Azure Backup을 사용하는 하이브리드 백업을 보호하는 데 도움이 되는 보안 기능

맬웨어, 랜섬웨어 및 침입 같은 보안 문제에 대한 우려가 증가하고 있습니다. 이러한 보안 문제는 돈과 데이터 측면 모두에서 비용이 많이 들 수 있습니다. 이러한 공격을 방지하기 위해 Azure Backup은 이제 하이브리드 백업을 보호하는 데 도움이 되는 보안 기능을 제공합니다. 이 문서에서는 MABS(Microsoft Azure Backup Server), DPM(Data Protection Manager) 및 MARS(Microsoft Azure Recovery Services) 에이전트를 사용하여 온-프레미스 워크로드를 보호하기 위해 이러한 기능을 사용하도록 설정하고 활용하는 방법을 설명합니다. 다음과 같은 기능이 있습니다.

• 예방 암호 변경과 같은 중요한 작업이 수행될 때마다 추가적인 인증 계층이 제공됩니다. 이 유효성 검사는 유효한 Azure 자격 증명을 가진 사용자만 이러한 작업을 수행할 수 있는지 확인합니다.
• 경고 백업 데이터 삭제와 같은 중요한 작업이 수행될 때마다 구독 관리자에게 전자 메일 알림이 전송됩니다. 이 전자 메일은 사용자에게 이러한 작업을 신속하게 알립니다.
• 복구. 삭제된 백업 데이터는 삭제일로부터 추가 14일 동안 보존됩니다. 이를 통해 지정된 기간 내에는 데이터를 복구할 수 있게 되므로 공격이 발생하더라도 데이터가 손실되지 않습니다. 또한 데이터 손상으로부터 보호하기 위해 더 많은 수의 최소 복구 지점이 유지됩니다.

참고 항목

복구 서비스 자격 증명 모음에서 MUA(다중 사용자 권한 부여)를 사용하도록 설정하여 보안 기능을 사용하지 않도록 설정하는 중요한 작업에 추가 보호 계층을 추가합니다. 자세히 알아보기.

최소 버전 요구 사항

다음을 사용하는 경우에만 보안 기능을 사용하도록 설정합니다.

• Azure Backup 에이전트: 최소 에이전트 버전 2.0.9052. 이러한 기능을 사용하도록 설정한 후에는 에이전트 버전을 업그레이드하여 중요한 작업을 수행합니다.
• Azure Backup Server: Azure Backup Server 업데이트 1이 설치된 최소 Azure Backup 에이전트 버전 2.0.9052
• System Center Data Protection Manager: Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2가 설치된 최소 Azure Backup 에이전트 버전 2.0.9052

참고 항목

IaaS(Infrastructure as a Service) VM 백업을 사용하는 경우 보안 기능을 사용하지 마세요. 현재 이러한 기능은 IaaS VM 백업에 사용할 수 없으며, 사용해도 아무 영향이 없습니다.

보안 기능 사용

Recovery Services 자격 증명 모음을 만드는 경우 모든 보안 기능을 사용할 수 있습니다. 기존 자격 증명 모음으로 작업하는 경우 다음 단계를 수행하여 보안 기능을 사용하도록 설정합니다.

1. Azure 자격 증명을 사용하여 Azure Portal에 로그인합니다.

2. 찾아보기를 선택하고 Recovery Services를 입력합니다.

   
   

   Recovery Services 자격 증명 모음의 목록이 표시됩니다. 이 목록에서 자격 증명 모음을 선택합니다. 선택한 자격 증명 모음 대시보드가 열립니다.

3. 자격 증명 모음 아래쪽에 나타나는 항목 목록의 설정에서 속성을 선택합니다.

   

4. 보안 설정에서 업데이트를 선택합니다.

   

   업데이트 링크를 클릭하면 해당 기능을 사용하도록 설정하고 요약을 볼 수 있는 보안 설정 창이 열립니다.

5. 보안 기능을 사용으로 설정하고 저장을 선택합니다.

   

삭제된 백업 데이터 복구

보안 기능 설정을 사용하면 Azure Backup은 추가로 14일 동안 삭제된 백업 데이터를 유지하고, 백업 데이터 삭제 작업으로 백업 중지를 수행한 경우에도 백업 데이터를 즉시 삭제하지 않습니다. 이 데이터를 14일 기간 내 복원하려면 사용 중인 항목에 따라 다음 단계를 수행합니다.

