Voorlopig verwijderen van Azure Backup
De bezorgdheid over beveiligingsproblemen, zoals malware, ransomware en inbraak, neemt toe. Deze beveiligingsproblemen kunnen kostbaar zijn, zowel in termen van geld als gegevens. Ter bescherming tegen dergelijke aanvallen biedt Azure Backup nu beveiligingsfuncties om back-upgegevens te beschermen, zelfs na verwijdering.
Een dergelijke functie is voorlopig verwijderen. Bij voorlopig verwijderen, zelfs als een kwaadwillende actor een back-up verwijdert (of als back-upgegevens per ongeluk worden verwijderd), worden de back-upgegevens nog 14 extra dagen bewaard, zodat het back-upitem zonder gegevensverlies kan worden hersteld. Voor de extra retentie van 14 dagen voor back-upgegevens in de status 'voorlopig verwijderen' worden geen kosten in rekening gebracht.
Beveiliging tegen voorlopig verwijderen is beschikbaar voor deze services:
- Voorlopig verwijderen voor virtuele Azure-machines
- Voorlopig verwijderen voor SQL Server in Azure VM en voorlopig verwijderen voor SAP HANA in Azure VM-workloads
In dit stroomdiagram ziet u de verschillende stappen en statussen van een back-upitem wanneer voorlopig verwijderen is ingeschakeld:
Voorlopig verwijderen in- en uitschakelen
Voorlopig verwijderen is standaard ingeschakeld voor nieuw gemaakte kluizen om back-upgegevens te beschermen tegen onbedoelde of schadelijke verwijderingen. Het uitschakelen van deze functie wordt niet aanbevolen. De enige omstandigheid waarin u kunt overwegen om voorlopig verwijderen uit te schakelen, is als u van plan bent om uw beveiligde items naar een nieuwe kluis te verplaatsen en niet de vereiste 14 dagen kunt wachten voordat u deze verwijdert en opnieuw beveiligt (zoals in een testomgeving).
Als u voorlopig verwijderen voor een kluis wilt uitschakelen, moet u de rol Back-upbijdrager voor die kluis hebben (u moet machtigingen hebben om Microsoft.RecoveryServices/Vaults/backupconfig/write uit te voeren in de kluis). Als u deze functie uitschakelt, leiden alle toekomstige verwijderingen van beveiligde items tot onmiddellijke verwijdering, zonder dat u deze kunt herstellen. Back-upgegevens die bestaan in de status Voorlopig verwijderd voordat deze functie wordt uitgeschakeld, blijven gedurende de periode van 14 dagen voorlopig verwijderd. Als u deze onmiddellijk definitief wilt verwijderen, moet u de verwijdering ongedaan maken en opnieuw verwijderen om definitief te worden verwijderd.
Het is belangrijk om te onthouden dat zodra voorlopig verwijderen is uitgeschakeld, de functie wordt uitgeschakeld voor alle typen workloads. Het is bijvoorbeeld niet mogelijk om voorlopig verwijderen alleen uit te schakelen voor SQL Server of SAP HANA DB's, terwijl dit ingeschakeld blijft voor virtuele machines in dezelfde kluis. U kunt afzonderlijke kluizen maken voor gedetailleerd beheer.
Tip
Als u waarschuwingen/meldingen wilt ontvangen wanneer een gebruiker in de organisatie voorlopig verwijderen voor een kluis uitschakelt, gebruikt u Azure Monitor-waarschuwingen voor Azure Backup. Omdat het uitschakelen van voorlopig verwijderen een mogelijke destructieve bewerking is, raden we u aan om het waarschuwingssysteem voor dit scenario te gebruiken om al deze bewerkingen te bewaken en acties uit te voeren op onbedoelde bewerkingen.
Notitie
- U kunt ook autorisatie voor meerdere gebruikers (MUA) gebruiken om een extra beveiligingslaag toe te voegen tegen het uitschakelen van voorlopig verwijderen. Meer informatie.
- MUA voor voorlopig verwijderen wordt momenteel alleen ondersteund voor Recovery Services-kluizen.
Permanent voorlopig verwijderen met uitgebreide retentie
Voorlopig verwijderen is standaard ingeschakeld voor alle nieuw gemaakte kluizen. De status Voor voorlopig verwijderen altijd ingeschakeld is een opt-in-functie. Zodra dit is ingeschakeld, kan deze niet worden uitgeschakeld (onomkeerbaar).
