Voorlopig verwijderen van Azure Backup

Zorgen over beveiligingsproblemen, zoals malware, ransomware en inbraak, nemen toe. Deze beveiligingsproblemen kunnen kostbaar zijn, wat betreft zowel geld als gegevens. Ter bescherming tegen dergelijke aanvallen biedt Azure Backup nu beveiligingsfuncties om back-upgegevens te beschermen, zelfs na verwijdering.

Een dergelijke functie is voorlopig verwijderen. Met voorlopig verwijderen, zelfs als een kwaadwillende actor een back-up verwijdert (of back-upgegevens per ongeluk worden verwijderd), worden de back-upgegevens gedurende 14 extra dagen bewaard, waardoor het herstel van dat back-upitem zonder gegevensverlies mogelijk is. Voor de extra 14 dagen retentie voor back-upgegevens met de status Voorlopig verwijderen worden geen kosten in rekening gebracht.

Beveiliging tegen voorlopig verwijderen is beschikbaar voor deze services:

• Voorlopig verwijderen voor virtuele Azure-machines
• Voorlopig verwijderen voor SQL Server in Azure VM en voorlopig verwijderen voor SAP HANA in Azure VM-workloads

In dit stroomdiagram ziet u de verschillende stappen en statussen van een back-upitem wanneer Voorlopig verwijderen is ingeschakeld:

Voorlopig verwijderen in- en uitschakelen

Voorlopig verwijderen is standaard ingeschakeld voor nieuw gemaakte kluizen om back-upgegevens te beschermen tegen onbedoelde of schadelijke verwijderingen. Het uitschakelen van deze functie wordt niet aanbevolen. De enige omstandigheid waarin u moet overwegen om voorlopig verwijderen uit te schakelen, is als u van plan bent om uw beveiligde items naar een nieuwe kluis te verplaatsen en de 14 dagen die nodig zijn voordat u de beveiliging verwijdert en opnieuw kunt beveiligen (zoals in een testomgeving).

Als u voorlopig verwijderen wilt uitschakelen voor een kluis, moet u de rol Back-upbijdrager voor die kluis hebben (u moet machtigingen hebben om Microsoft.RecoveryServices/Vaults/backupconfig/write in de kluis uit te voeren). Als u deze functie uitschakelt, leiden alle toekomstige verwijderingen van beveiligde items tot onmiddellijke verwijdering, zonder de mogelijkheid om te herstellen. Back-upgegevens die de status Voorlopig verwijderd hebben voordat u deze functie uitschakelt, blijven gedurende de periode van 14 dagen voorlopig verwijderd. Als u deze onmiddellijk definitief wilt verwijderen, moet u de verwijdering ongedaan maken en opnieuw verwijderen om permanent te worden verwijderd.

Het is belangrijk om te onthouden dat zodra voorlopig verwijderen is uitgeschakeld, de functie is uitgeschakeld voor alle typen workloads. Het is bijvoorbeeld niet mogelijk om voorlopig verwijderen alleen uit te schakelen voor SQL Server- of SAP HANA-DB's terwijl deze ingeschakeld blijft voor virtuele machines in dezelfde kluis. U kunt afzonderlijke kluizen maken voor gedetailleerd beheer.

Tip

Als u waarschuwingen/meldingen wilt ontvangen wanneer een gebruiker in de organisatie voorlopig verwijderen voor een kluis uitschakelt, gebruikt u Azure Monitor-waarschuwingen voor Azure Backup. Aangezien het uitschakelen van voorlopig verwijderen een mogelijke destructieve bewerking is, raden we u aan om het waarschuwingssysteem voor dit scenario te gebruiken om al deze bewerkingen te bewaken en acties uit te voeren op onbedoelde bewerkingen.

Voorlopig verwijderen uitschakelen met Azure Portal

Voer de volgende stappen uit om voorlopig verwijderen uit te schakelen:

1. Ga in de Azure Portal naar uw kluis en ga vervolgens naar Settings ->Properties.
2. Selecteer in het deelvenster Eigenschappen de optie Beveiligingsinstellingen ->Update.
3. Selecteer Uitschakelen in het deelvenster Beveiligingsinstellingen onder Voorlopig verwijderen.

Voorlopig verwijderen uitschakelen met Azure PowerShell

Belangrijk

De Az.RecoveryServices-versie die is vereist voor het gebruik van voorlopig verwijderen met behulp van Azure PowerShell is minimaal 2.2.0. Gebruik Install-Module -Name Az.RecoveryServices -Force deze om de nieuwste versie op te halen.

Gebruik de Cmdlet Set-AzRecoveryServicesVaultBackupProperty PowerShell om uit te schakelen.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Voorlopig verwijderen uitschakelen met REST API

Als u de functionaliteit voor voorlopig verwijderen wilt uitschakelen met behulp van REST API, raadpleegt u de stappen die hier worden vermeld.

