질문과 대답 - 랜섬웨어로부터 백업 보호

이 문서에서는 Azure Backup 서비스를 사용하여 랜섬웨어로부터 백업을 보호하는 방법에 대한 일반적인 질문에 답합니다.

보안 및 랜섬웨어 위협으로부터 Azure Backup을 구성하고 보호하기 위한 모범 사례는 무엇인가요?

Recovery Services Vault 또는 Backup Vault라는 Azure 리소스에 안전하게 저장된 백업 데이터는 격리됩니다. 이 자격 증명 모음은 관리 개체이며 모든 애플리케이션이나 게스트는 이러한 백업에 직접 액세스할 수 없으므로 악의적인 작업자가 백업 스토리지에서 백업 데이터의 삭제 또는 변조와 같은 파괴적인 작업을 수행하는 것을 방지합니다.

다음 사례는 보안 및 랜섬웨어 위협으로부터 백업을 보호합니다.

• Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 리소스를 백업하기 위한 액세스를 관리합니다.

  • Azure Backup을 사용하면 팀 내에서 업무를 분리하여 Azure Backup 관리를 위한 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 팀 구성원이 작업을 수행하는 데 필요한 액세스 권한만 부여할 수 있습니다.
  • Privileged Identity Management를 사용하여 시간 기반 및 승인 기반 역할 활성화를 제공하여 권한이 과도하거나 불필요하거나 오용될 위험을 완화합니다. 자세히 알아보기.

• 우발적이거나 악의적인 삭제로부터 백업을 보호하기 위해 일시 삭제가 사용하도록 설정되어 있는지 확인합니다.

  일시 삭제는 새로 만들어진 Recovery Services 자격 증명 모음에서 기본적으로 사용하도록 설정됩니다. 추가 비용 없이 14일 동안 우발적이거나 악의적인 삭제로부터 백업 데이터를 보호하여 영구적으로 손실되기 전에 해당 백업 항목을 복구할 수 있습니다. 이 기능을 사용하지 않도록 설정하지 않는 것이 좋습니다. 백업이 삭제되고 일시 삭제가 사용하도록 설정되지 않은 경우 사용자 또는 Microsoft는 삭제된 백업 데이터를 복구할 수 없습니다. Recovery Services 자격 증명 모음에서 이러한 중요한 작업에 대한 추가 보호 계층으로 MUA(다중 사용자 권한 부여)를 사용하여 이 기능을 사용하지 않도록 설정하기 전에 작업의 유효성을 검사합니다. 자세한 내용은 Azure Backup에 대해 일시 삭제를 사용하도록 설정, 관리 및 사용하지 않도록 설정하는 시기를 참조하세요.

  또한 Recovery Services 자격 증명 모음에서 중요한 작업을 보호하기 위해 MUA(다중 사용자 권한 부여)를 사용하는 것이 좋습니다.

• 불법 관리자 시나리오로부터 보호하기 위해 MUA(다중 사용자 권한 부여)가 사용하도록 설정되어 있는지 확인합니다.

  Azure Backup용 MUA는 Resource Guard라는 새로운 리소스를 사용하여 일시 삭제 사용하지 않도록 설정, 백업 중지 및 삭제, 백업 정책 보존 축소와 같은 중요한 작업이 해당 권한이 있는 경우에만 수행되도록 합니다. 자세한 내용은 다음을 참조하세요.

  • Resource Guard를 사용하는 MUA는 어떻게 작동하나요?
  • Privileged Identity Management를 사용하여 Resource Guard에 대한 Just-In-Time 액세스를 제공합니다.

• 중요한 백업 작업에 대한 경고 및 알림을 설정합니다.

  Azure Backup은 다양한 시나리오에 대한 여러 모니터링 및 알림 기능을 제공합니다. 시기 적절한 경고 및 필요한 작업을 위해 올바르게 구성되었는지 확인합니다. 자세한 정보

  경고용 Azure Monitor를 사용하여 중요한 작업에 대한 경고/경고를 수신하는 것이 좋습니다.