Azure Recovery Services 에이전트 사용자의 경우:

1. 백업이 발생하는 컴퓨터를 계속 사용할 수 있는 경우 삭제한 데이터 원본을 다시 보호하고, Azure Recovery Services의 동일한 컴퓨터로 데이터 복구를 사용하여 모든 이전 복구 지점에서 복구합니다.
2. 이 컴퓨터를 사용할 수 없는 경우 다른 컴퓨터로 복구를 사용하여 다른 Azure Recovery Services 컴퓨터를 통해 이 데이터를 가져옵니다.

Azure Backup Server 사용자:

1. 백업이 발생하는 서버를 계속 사용할 수 있는 경우 삭제된 데이터 원본을 다시 보호하고 데이터 복구 기능을 사용하여 모든 이전 복구 지점에서 복구합니다.
2. 이 서버를 사용할 수 없는 경우 다른 Azure Backup Server에서 데이터 복구를 사용하여 다른 Azure Backup Server 인스턴스를 통해 이 데이터를 가져옵니다.

Data Protection Manager 사용자의 경우:

1. 백업이 발생하는 서버를 계속 사용할 수 있는 경우 삭제된 데이터 원본을 다시 보호하고 데이터 복구 기능을 사용하여 모든 이전 복구 지점에서 복구합니다.
2. 이 서버를 사용할 수 없는 경우 외부 DPM 추가를 사용하여 다른 Data Protection Manager 서버를 통해 이 데이터를 가져옵니다.

공격을 방지

유효한 사용자만 다양한 작업을 수행할 수 있는지 확인하기 위한 검사가 추가되었습니다. 여기에는 추가적인 인증 계층 제공 및 복구를 위한 최소 보존 범위 유지 관리가 포함됩니다.

중요한 작업을 수행하기 위한 인증

중요한 작업에 대한 추가 인증 계층 제공의 일부로 DPM, MABS 및 MARS에 대한 데이터 삭제를 통해 보호 중지 및 암호 변경 작업을 수행할 때 보안 PIN을 입력하라는 메시지가 표시됩니다.

또한 MARS 버전 2.0.9262.0 이상에서는 MARS 파일/폴더 백업에서 볼륨을 제거하고, 기존 볼륨에 대한 새 제외 설정을 추가하고, 보존 기간을 줄이고, 빈도가 낮은 백업 일정으로 이동하는 작업도 보안 핀으로 보호되어 보안을 강화합니다.

참고 항목

현재 다음 DPM 및 MABS 버전의 경우 보안 PIN은 온라인 스토리지로 데이터 삭제를 사용하여 보호 중지에 대해 지원됩니다.

• DPM 2016 UR9 이상
• DPM 2019 UR1 이상
• MABS v3 UR1 이상

이 PIN을 받으려면 다음을 수행합니다.

1. Azure Portal에 로그인합니다.
2. Recovery Services 자격 증명 모음>설정>속성을 찾습니다.
3. 보안 PIN에서 생성을 선택합니다. Azure Recovery Services 에이전트 사용자 인터페이스에 입력하는 PIN을 포함한 창이 열립니다. 이 PIN은 5분 동안만 유효하며 해당 시간이 지나면 자동으로 생성됩니다.

최소 보존 범위 유지 관리

항상 사용 가능한 유효한 복구 지점이 존재하도록 하기 위해 다음과 같은 검사가 추가되었습니다.

• 일일 보존의 경우 최소 7일 보존이 수행되어야 합니다.
• 주간 보존의 경우 최소 4주 보존이 수행되어야 합니다.
• 월간 보존의 경우 최소 3개월 보존이 수행되어야 합니다.
• 연간 보존의 경우 최소 1년 보존이 수행되어야 합니다.

중요한 작업에 대한 알림

일반적으로 중요한 작업을 수행할 때마다 구독 관리자는 작업에 대한 세부 정보가 포함된 전자 메일 알림을 받게 됩니다. Azure Portal을 사용하면 이러한 알림에 대한 전자 메일 받는 사람을 추가로 구성할 수 있습니다.

