amministratore di Backup richiede il ruolo lettore per abilitare MUA nell'insieme di credenziali.
L'amministratore di Backup configura ora l'insieme di credenziali in modo che sia protetto da MUA tramite Resource Guard.
Ora, se l'amministratore di Backup vuole eseguire un'operazione critica nell'insieme di credenziali, è necessario richiedere l'accesso a Resource Guard. L'amministratore di Backup può contattare l'amministratore della sicurezza per informazioni dettagliate su come ottenere l'accesso per eseguire tali operazioni. A tale scopo, è possibile usare Privileged Identity Management (PIM) o altri processi come imposto dall'organizzazione.
L'amministratore della sicurezza concede temporaneamente il ruolo Collaboratore in Resource Guard all'amministratore di Backup per eseguire operazioni critiche.
A questo momento, l'amministratore di Backup avvia l'operazione critica.
Azure Resource Manager controlla se l'amministratore di Backup dispone o meno di autorizzazioni sufficienti. Poiché l'amministratore di Backup ha ora il ruolo Collaboratore in Resource Guard, la richiesta viene completata.
Se l'amministratore di backup non dispone delle autorizzazioni o dei ruoli necessari, la richiesta non è riuscita.
L'amministratore della sicurezza garantisce che i privilegi per eseguire operazioni critiche vengano revocati dopo l'esecuzione di azioni autorizzate o dopo una durata definita. L'uso degli strumenti JIT di Microsoft Entra Privileged Identity Management può essere utile per garantire questo problema.
Nota
MUA offre protezione solo per le operazioni elencate sopra eseguite sui backup con insieme di credenziali. Tutte le operazioni eseguite direttamente nell'origine dati, ovvero la risorsa o il carico di lavoro di Azure protetti, non rientrano nell'ambito di Resource Guard.
Scenari di utilizzo
La tabella seguente elenca gli scenari per la creazione di Resource Guard e insiemi di credenziali (insieme di credenziali di Servizi di ripristino e insieme di credenziali di backup), insieme alla protezione relativa offerta da ognuno.
Importante
L'amministratore di Backup non deve disporre delle autorizzazioni di Collaboratore per Resource Guard in alcun scenario.
| Scenario di utilizzo | Protezione dovuta a MUA | Facilità di implementazione | Note |
|---|---|---|---|
| Insieme di credenziali e Resource Guard si trovano nella stessa sottoscrizione. L'amministratore di Backup non ha accesso a Resource Guard. |
Isolamento minimo tra l'amministratore di backup e l'amministratore della sicurezza. | Implementazione relativamente semplice perché è necessaria una sola sottoscrizione. | Le autorizzazioni/i ruoli a livello di risorsa devono essere assicurati che siano assegnati correttamente. |
| Insieme di credenziali e Resource Guard si trovano in sottoscrizioni diverse, ma lo stesso tenant. L'amministratore di Backup non ha accesso a Resource Guard o alla sottoscrizione corrispondente. |
Isolamento medio tra l'amministratore di Backup e l'amministratore della sicurezza. | Semplicità relativamente media di implementazione perché sono necessarie due sottoscrizioni (ma un singolo tenant). | Assicurarsi che le autorizzazioni o i ruoli siano assegnati correttamente per la risorsa o la sottoscrizione. |
| Insieme di credenziali e Resource Guard si trovano in tenant diversi. L'amministratore di Backup non ha accesso a Resource Guard, alla sottoscrizione corrispondente o al tenant corrispondente. |
Isolamento massimo tra l'amministratore di Backup e l'amministratore della sicurezza, pertanto la massima sicurezza. | Relativamente difficile da testare perché richiede due tenant o directory da testare. | Assicurarsi che le autorizzazioni o i ruoli siano assegnati correttamente per la risorsa, la sottoscrizione o la directory. |
Passaggi successivi
Configurare l'autorizzazione multiutente usando Resource Guard.