• 백업 서비스와 워크로드 간의 네트워크 연결이 안전한지 확인합니다.

  • Azure VM의 경우 전송 중인 데이터는 가상 네트워크에 액세스할 필요 없이 Azure 백본 네트워크에 남아 있습니다. 따라서 보안 네트워크 내에 배치된 Azure VM을 백업하려면 모든 IP 또는 FQDN에 대한 액세스를 허용하지 않아도 됩니다.
  • Azure VM의 데이터베이스의 경우 Azure VM의 SQL Server, SAP HANA 데이터베이스에 대한 다음 네트워크 연결 요구 사항으로 아웃바운드 액세스를 보호합니다.
  • PostgreSQL과 같은 PaaS 리소스의 경우 통신은 Azure 네트워크 내에서 발생합니다. 백업 데이터가 운영 계층에 저장되는 워크로드(예: Azure Files, Azure Disk 및 Azure Blobs)의 경우 해당 스토리지 계정의 네트워크 설정에서 신뢰할 수 있는 서비스 목록의 Azure 서비스가 스토리지 계정에 액세스하도록 허용해야 합니다.
  • MARS 또는 MABS를 사용하여 보호되는 온-프레미스 워크로드의 경우 ExpressRoute 또는 VPN(가상 사설망)에 대한 Microsoft 피어링을 사용하여 Azure에 연결할 수 있습니다. Backup의 프라이빗 엔드포인트를 사용하는 경우 개인 피어링을 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 프라이빗하게 유지됩니다.

  자세한 내용은 다음을 참조하세요.

  • 개인 네트워크를 함께 연결.
  • Azure 서비스에 대한 개인 네트워크 액세스 설정.
  • Azure Virtual Network 서비스 태그를 사용하여 NSG(네트워크 보안 그룹) 또는 Azure Firewall에서 Backup 리소스에 대한 네트워크 액세스 제어를 정의합니다.
  • Azure Backup을 사용하는 하이브리드 백업의 보안 기능.

• 백업 데이터가 암호화되었는지 확인합니다.

  기본적으로 미사용 백업 데이터는 PMK(플랫폼 관리형 키)를 사용하여 암호화됩니다. 보관된 백업의 경우 CMK(고객 관리형 키)를 사용하여 암호화 키를 직접 소유하고 관리하도록 선택할 수 있습니다. 또한 CMK 암호화와 함께 미사용 데이터의 이중 암호화를 제공하는 인프라 수준 암호화를 사용하여 스토리지 인프라에서 암호화를 구성할 수 있습니다.

  • MARS 또는 MABS 백업을 사용하면 자체 암호를 사용하여 데이터의 엔드투엔드 암호화를 허용할 수 있습니다. 그러나 연결된 암호화 암호가 다른 위치(원본 컴퓨터 이외), 가급적이면 Azure Key Vault에 안전하게 저장되어 있는지 확인합니다. MARS 에이전트를 사용하여 여러 컴퓨터를 백업하는 경우 모든 암호를 추적하세요.
  • 암호화된 Azure VM(Azure Disk Encryption를 사용하여 암호화)과 Azure VM에서 실행되는 암호화된 SQL Server(TDE를 사용하여 암호화)를 백업하여 엔드투엔드 암호화를 보장할 수도 있습니다.

  자세한 내용은 다음을 참조하세요.

  • CMK, PMK, 인프라 수준 암호화를 사용한 Recovery Services 자격 증명 모음의 데이터 암호화.
  • 미사용 데이터에 대한 Azure Storage 암호화.
  • Azure Backup의 전송 계층 보안.

• 정기적으로 백업 모니터링

  모니터링 솔루션(예: Backup Explorer)을 사용하여 Azure Backup으로 보호되지 않는 조직의 컴퓨터를 식별하고 백업 항목, 백업 작업 및 정책을 모니터링합니다. 자세한 내용은 다음을 참조하세요.

