Общие сведения о средствах безопасности в Azure Backup
Одним из наиболее важных шагов для защиты данных является создание надежной инфраструктуры резервного копирования. Но при этом не менее важно обеспечить безопасность процессов резервного копирования и надежную защиту резервных копий. Azure Backup обеспечивает безопасность для среды резервного копирования как при передаче, так и при хранении данных. В этой статье перечислены средства безопасности в Azure Backup, которые помогут защитить данные резервных копий и соблюсти корпоративные требования к безопасности.
Управление удостоверениями и доступом пользователей
Учетные записи хранения, которые используются хранилищами Служб восстановления, изолированы и недоступны для пользователей-злоумышленников. Доступ разрешается только через операции управления Azure Backup, такие как восстановление. Служба Azure Backup позволяет настроить для управляемых операций выборочное управление доступом с помощью управления доступом на основе ролей Azure (RBAC). С помощью RBAC можно распределять обязанности внутри команды, предоставляя пользователям тот уровень доступа, который им требуется для выполнения рабочих задач.
Azure Backup предоставляет три встроенные роли для операций управления резервным копированием:
- Участник резервного копирования: создание резервных копий и управление ими, кроме удаления хранилища служб восстановления и предоставления доступа к другим пользователям
- Оператор резервного копирования: все, что участник делает, кроме удаления политик резервного копирования и управления ими
- Средство чтения резервных копий: разрешения для просмотра всех операций управления резервными копиями
См. дополнительные сведения в статье Использование управления доступом на основе ролей для управления службой архивации Azure Backup.
Azure Backup предоставляет несколько встроенных средств управления безопасностью, которые позволяют предотвращать и обнаруживать уязвимости системы безопасности, а также реагировать на них. См. сведения об элементах управления безопасностью для Azure Backup.
Изоляция данных с помощью Azure Backup
С помощью Azure Backup данные резервного копирования хранятся в управляемой Корпорацией Майкрософт подписке и клиенте Azure. Внешние пользователи или гости не имеют прямого доступа к этому хранилищу резервных копий или его содержимому, обеспечивая изоляцию резервных данных из рабочей среды, в которой находится источник данных.
В Azure все передаваемые данные и обмен данными безопасно передаются с помощью протоколов HTTPS и TLS 1.2+ . Эти данные остаются в магистральной сети Azure, обеспечивая надежную и эффективную передачу данных. Неактивных данных резервного копирования шифруются по умолчанию с помощью ключей, управляемых Корпорацией Майкрософт. Вы также можете принести собственные ключи для шифрования, если требуется более широкий контроль над данными. Чтобы повысить защиту, можно использовать неизменяемость, которая предотвращает изменение или удаление данных до его срока хранения. Azure Backup предоставляет различные варианты, такие как обратимое удаление, остановка резервного копирования и удаление данных или хранение данных, если вам нужно остановить резервное копирование в любое время. Чтобы защитить критически важные операции, можно добавить многопользовательскую авторизацию (MUA), которая добавляет дополнительный уровень защиты с помощью ресурса Azure с именем Azure Resource Guard.
Этот надежный подход гарантирует, что даже в скомпрометированной среде существующие резервные копии не могут быть изменены или удалены несанкционированными пользователями.
Для резервного копирования виртуальных машин Azure не требуется подключение к Интернету.
Для резервного копирования виртуальных машин Azure требуется перемещение данных с диска виртуальной машины в хранилище Служб восстановления. Но все необходимые подключения и передача данных обрабатываются только в магистральной сети Azure, без доступа к виртуальной сети. Поэтому для резервного копирования виртуальных машин Azure, размещенных в защищенных сетях, не требуется предоставлять доступ к каким-либо IP-адресам или полным доменным именам.