이 문서에 언급된 보안 기능은 대상이 지정된 공격에 대해 방어 메커니즘을 제공합니다. 무엇보다도 공격이 발생하는 경우 이러한 기능을 사용하면 데이터를 복구할 수 있습니다.

오류 문제 해결

연산	오류 정보	해결
정책 변경	백업 정책을 수정할 수 없습니다. 오류: 내부 서비스 오류 [0x29834]로 인해 현재 작업이 실패했습니다. 잠시 후 작업을 다시 시도하세요. 문제가 지속되면 Microsoft 지원에 문의하세요.	원인: 이 오류는 보안 설정이 활성화되고 위에서 지정된 최소값 미만으로 보존 범위를 줄이려고 하고 지원되지 않는 버전에 있는 경우 발생합니다(지원되는 버전은 이 문서의 첫 번째 참고에 지정됨). 권장 작업: 이 경우 정책 관련 업데이트를 계속 진행할 수 있도록 지정된 최소 보존 기간(매일 7일, 매주 4주, 매달 3주 또는 매년 1년) 이상으로 보존 기간을 설정해야 합니다. 필요에 따라 선호되는 방법은 백업 에이전트, Azure Backup Server 및/또는 DPM UR을 업데이트하여 모든 보안 업데이트를 활용하는 것입니다.
암호 변경	입력한 보안 PIN이 잘못되었습니다. (ID: 100130) 이 작업을 완료하려면 올바른 보안 PIN을 입력하세요.	원인: 이 오류는 중요한 작업(예: 암호 변경)을 수행하는 동안 잘못되거나 만료된 보안 PIN을 입력하는 경우 발생합니다. 권장 작업: 작업을 완료하려면 유효한 보안 PIN을 입력해야 합니다. PIN을 가져오려면 Azure Portal에 로그인하고 Recovery Services 자격 증명 모음 > 설정 > 속성 > 보안 PIN 생성으로 이동합니다. 이 PIN을 사용하여 암호를 변경합니다.
암호 변경	작업이 실패했습니다. ID: 120002	원인: 이 오류는 보안 설정이 활성화되고 암호를 변경하려고 하고 지원되지 않는 버전에 있는 경우 발생합니다(유효한 버전은 이 문서의 첫 번째 참고에 지정됨). 권장 작업: 암호를 변경하려면 먼저 백업 에이전트를 최소 버전 2.0.9052로, Azure Backup 서버를 최소 업데이트 1로, DPM을 최소 DPM 2012 R2 UR12 또는 DPM 2016 UR2로 업데이트한 다음(아래 다운로드 링크) 유효한 보안 PIN을 입력해야 합니다. PIN을 가져오려면 Azure Portal에 로그인하고 Recovery Services 자격 증명 모음 > 설정 > 속성 > 보안 PIN 생성으로 이동합니다. 이 PIN을 사용하여 암호를 변경합니다.

불변성 지원

Recovery Services 자격 증명 모음에 대한 불변성 을사용하도록 설정하면 클라우드 백업 보존을 줄이거나 온-프레미스 데이터 원본에 대한 클라우드 백업을 제거하는 작업이 차단됩니다.

DPM 및 MABS에 대한 불변성 지원

이 기능은 MARS 에이전트 버전 2.0.9250.0 이상의 DPM 2022 UR1 및 MABS v4에서 지원됩니다.

다음 표에는 변경할 수 없는 복구에 연결된 DPM에서 허용되지 않는 작업이 나열됩니다.