  • 모니터링 및 보고 시나리오.
  • Backup 탐색기를 사용하여 백업 모니터링.
  • Azure Portal을 사용하여 백업 워크로드 모니터링(Recovery Services 자격 증명 모음 사용).
  • Azure Monitor 메트릭을 사용하여 백업 상태를 모니터링.
  • Azure Monitor Log Analytics 작업 영역을 사용한 사용자 지정 모니터링 및 경고

• 테스트 복원을 수행하여 주기적으로 백업의 유효성 검사.

  백업의 데이터 복구 테스트를 주기적으로 수행하여 백업 구성과 백업 데이터의 가용성이 조직의 복구 요구 사항과 예상 RPO 및 RTO 요구 사항을 충족하는지 확인합니다. 테스트 복구의 범위와 테스트 복구를 수행하는 빈도를 포함하도록 백업 복구 테스트 전략을 정의합니다.

백업 데이터의 의도적이거나 의도하지 않은 삭제를 차단하는 방법

• 일시 삭제를 사용하여 실수로 또는 악의적인 삭제로부터 백업을 보호합니다.

  일시 삭제는 데이터 손실을 처리할 수 있도록 하는 유용한 기능입니다. 일시 삭제는 백업 데이터를 14일 동안 유지하므로 영구적으로 손실되기 전에 해당 백업 항목을 복구할 수 있습니다. 자세한 내용은 Azure Backup에 대해 일시 삭제를 사용하도록 설정, 관리 및 사용하지 않도록 설정하는 방법을 참조하세요.

• 추가 보호 계층을 위해 MUA(다중 사용자 권한 부여)가 사용하도록 설정되어 있는지 확인합니다.

  Azure Backup용 MUA는 Resource Guard라는 새 리소스를 사용하여 일시 삭제를 사용하지 않도록 설정하거나 백업을 중지 및 삭제하거나 백업 정책 보존을 줄이는 것과 같은 중요한 작업이 해당 권한 부여를 통해서만 수행되도록 합니다.

  자세한 내용은 다음을 참조하세요.

  • Resource Guard를 사용하는 MUA 작동 방식
  • Privileged Identity Management를 사용하여 Resource Guard에 대한 Just-In-Time 액세스를 제공합니다.

랜섬웨어의 영향을 받는 시스템을 복원하는 방법은 무엇인가요?

원본 시스템에서 백업이 사용하도록 설정되었고 공격 지점 이전에 백업이 정상인 경우 다음 작업을 고려합니다.

• 인시던트 타임라인을 검토하여 프로덕션 워크로드에 대한 영향을 예상합니다.
• 영향 전에 만들어진 마지막 완전 복구 지점을 식별합니다.
• 기존 복구 지점의 보존 기간을 검토합니다. 공격으로부터 복원하는 데 더 많은 시간이 필요한 경우 백업 정책에서 보존 기간을 연장하는 것이 좋습니다.
• 격리되고 보안된 네트워크로 복구를 수행합니다.
• 더 작은 데이터 집합(예: 항목 수준 복구)에 대해 복원을 수행하여 정상적인 복구 지점을 보장합니다.
• 복원된 데이터에 감염 징후가 있는지 검사하여 손상되지 않았는지 확인합니다.
• 데이터가 깨끗한 것으로 확인되면 프로덕션 시스템에 사용합니다.
• 완료되면 복구된 워크로드에서 백업이 구성되고 정상인지 확인합니다.
• 프로세스가 예상대로 작동하지 않는 부분을 확인하기 위해 간격을 식별합니다. 프로세스를 개선할 수 있는 기회를 찾습니다.

감염된 백업 복사본이 기존의 완전한 복구 지점에 영향을 주나요?

아니요, 감염된 복구 지점(즉, 감염된 데이터가 포함된 백업 데이터)은 감염되지 않은 이전 복구 지점으로 확산될 수 없습니다.

영향이 있는 경우 복구 지점 만료를 연장하려면 어떻게 해야 하나요?