Daarnaast kunt u de retentieduur voor verwijderde back-upgegevens verlengen, variërend van 14 tot 180 dagen. De retentieduur is standaard ingesteld op 14 dagen (volgens standaard voorlopig verwijderen) voor de kluis en u kunt deze desgewenst uitbreiden. Het voorlopig verwijderen kost u de eerste 14 dagen retentie niet; Er worden echter kosten in rekening gebracht voor de periode na 14 dagen. Lees meer over prijzen.
Voorlopig verwijderen uitschakelen met behulp van Azure Portal
Volg deze stappen om voorlopig verwijderen uit te schakelen:
- Ga in de Azure Portal naar uw kluis en ga vervolgens naar Instellingen ->Eigenschappen.
- Selecteer in het deelvenster Eigenschappen de optie Beveiligingsinstellingen ->Update.
- Selecteer in het deelvenster Beveiligingsinstellingen onder Voorlopig verwijderen de optie Uitschakelen.
Voorlopig verwijderen uitschakelen met behulp van Azure PowerShell
Belangrijk
De az.RecoveryServices-versie die is vereist voor het gebruik van voorlopig verwijderen met behulp van Azure PowerShell is minimaal 2.2.0. Gebruik Install-Module -Name Az.RecoveryServices -Force om de nieuwste versie op te halen.
Als u wilt uitschakelen, gebruikt u de PowerShell-cmdlet Set-AzRecoveryServicesVaultBackupProperty .
Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable
StorageModelType :
StorageType :
StorageTypeState :
EnhancedSecurityState : Enabled
SoftDeleteFeatureState : Disabled
Voorlopig verwijderen uitschakelen met behulp van REST API
Als u de functionaliteit voor voorlopig verwijderen wilt uitschakelen met behulp van REST API, raadpleegt u de stappen die hier worden vermeld.
Voorlopig verwijderde back-upitems definitief verwijderen
Back-upgegevens in de status Voorlopig verwijderd voordat u deze functie uitschakelt, blijven in de status Voorlopig verwijderd. Als u deze onmiddellijk definitief wilt verwijderen, kunt u de verwijdering ongedaan maken en opnieuw verwijderen om definitief te worden verwijderd.
Azure Portal gebruiken
Volg deze stappen:
Volg de stappen om voorlopig verwijderen uit te schakelen.
Ga in de Azure Portal naar uw kluis, ga naar Back-upitems en kies het voorlopig verwijderde item.
Selecteer de optie Verwijderen ongedaan maken.
Er wordt een venster weergegeven. Selecteer Verwijderen ongedaan maken.
Kies Back-upgegevens verwijderen om de back-upgegevens definitief te verwijderen.
Typ de naam van het back-upitem om te bevestigen dat u de herstelpunten wilt verwijderen.
Als u de back-upgegevens voor het item wilt verwijderen, selecteert u Verwijderen. Een meldingsbericht laat u weten dat de back-upgegevens zijn verwijderd.
Azure PowerShell gebruiken
Als items zijn verwijderd voordat voorlopig verwijderen werd uitgeschakeld, hebben ze de status Voorlopig verwijderd. Als u ze onmiddellijk wilt verwijderen, moet de verwijderingsbewerking ongedaan worden gemaakt en vervolgens opnieuw worden uitgevoerd.
Identificeer de items die de status Voorlopig verwijderd hebben.
Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}
Name ContainerType ContainerUniqueName WorkloadType ProtectionStatus HealthStatus DeleteState
---- ------------- ------------------- ------------ ---------------- ------------ -----------
VM;iaasvmcontainerv2;selfhostrg;AppVM1 AzureVM iaasvmcontainerv2;selfhostrg;AppVM1 AzureVM Healthy Passed ToBeDeleted
$myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1
Draai vervolgens de verwijderingsbewerking om die is uitgevoerd toen voorlopig verwijderen was ingeschakeld.
Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force
WorkloadName Operation Status StartTime EndTime JobID
------------ --------- ------ --------- ------- -----
AppVM1 Undelete Completed 12/5/2019 12:47:28 PM 12/5/2019 12:47:40 PM 65311982-3755-46b5-8e53-c82ea4f0d2a2
Omdat voorlopig verwijderen nu is uitgeschakeld, leidt de verwijderingsbewerking tot onmiddellijke verwijdering van back-upgegevens.
Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force
WorkloadName Operation Status StartTime EndTime JobID
------------ --------- ------ --------- ------- -----
AppVM1 DeleteBackupData Completed 12/5/2019 12:44:15 PM 12/5/2019 12:44:50 PM 0488c3c2-accc-4a91-a1e0-fba09a67d2fb
REST API gebruiken
Als items zijn verwijderd voordat voorlopig verwijderen werd uitgeschakeld, hebben ze de status Voorlopig verwijderd. Als u ze onmiddellijk wilt verwijderen, moet de verwijderingsbewerking ongedaan worden gemaakt en vervolgens opnieuw worden uitgevoerd.
- Maak eerst de verwijderbewerkingen ongedaan met de stappen die hier worden vermeld.
- Schakel vervolgens de functionaliteit voor voorlopig verwijderen uit met behulp van REST API met behulp van de stappen die hier worden vermeld.
- Verwijder vervolgens de back-ups met behulp van REST API, zoals hier wordt vermeld.
Veelgestelde vragen
Moet ik de functie voor voorlopig verwijderen inschakelen voor elke kluis?
Nee, het is een ingebouwde functie die standaard is ingeschakeld voor alle Recovery Services-kluizen.
Kan ik het aantal dagen configureren dat mijn gegevens voorlopig worden verwijderd nadat de verwijderbewerking is voltooid?
Nee, het is vastgezet op 14 dagen extra retentie na de verwijderingsbewerking.
Moet ik de kosten voor deze extra 14-daagse retentie betalen?
Nee, deze extra retentie van 14 dagen is gratis als onderdeel van de functionaliteit voor voorlopig verwijderen.
Kan ik een herstelbewerking uitvoeren wanneer mijn gegevens de status Voorlopig verwijderen hebben?
Nee, u moet de verwijdering van de voorlopig verwijderde resource ongedaan maken om te herstellen. De verwijdering ongedaan maken brengt de resource terug naar de status Beveiliging stoppen met behoud van gegevens , waar u kunt herstellen naar een bepaald tijdstip. Garbage collector blijft onderbroken in deze status.
Volgen mijn momentopnamen dezelfde levenscyclus als mijn herstelpunten in de kluis?
Ja.
Hoe kan ik de geplande back-ups opnieuw activeren voor een voorlopig verwijderde resource?
Als u de verwijdering ongedaan maken, gevolgd door een hervattingsbewerking, wordt de resource opnieuw beveiligd. De hervattingsbewerking koppelt een back-upbeleid om de geplande back-ups te activeren met de geselecteerde bewaarperiode. De garbagecollector wordt ook uitgevoerd zodra de hervatting is voltooid. Als u een herstelbewerking wilt uitvoeren vanaf een herstelpunt dat de vervaldatum is verstreken, wordt u aangeraden dit te doen voordat u de hervattingsbewerking activeert.
Kan ik mijn kluis verwijderen als de kluis voorlopig verwijderde items bevat?
De Recovery Services-kluis kan niet worden verwijderd als er back-upitems zijn met de status Voorlopig verwijderd in de kluis. De voorlopig verwijderde items worden 14 dagen na de verwijderingsbewerking definitief verwijderd. Als u 14 dagen niet kunt wachten, schakelt u voorlopig verwijderen uit, verwijdert u de voorlopig verwijderde items ongedaan en verwijdert u ze opnieuw om definitief te worden verwijderd. Nadat u ervoor hebt gezorgd dat er geen beveiligde items en geen voorlopig verwijderde items zijn, kan de kluis worden verwijderd.
Kan ik de gegevens verwijderen vóór de periode van 14 dagen na verwijdering?
Nee. U kunt de voorlopig verwijderde items niet geforceerd verwijderen. Ze worden na 14 dagen automatisch verwijderd. Deze beveiligingsfunctie is ingeschakeld om de back-upgegevens te beschermen tegen onbedoelde of schadelijke verwijderingen. U moet 14 dagen wachten voordat u een andere actie op het item uitvoert. Voorlopig verwijderde items worden niet in rekening gebracht. Als u de items die zijn gemarkeerd voor voorlopig verwijderen binnen 14 dagen opnieuw wilt beveiligen in een nieuwe kluis, neemt u contact op met Microsoft-ondersteuning.
Kunnen bewerkingen voor voorlopig verwijderen worden uitgevoerd in PowerShell of CLI?
Bewerkingen voor voorlopig verwijderen kunnen worden uitgevoerd met behulp van PowerShell. Cli wordt momenteel niet ondersteund.