Autorisatie voor meerdere gebruikers met Resource Guard

U kunt MUA (Multiuser Authorization) voor Azure Backup gebruiken om een beveiligingslaag toe te voegen aan kritieke bewerkingen op uw Recovery Services-kluizen en Backup-kluizen. Voor MUA maakt Azure Backup gebruik van een andere Azure-resource met de naam Resource Guard om ervoor te zorgen dat kritieke bewerkingen alleen worden uitgevoerd met toepasselijke autorisatie.

Autorisatie voor meerdere gebruikers met Resource Guard voor een Backup-kluis is nu algemeen beschikbaar.

Machtigingen voor MUA voor Azure Backup

Azure Backup maakt gebruik van Resource Guard als extra autorisatiemechanisme voor een Recovery Services-kluis of een Backup-kluis. Als u een kritieke bewerking (beschreven in de volgende sectie) wilt uitvoeren, moet u over voldoende machtigingen beschikken voor Resource Guard.

MUA om te functioneren zoals bedoeld:

• Een andere gebruiker moet eigenaar zijn van het Resource Guard-exemplaar.
• De kluisbeheerder mag geen 'Bijdrager', 'Backup MUA Beheerder', of 'Backup MUA Operator' machtigingen hebben voor Resource Guard.

Als u betere beveiliging wilt bieden, kunt u Resource Guard in een abonnement of tenant plaatsen die verschilt van het abonnement dat de kluizen bevat.

Kritieke bewerkingen

De volgende tabel bevat de bewerkingen die zijn gedefinieerd als kritiek en die Resource Guard kan helpen beveiligen. U kunt ervoor kiezen om bepaalde bewerkingen uit te sluiten van beveiliging via Resource Guard wanneer u er kluizen aan wilt koppelen.

Notitie

U kunt de bewerkingen die zijn aangeduid als verplicht niet uitsluiten van beveiliging via Resource Guard voor kluizen die eraan zijn gekoppeld. De uitgesloten kritieke bewerkingen zijn ook van toepassing op alle kluizen die zijn gekoppeld aan Resource Guard.

Recovery Services-kluis

Operation	Verplicht/optioneel	Beschrijving
Voorlopig verwijderen of beveiligingsfuncties uitschakelen	Verplicht	Schakel de instelling voor voorlopig verwijderen in een kluis uit.
MUA-beveiliging verwijderen	Verplicht	MUA-beveiliging uitschakelen voor een kluis.
Beveiliging verwijderen	Optioneel	Verwijder beveiliging door back-ups te stoppen en gegevens te verwijderen.
Beveiliging wijzigen	Optioneel	Voeg een nieuw back-upbeleid toe met verminderde retentie of wijzig de beleidsfrequentie om het beoogde herstelpunt (RPO) te verhogen.
Beleid wijzigen	Optioneel	Wijzig het back-upbeleid om de retentie te verminderen of wijzig de beleidsfrequentie om de RPO te verhogen.
Pincode voor back-upbeveiliging ophalen	Optioneel	Wijzig de beveiligingspincode van Microsoft Azure Recovery Services (MARS).
Back-up stoppen en gegevens bewaren	Optioneel	Verwijder beveiliging door back-ups te stoppen en gegevens voor altijd te bewaren of gegevens te bewaren volgens beleid.
Onveranderbaarheid uitschakelen	Optioneel	Schakel de instelling voor onstelbaarheid bij een kluis uit.

Back-upkluis

Operation	Verplicht/optioneel	Beschrijving
Voorlopig verwijderen uitschakelen	Verplicht	Schakel de instelling voor voorlopig verwijderen in een kluis uit.
MUA-beveiliging verwijderen	Verplicht	MUA-beveiliging uitschakelen voor een kluis.
Back-upexemplaren verwijderen	Optioneel	Verwijder beveiliging door back-ups te stoppen en gegevens te verwijderen.
Back-up stoppen en voor altijd bewaren	Optioneel	Verwijder beveiliging door back-ups te stoppen en gegevens voor altijd te bewaren.
Back-up stoppen en behouden volgens beleid	Optioneel	Verwijder de beveiliging door back-ups te stoppen en gegevens te bewaren volgens het beleid.
Onveranderbaarheid uitschakelen	Optioneel	Schakel de instelling voor onveranderbaarheid in een kluis uit.

Concepten en processen

In deze sectie worden de concepten en processen beschreven die betrokken zijn bij het gebruik van MUA voor Azure Backup.

Houd rekening met de volgende twee persona's voor een duidelijk begrip van het proces en de verantwoordelijkheden. In dit artikel wordt verwezen naar deze persona's.

• Back-upbeheerder: eigenaar van de Recovery Services-kluis of Backup-kluis die beheerbewerkingen op de kluis uitvoert. In eerste instantie mag de back-upbeheerder geen machtigingen hebben voor Resource Guard. De back-upbeheerder kan de rol Back-upoperator of Back-upbijdrager op rollen gebaseerd toegangsbeheer (RBAC) hebben in de Recovery Services-kluis.

• Beveiligingsbeheerder: eigenaar van de Resource Guard-exemplaar en fungeert als poortwachter voor kritieke bewerkingen op de kluis. De beveiligingsbeheerder beheert de machtigingen die de back-upbeheerder nodig heeft om kritieke handelingen in de kluis uit te voeren. De beveiligingsbeheerder kan de RBAC-rol Backup-MUA-beheerder hebben voor Resource Guard.