영향을 조사하고 복구하는 데 더 많은 시간이 필요한 경우 만료를 연장하여 복구 지점이 정리되지 않도록 할 수 있습니다(정책에 따라). 보존 정책에 의해 삭제되지 않도록 자세히 알아보기

이 문서에서는 Azure Backup 서비스를 사용하여 랜섬웨어로부터 백업을 보호하는 방법에 대한 일반적인 질문에 답합니다.

Recovery Services Vault 또는 Backup Vault라는 Azure 리소스에 안전하게 저장된 백업 데이터는 격리됩니다. 이 자격 증명 모음은 관리 개체이며 모든 애플리케이션이나 게스트는 이러한 백업에 직접 액세스할 수 없으므로 악의적인 작업자가 백업 스토리지에서 백업 데이터의 삭제 또는 변조와 같은 파괴적인 작업을 수행하는 것을 방지합니다.

다음 사례는 보안 및 랜섬웨어 위협으로부터 백업을 보호합니다.

• Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 리소스를 백업하기 위한 액세스를 관리합니다.

  • Azure Backup을 사용하면 팀 내에서 업무를 분리하여 Azure Backup 관리를 위한 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 팀 구성원이 작업을 수행하는 데 필요한 액세스 권한만 부여할 수 있습니다.
  • Privileged Identity Management를 사용하여 시간 기반 및 승인 기반 역할 활성화를 제공하여 권한이 과도하거나 불필요하거나 오용될 위험을 완화합니다. 자세히 알아보기.

• 우발적이거나 악의적인 삭제로부터 백업을 보호하기 위해 일시 삭제가 사용하도록 설정되어 있는지 확인합니다.

  일시 삭제는 새로 만들어진 Recovery Services 자격 증명 모음에서 기본적으로 사용하도록 설정됩니다. 추가 비용 없이 14일 동안 우발적이거나 악의적인 삭제로부터 백업 데이터를 보호하여 영구적으로 손실되기 전에 해당 백업 항목을 복구할 수 있습니다. 이 기능을 사용하지 않도록 설정하지 않는 것이 좋습니다. 백업이 삭제되고 일시 삭제가 사용하도록 설정되지 않은 경우 사용자 또는 Microsoft는 삭제된 백업 데이터를 복구할 수 없습니다. Recovery Services 자격 증명 모음에서 이러한 중요한 작업에 대한 추가 보호 계층으로 MUA(다중 사용자 권한 부여)를 사용하여 이 기능을 사용하지 않도록 설정하기 전에 작업의 유효성을 검사합니다. 자세한 내용은 Azure Backup에 대해 일시 삭제를 사용하도록 설정, 관리 및 사용하지 않도록 설정하는 시기를 참조하세요.

  또한 Recovery Services 자격 증명 모음에서 중요한 작업을 보호하기 위해 MUA(다중 사용자 권한 부여)를 사용하는 것이 좋습니다.

• 불법 관리자 시나리오로부터 보호하기 위해 MUA(다중 사용자 권한 부여)가 사용하도록 설정되어 있는지 확인합니다.

  Azure Backup용 MUA는 Resource Guard라는 새로운 리소스를 사용하여 일시 삭제 사용하지 않도록 설정, 백업 중지 및 삭제, 백업 정책 보존 축소와 같은 중요한 작업이 해당 권한이 있는 경우에만 수행되도록 합니다. 자세한 내용은 다음을 참조하세요.

  • Resource Guard를 사용하는 MUA는 어떻게 작동하나요?
  • Privileged Identity Management를 사용하여 Resource Guard에 대한 Just-In-Time 액세스를 제공합니다.

• 중요한 백업 작업에 대한 경고 및 알림을 설정합니다.

  Azure Backup은 다양한 시나리오에 대한 여러 모니터링 및 알림 기능을 제공합니다. 시기 적절한 경고 및 필요한 작업을 위해 올바르게 구성되었는지 확인합니다. 자세한 정보

  경고용 Azure Monitor를 사용하여 중요한 작업에 대한 경고/경고를 수신하는 것이 좋습니다.