변경할 수 없는 자격 증명 모음에 대한 작업	DPM 2022 UR1, MABS v4 및 최신 MARS 에이전트를 통한 결과 DPM 2022 UR2 또는 MABS v4 UR1을 사용하면 보호를 중지하거나 콘솔의 보호 그룹에서 데이터 원본을 제거할 때 정책별로 온라인 복구 지점을 유지하는 옵션을 선택할 수 있습니다.	이전 DPM/MABS 및 MARS 에이전트를 통한 결과
온라인 백업에 대해 구성된 보호 그룹에서 데이터 원본 제거	81001: 활성 복구 지점이 있고 선택한 자격 증명 모음이 변경할 수 없는 자격 증명 모음이므로 백업 항목을 삭제할 수 없습니다.	130001: Microsoft Azure Backup에서 내부 오류가 발생했습니다.
데이터 삭제를 통해 보호 중지	81001: 활성 복구 지점이 있고 선택한 자격 증명 모음이 변경할 수 없는 자격 증명 모음이므로 백업 항목을 삭제할 수 없습니다. DPM 2022 UR2 또는 MABS v4 UR1을 사용하면 보호를 중지하거나 콘솔의 보호 그룹에서 데이터 원본을 제거할 때 정책별로 온라인 복구 지점을 유지하는 옵션을 선택할 수 있습니다.	130001: Microsoft Azure Backup에서 내부 오류가 발생했습니다.
온라인 보존 기간 줄이기	810002: 선택한 자격 증명 모음은 변경할 수 없으므로 정책/보호 수정 중 보존 기간을 줄이는 것은 허용되지 않습니다.	130001: Microsoft Azure Backup에서 내부 오류가 발생했습니다.
Remove-DPMChildDatasource 명령	81001: 활성 복구 지점이 있고 선택한 자격 증명 모음이 변경할 수 없는 자격 증명 모음이므로 백업 항목을 삭제할 수 없습니다. -KeepOnlineData와 함께 새 옵션 -EnableOnlineRPsPruning을 사용하여 정책 기간까지만 데이터를 보존합니다. DPM 2022 UR2 또는 MABS v4 UR1을 사용하면 보호를 중지하거나 콘솔의 보호 그룹에서 데이터 원본을 제거할 때 정책별로 온라인 복구 지점을 유지하는 옵션을 선택할 수 있습니다.	130001: Microsoft Azure Backup에서 내부 오류가 발생했습니다. -KeepOnlineData 플래그를 사용하여 데이터를 보존합니다.

MARS에 대한 불변성 지원

다음 표에는 Recovery Services 자격 증명 모음에서 불변성을 사용하는 경우 MARS에 대해 허용되지 않는 작업이 나열됩니다. 보존을 늘리고 백업에서 파일/폴더를 제외하는 등의 기타 작업은 허용됩니다.

허용되지 않는 작업	최신 MARS 에이전트를 통한 결과	이전 MARS 에이전트를 통한 결과
시스템 상태에 대한 데이터 삭제를 통한 보호 중지	오류 810001 백업 항목을 삭제하거나 백업 항목에 유효한(노출되지 않은) 복구 지점이 있는 데이터 삭제를 통해 보호를 중지하려고 합니다.	오류 130001 Microsoft Azure Backup에서 내부 오류가 발생했습니다.
데이터 삭제를 통해 보호 중지	오류 810001 백업 항목을 삭제하거나 백업 항목에 유효한(노출되지 않은) 복구 지점이 있는 데이터 삭제를 통해 보호를 중지하려고 합니다.	오류 130001 Microsoft Azure Backup에서 내부 오류가 발생했습니다. MARS 2.0.9262.0 이상은 콘솔의 정책에 따라 보호를 중지하고 복구 지점을 유지하는 옵션을 제공합니다.
온라인 보존 기간 줄이기	보존을 줄인 정책 또는 보호를 수정하려고 합니다.	130001 Microsoft Azure Backup에서 내부 오류가 발생했습니다.
-DeleteBackup 플래그를 통한 Remove-OBPolicy	810001 백업 항목을 삭제하거나 백업 항목에 유효한(노출되지 않은) 복구 지점이 있는 데이터 삭제를 통해 보호를 중지하려고 합니다. –EnablePruning 플래그를 사용하여 보존 기간까지 백업을 유지합니다.	130001 Microsoft Azure Backup에서 내부 오류가 발생했습니다. -DeleteBackup 플래그를 사용하지 마세요. MARS 2.0.9262.0 이상은 콘솔의 정책에 따라 보호를 중지하고 복구 지점을 유지하는 옵션을 제공합니다.

다음 단계

• Azure Recovery Services 자격 증명 모음을 시작하여 이러한 기능을 사용하도록 설정합니다.
• 최신 Azure Recovery Services 에이전트를 다운로드하여 공격으로부터 Windows 컴퓨터 및 백업 데이터를 보호합니다.