Частные конечные точки для Azure Backup
Теперь вы можете использовать частные конечные точки для безопасного резервного копирования данных с серверов внутри виртуальной сети в хранилище Служб восстановления. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети, выделенного для хранилища, поэтому предоставлять общедоступным IP-адресам доступ к виртуальной сети не требуется. Частные конечные точки можно использовать для резервного копирования и восстановления баз данных SQL и SAP HANA, которые работают в виртуальных машинах Azure. Их также можно использовать для локальных серверов с помощью агента MARS.
Дополнительные сведения о частных конечных точках для Azure Backup можно узнать здесь.
Шифрование данных
Шифрование защищает данные и помогает соблюсти корпоративные требования к обеспечению безопасности и соответствия. Шифрование данных выполняется на многих этапах работы службы Azure Backup.
В пределах Azure данные, передаваемые между службой хранилища Azure и хранилищем, защищены протоколом HTTPS. Эти данные остаются в магистральной сети Azure.
Резервные копии данных автоматически шифруются с помощью ключей, управляемых платформой, для активации которых действия не требуются. Вы также можете зашифровать резервные копии данных с помощью управляемых клиентом ключей , хранящихся в Azure Key Vault. Оно применяется ко всем рабочим нагрузкам, для которых выполняется резервное копирование в хранилище Служб восстановления.
Служба Azure Backup поддерживает резервное копирование и восстановление виртуальных машин Azure, диски с данными и ОС которых зашифрованы с помощью шифрования дисков Azure и виртуальных машин с зашифрованными дисками СМК. Дополнительные сведения см. в разделе о зашифрованных виртуальных машинах Azure и службе Azure Backup.
При резервном копировании данных локальных серверов с помощью агента MARS данные шифруются с использованием парольной фразы перед отправкой в службу Azure Backup и расшифровываются только после скачивания из Azure Backup. Дополнительные сведения о средствах безопасности для защиты гибридных резервных копий.
Обратимое удаление
Azure Backup предоставляет функции безопасности для защиты данных резервного копирования даже после удаления. При обратимом удалении резервной копии виртуальной машины данные резервного копирования сохраняются в течение 14 дополнительных дней, что позволяет восстановить этот элемент резервной копии без потери данных. Дополнительное 14 дней хранения данных резервного копирования в "состоянии обратимого удаления не несет никаких затрат. Узнайте об обратимом удалении.
Azure Backup теперь также усовершенствовал обратимое удаление, чтобы повысить вероятность восстановления данных после удаления. Подробнее.
Неизменяемые хранилища
Неизменяемое хранилище может помочь защитить данные резервного копирования, блокируя любые операции, которые могут привести к потере точек восстановления. Кроме того, можно заблокировать неизменяемый параметр хранилища, чтобы сделать его необратимым, что может препятствовать отключению неизменяемости и удалению резервных копий любых вредоносных субъектов. Дополнительные сведения о неизменяемых хранилищах.
Авторизация нескольких пользователей
Многопользовательская авторизация (MUA) для Azure Backup позволяет добавить дополнительный уровень защиты к критически важным операциям в хранилищах служб восстановления и хранилищах резервных копий. Для MUA служба Azure Backup использует ресурс Azure Resource Guard, чтобы обеспечить выполнение критических операций только с соответствующей авторизацией. Дополнительные сведения о многопользовательской авторизации для Azure Backup.
Расширенное обратимое удаление
Расширенное обратимое удаление обеспечивает возможность восстановления данных даже после удаления, случайно или вредоносного. Он работает путем задержки постоянного удаления данных по заданной длительности, предоставляя вам возможность получить его. Вы также можете сделать обратимое удаление всегда включено , чтобы предотвратить его отключение. Дополнительные сведения о расширенном обратимом удалении для резервного копирования.
Мониторинг подозрительных действий и создание оповещений о них
Azure Backup предоставляет встроенные средства мониторинга и создания оповещений для просмотра и настройки действий для событий, имеющим отношение к Azure Backup. Отчеты о резервном копировании предоставляют единое представление для отслеживания потребления, аудита резервных копий и восстановления, а также выявления ключевых тенденций с разной степенью детализации. Использование средств мониторинга и создания отчетов в Azure Backup предоставляет важные сведения о несанкционированных, подозрительных или вредоносных действиях сразу же после их появления.