• 백업 서비스와 워크로드 간의 네트워크 연결이 안전한지 확인합니다.

  • Azure VM의 경우 전송 중인 데이터는 가상 네트워크에 액세스할 필요 없이 Azure 백본 네트워크에 남아 있습니다. 따라서 보안 네트워크 내에 배치된 Azure VM을 백업하려면 모든 IP 또는 FQDN에 대한 액세스를 허용하지 않아도 됩니다.
  • Azure VM의 데이터베이스의 경우 Azure VM의 SQL Server, SAP HANA 데이터베이스에 대한 다음 네트워크 연결 요구 사항으로 아웃바운드 액세스를 보호합니다.
  • PostgreSQL과 같은 PaaS 리소스의 경우 통신은 Azure 네트워크 내에서 발생합니다. 백업 데이터가 운영 계층에 저장되는 워크로드(예: Azure Files, Azure Disk 및 Azure Blobs)의 경우 해당 스토리지 계정의 네트워크 설정에서 신뢰할 수 있는 서비스 목록의 Azure 서비스가 스토리지 계정에 액세스하도록 허용해야 합니다.
  • MARS 또는 MABS를 사용하여 보호되는 온-프레미스 워크로드의 경우 ExpressRoute 또는 VPN(가상 사설망)에 대한 Microsoft 피어링을 사용하여 Azure에 연결할 수 있습니다. Backup의 프라이빗 엔드포인트를 사용하는 경우 개인 피어링을 사용합니다. 피어링된 가상 네트워크 간의 네트워크 트래픽은 프라이빗하게 유지됩니다.

  자세한 내용은 다음을 참조하세요.

  • 개인 네트워크를 함께 연결.
  • Azure 서비스에 대한 개인 네트워크 액세스 설정.
  • Azure Virtual Network 서비스 태그를 사용하여 NSG(네트워크 보안 그룹) 또는 Azure Firewall에서 Backup 리소스에 대한 네트워크 액세스 제어를 정의합니다.
  • Azure Backup을 사용하는 하이브리드 백업의 보안 기능.

• 백업 데이터가 암호화되었는지 확인합니다.

  기본적으로 미사용 백업 데이터는 PMK(플랫폼 관리형 키)를 사용하여 암호화됩니다. 보관된 백업의 경우 CMK(고객 관리형 키)를 사용하여 암호화 키를 직접 소유하고 관리하도록 선택할 수 있습니다. 또한 CMK 암호화와 함께 미사용 데이터의 이중 암호화를 제공하는 인프라 수준 암호화를 사용하여 스토리지 인프라에서 암호화를 구성할 수 있습니다.

  • MARS 또는 MABS 백업을 사용하면 자체 암호를 사용하여 데이터의 엔드투엔드 암호화를 허용할 수 있습니다. 그러나 연결된 암호화 암호가 다른 위치(원본 컴퓨터 이외), 가급적이면 Azure Key Vault에 안전하게 저장되어 있는지 확인합니다. MARS 에이전트를 사용하여 여러 컴퓨터를 백업하는 경우 모든 암호를 추적하세요.
  • 암호화된 Azure VM(Azure Disk Encryption를 사용하여 암호화)과 Azure VM에서 실행되는 암호화된 SQL Server(TDE를 사용하여 암호화)를 백업하여 엔드투엔드 암호화를 보장할 수도 있습니다.

  자세한 내용은 다음을 참조하세요.

  • CMK, PMK, 인프라 수준 암호화를 사용한 Recovery Services 자격 증명 모음의 데이터 암호화.
  • 미사용 데이터에 대한 Azure Storage 암호화.
  • Azure Backup의 전송 계층 보안.

• 정기적으로 백업 모니터링

  모니터링 솔루션(예: Backup Explorer)을 사용하여 Azure Backup으로 보호되지 않는 조직의 컴퓨터를 식별하고 백업 항목, 백업 작업 및 정책을 모니터링합니다. 자세한 내용은 다음을 참조하세요.