In het volgende diagram ziet u de stappen voor het uitvoeren van een kritieke bewerking op een kluis waarvoor MUA is geconfigureerd via Resource Guard.

Hier volgt de stroom gebeurtenissen in een typisch scenario:

1. De back-upbeheerder maakt de Recovery Services-kluis of de Backup-kluis.

2. De beveiligingsbeheerder maakt het Resource Guard-exemplaar.

   Het Resource Guard-exemplaar kan zich in een ander abonnement of een andere tenant bevinden ten opzichte van de Key Vault. Zorg ervoor dat de backupbeheerder geen toestemming heeft voor de rollen Contributor, Backup MUA Admin of Backup MUA Operator in Resource Guard.

3. De beveiligingsbeheerder verleent de rol Lezer aan de back-upbeheerder voor Resource Guard (of een relevant bereik). Om MUA op de kluis in te schakelen, heeft de back-upbeheerder de Reader-rol nodig.

4. De back-upbeheerder configureert MUA om te helpen de kluis te beveiligen via Resource Guard.

5. Als de back-upbeheerder of een gebruiker die schrijftoegang heeft tot de kluis een kritieke bewerking wil uitvoeren die is beveiligd met Resource Guard in de kluis, moet deze toegang tot Resource Guard aanvragen.

   De back-upbeheerder kan contact opnemen met de beveiligingsbeheerder voor meer informatie over het verkrijgen van toegang tot dergelijke bewerkingen. Ze kunnen dit doen met behulp van privileged identity management (PIM) of andere processen die de organisatie verplicht stelt.

   De back-upbeheerder kan de RBAC-rol Backup MUA Operator aanvragen. Met deze rol kunnen gebruikers alleen kritieke bewerkingen uitvoeren die door Resource Guard worden beveiligd. Hiermee wordt het verwijderen van het Resource Guard-exemplaar niet toegestaan.

6. De beveiligingsbeheerder verleent tijdelijk de rol Back-up MUA-operator voor Resource Guard aan de back-upbeheerder om kritieke bewerkingen uit te voeren.

7. De back-upbeheerder initieert de kritieke bewerking.

8. Azure Resource Manager controleert of de back-upbeheerder voldoende machtigingen heeft. Omdat de back-upbeheerder nu de rol Back-up MUA-operator voor Resource Guard heeft, wordt de aanvraag voltooid. Als de back-upbeheerder niet over de vereiste machtigingen of rollen beschikt, mislukt de aanvraag.

9. De beveiligingsbeheerder trekt de bevoegdheden voor het uitvoeren van kritieke bewerkingen in nadat geautoriseerde acties zijn uitgevoerd of na een gedefinieerde duur. U kunt de Just-In-Time-hulpprogramma's (JIT) in Microsoft Entra Privileged Identity Management gebruiken om de bevoegdheden in te trekken.

Notitie

• Als u de rol Bijdrager of Back-up MUA-beheerder voor Resource Guard tijdelijk aan de back-upbeheerder verleent, biedt die toegang ook verwijdermachtigingen voor Resource Guard. Wij raden aan om alleen machtigingen voor Backup MUA Operator te geven.
• MUA biedt alleen bescherming voor de eerder vermelde bewerkingen die worden uitgevoerd op de gekluisde back-ups. Alle bewerkingen die rechtstreeks op de gegevensbron worden uitgevoerd (dat wil gezegd de Azure-resource of -workload die wordt beveiligd), vallen buiten het bereik van Resource Guard.

Gebruiksscenario's

De volgende tabel bevat de scenario's voor het maken van uw Resource Guard-exemplaar en -kluizen (Recovery Services-kluis en Backup-kluis), samen met de relatieve beveiliging die elk biedt.

Belangrijk

De backupbeheerder mag in geen enkel scenario de rollen 'Contributor', 'Backup MUA Admin' of 'Backup MUA Operator' hebben voor Resource Guard. Deze machtigingen overschrijven de MUA-beveiliging voor de kluis.

Gebruiksscenario	Beveiliging vanwege MUA	Implementatiegemak	Opmerkingen
Vault en Resource Guard bevinden zich in hetzelfde abonnement. De back-upbeheerder heeft geen toegang tot Resource Guard.	Minimale isolatie tussen de back-upbeheerder en de beveiligingsbeheerder.	Relatief eenvoudig te implementeren omdat er slechts één abonnement is vereist.	Machtigingen en rollen op resourceniveau moeten correct worden toegewezen.
Vault en Resource Guard bevinden zich in verschillende abonnementen, maar dezelfde tenant. De back-upbeheerder heeft geen toegang tot Resource Guard of het bijbehorende abonnement.	Gemiddelde isolatie tussen de back-upbeheerder en de beveiligingsbeheerder.	Gemiddeld implementatiegemak omdat twee abonnementen (maar één tenant) vereist zijn.	Zorg ervoor dat machtigingen en rollen correct zijn toegewezen voor de resource of het abonnement.
Kluis en Resource Guard bevinden zich in verschillende tenants. De back-upbeheerder heeft geen toegang tot Resource Guard, het bijbehorende abonnement of de bijbehorende tenant.	Maximale isolatie tussen de back-upbeheerder en de beveiligingsbeheerder, die maximale beveiliging biedt.	Relatief moeilijk te testen omdat je bij het testen twee tenants of directories nodig hebt.	Zorg ervoor dat machtigingen en rollen correct zijn toegewezen voor de resource, het abonnement of de map.

Verwante inhoud

• Autorisatie voor meerdere gebruikers configureren met behulp van Resource Guard