Средства безопасности для защиты гибридных резервных копий
Azure Backup использует агент Служб восстановления Microsoft Azure (MARS) для резервного копирования и восстановления файлов, папок, томов или состояний системы с локального компьютера в Azure. Службы MARS теперь поддерживают средства безопасности для защиты гибридных резервных копий. Эти функции включают перечисленные ниже.
При выполнении критически важных операций, таких как изменение парольной фразы, добавляется дополнительный уровень аутентификации. Это гарантирует, что такие операции могут выполнять только пользователи с действительными учетными данными Azure. Узнайте о средствах предотвращения атак.
Удаленные данные резервных копий хранятся в течение дополнительных 14 дней после удаления. Это гарантирует возможность восстановить данные в течение указанного периода времени, так что данные не будут утеряны даже в случае атаки. Кроме того, повышение минимального числа точек восстановления позволяет защититься от повреждения данных. Узнайте о восстановлении удаленных данных резервных копий.
Для данных, защищенных агентом Службы восстановления Microsoft Azure (MARS), назначается парольная фраза для шифрования данных перед отправкой в Azure Backup. Расшифровка выполняется только после получения резервной копии из Azure Backup. Эта парольная фраза известна только пользователю, создавшему ее, и агенту, для которого она настроена. Эти данные никогда не передаются службе и не предоставляются в общий доступ. Это гарантирует полную безопасность данных, так как даже при непреднамеренном раскрытии (например, в результате атаки "злоумышленник в середине" на локальную сеть) данные нельзя будет использовать, не зная парольную фразу, которая никогда не отправляется в сеть.
Уровень безопасности и уровни безопасности
Azure Backup предоставляет функции безопасности на уровне хранилища для защиты данных резервного копирования, хранящихся в нем. Эти меры безопасности охватывают параметры, связанные с решением Azure Backup для хранилищ, и защищенные источники данных, содержащиеся в хранилищах.
Уровни безопасности для хранилищ Azure Backup классифицируются следующим образом:
Отличный (максимум): этот уровень представляет самую высокую безопасность, которая обеспечивает комплексную защиту. Это можно сделать, если все данные резервного копирования защищены от случайного удаления и защищаются от атак программ-шантажистов. Для обеспечения высокого уровня безопасности необходимо выполнить следующие условия:
- Параметр неизменяемости или обратимого удаления хранилища должен быть включен и необратим (заблокирован или всегда включен).
- Многопользовательская авторизация (MUA) должна быть включена в хранилище.
Хороший (адекватный): это означает надежный уровень безопасности, который обеспечивает надежную защиту данных. Защищает существующие резервные копии от непреднамеренного удаления и улучшает потенциал для восстановления данных. Чтобы достичь этого уровня безопасности, необходимо включить неизменяемость с блокировкой или обратимым удалением.
Fair (Minimum/Average): это базовый уровень безопасности, подходящий для стандартных требований к защите. Основные операции резервного копирования пользуются дополнительным уровнем защиты. Чтобы обеспечить минимальную безопасность, необходимо включить многопользовательскую авторизацию (MUA) в хранилище.
Плохое (bad/None): это означает недостаток в мерах безопасности, которые менее подходят для защиты данных. На этом уровне не существуют ни расширенные защитные функции, ни исключительно обратимые возможности. Безопасность на уровне "Нет" обеспечивает защиту только от случайных удалений.
Вы можете просматривать уровни безопасности во всех источниках данных в соответствующих хранилищах и управлять ими с помощью Центра непрерывности бизнес-процессов Azure.
Обеспечение соответствия стандартизированным требованиям к безопасности
Чтобы помочь организациям соответствовать национальным или региональным и отраслевым требованиям, определяющим сбор и использование данных отдельных лиц, Microsoft Azure и Azure Backup предлагает полный набор сертификатов и аттестаций. Полный список сертификатов соответствия