  • 모니터링 및 보고 시나리오.
  • Backup 탐색기를 사용하여 백업 모니터링.
  • Azure Portal을 사용하여 백업 워크로드 모니터링(Recovery Services 자격 증명 모음 사용).
  • Azure Monitor 메트릭을 사용하여 백업 상태를 모니터링.
  • Azure Monitor Log Analytics 작업 영역을 사용한 사용자 지정 모니터링 및 경고

• 테스트 복원을 수행하여 주기적으로 백업의 유효성 검사.

  백업의 데이터 복구 테스트를 주기적으로 수행하여 백업 구성과 백업 데이터의 가용성이 조직의 복구 요구 사항과 예상 RPO 및 RTO 요구 사항을 충족하는지 확인합니다. 테스트 복구의 범위와 테스트 복구를 수행하는 빈도를 포함하도록 백업 복구 테스트 전략을 정의합니다.

• 일시 삭제를 사용하여 실수로 또는 악의적인 삭제로부터 백업을 보호합니다.

  일시 삭제는 데이터 손실을 처리할 수 있도록 하는 유용한 기능입니다. 일시 삭제는 백업 데이터를 14일 동안 유지하므로 영구적으로 손실되기 전에 해당 백업 항목을 복구할 수 있습니다. 자세한 내용은 Azure Backup에 대해 일시 삭제를 사용하도록 설정, 관리 및 사용하지 않도록 설정하는 방법을 참조하세요.

• 추가 보호 계층을 위해 MUA(다중 사용자 권한 부여)가 사용하도록 설정되어 있는지 확인합니다.

  Azure Backup용 MUA는 Resource Guard라는 새 리소스를 사용하여 일시 삭제를 사용하지 않도록 설정하거나 백업을 중지 및 삭제하거나 백업 정책 보존을 줄이는 것과 같은 중요한 작업이 해당 권한 부여를 통해서만 수행되도록 합니다.

  자세한 내용은 다음을 참조하세요.

  • Resource Guard를 사용하는 MUA 작동 방식
  • Privileged Identity Management를 사용하여 Resource Guard에 대한 Just-In-Time 액세스를 제공합니다.

원본 시스템에서 백업이 사용하도록 설정되었고 공격 지점 이전에 백업이 정상인 경우 다음 작업을 고려합니다.

• 인시던트 타임라인을 검토하여 프로덕션 워크로드에 대한 영향을 예상합니다.
• 영향 전에 만들어진 마지막 완전 복구 지점을 식별합니다.
• 기존 복구 지점의 보존 기간을 검토합니다. 공격으로부터 복원하는 데 더 많은 시간이 필요한 경우 백업 정책에서 보존 기간을 연장하는 것이 좋습니다.
• 격리되고 보안된 네트워크로 복구를 수행합니다.
• 더 작은 데이터 집합(예: 항목 수준 복구)에 대해 복원을 수행하여 정상적인 복구 지점을 보장합니다.
• 복원된 데이터에 감염 징후가 있는지 검사하여 손상되지 않았는지 확인합니다.
• 데이터가 깨끗한 것으로 확인되면 프로덕션 시스템에 사용합니다.
• 완료되면 복구된 워크로드에서 백업이 구성되고 정상인지 확인합니다.
• 프로세스가 예상대로 작동하지 않는 부분을 확인하기 위해 간격을 식별합니다. 프로세스를 개선할 수 있는 기회를 찾습니다.

아니요, 감염된 복구 지점(즉, 감염된 데이터가 포함된 백업 데이터)은 감염되지 않은 이전 복구 지점으로 확산될 수 없습니다.

영향을 조사하고 복구하는 데 더 많은 시간이 필요한 경우 만료를 연장하여 복구 지점이 정리되지 않도록 할 수 있습니다(정책에 따라). 보존 정책에 의해 삭제되지 않도록 자세히 알아보기