Voorlopig verwijderde back-upitems definitief verwijderen

Back-upgegevens met voorlopig verwijderde status voordat u deze functie uitschakelt, blijven voorlopig verwijderd. Als u deze onmiddellijk definitief wilt verwijderen, verwijdert u de verwijdering ongedaan en verwijdert u ze opnieuw om definitief te worden verwijderd.

Azure Portal gebruiken

Volg deze stappen:

1. Volg de stappen om voorlopig verwijderen uit te schakelen.

2. Ga in de Azure Portal naar uw kluis, ga naar Back-upitems en kies het voorlopig verwijderde item.

   

3. Selecteer de optie Ongedaan maken.

   

4. Er wordt een venster weergegeven. Selecteer Verwijderen ongedaan maken.

   

5. Kies Back-upgegevens verwijderen om de back-upgegevens permanent te verwijderen.

   

6. Typ de naam van het back-upitem om te bevestigen dat u de herstelpunten wilt verwijderen.

   

7. Als u de back-upgegevens voor het item wilt verwijderen, selecteert u Verwijderen. In een meldingsbericht wordt aangegeven dat de back-upgegevens zijn verwijderd.

Azure PowerShell gebruiken

Als items zijn verwijderd voordat voorlopig verwijderen is uitgeschakeld, hebben ze de status Voorlopig verwijderd. Als u ze onmiddellijk wilt verwijderen, moet de verwijderingsbewerking ongedaan worden gemaakt en vervolgens opnieuw worden uitgevoerd.

Identificeer de items die de status Voorlopig verwijderd hebben.

Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}

Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted

$myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1

Draai vervolgens de verwijderingsbewerking om die werd uitgevoerd toen voorlopig verwijderen was ingeschakeld.

Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2

Omdat voorlopig verwijderen nu is uitgeschakeld, resulteert de verwijderingsbewerking in onmiddellijke verwijdering van back-upgegevens.

Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb

REST API gebruiken

Als items zijn verwijderd voordat voorlopig verwijderen is uitgeschakeld, hebben ze de status Voorlopig verwijderd. Als u ze onmiddellijk wilt verwijderen, moet de verwijderingsbewerking ongedaan worden gemaakt en vervolgens opnieuw worden uitgevoerd.

1. Maak eerst de verwijderingsbewerkingen ongedaan met de stappen die hier worden vermeld.
2. Schakel vervolgens de functionaliteit voor voorlopig verwijderen uit met behulp van REST API met behulp van de stappen die hier worden vermeld.
3. Verwijder vervolgens de back-ups met behulp van REST API, zoals hier wordt vermeld.

Veelgestelde vragen

Moet ik de functie voorlopig verwijderen inschakelen voor elke kluis?

Nee, het is een ingebouwde functie en standaard ingeschakeld voor alle Recovery Services-kluizen.

Kan ik het aantal dagen configureren waarvoor mijn gegevens voorlopig worden bewaard nadat de verwijderingsbewerking is voltooid?

Nee, het is na de verwijderingsbewerking vastgezet op 14 dagen extra retentie.

Moet ik de kosten voor deze extra bewaarperiode van 14 dagen betalen?

Nee, deze 14-daagse extra retentie is gratis als onderdeel van de functionaliteit voor voorlopig verwijderen.

Kan ik een herstelbewerking uitvoeren wanneer mijn gegevens de status voorlopig verwijderen hebben?

Nee, u moet de voorlopig verwijderde resource ongedaan maken om te herstellen. Met de ongedaan maken van de bewerking wordt de resource teruggezet naar de beveiliging stoppen met de status Gegevens behouden , waar u naar elk gewenst moment kunt herstellen. Garbage collector blijft onderbroken in deze staat.

Volgen mijn momentopnamen dezelfde levenscyclus als mijn herstelpunten in de kluis?

Ja.

Hoe kan ik de geplande back-ups opnieuw activeren voor een voorlopig verwijderde resource?

Als u de verwijdering ongedaan wilt maken, wordt de resource opnieuw beveiligd door een hervattingsbewerking. De cv-bewerking koppelt een back-upbeleid om de geplande back-ups te activeren met de geselecteerde bewaarperiode. De garbagecollector wordt ook uitgevoerd zodra de hervatting is voltooid. Als u een herstelbewerking wilt uitvoeren vanaf een herstelpunt dat voorbij de vervaldatum valt, wordt u aangeraden dit te doen voordat u de hervattingsbewerking activeert.

Kan ik mijn kluis verwijderen als er voorlopig verwijderde items in de kluis zijn?

De Recovery Services-kluis kan niet worden verwijderd als er back-upitems zijn met de status Voorlopig verwijderd in de kluis. De voorlopig verwijderde items worden 14 dagen na de verwijderingsbewerking definitief verwijderd. Als u 14 dagen niet kunt wachten, schakelt u voorlopig verwijderen uit, verwijdert u de verwijderde items ongedaan en verwijdert u ze opnieuw om definitief te worden verwijderd. Nadat u ervoor hebt gezorgd dat er geen beveiligde items en geen voorlopig verwijderde items zijn, kan de kluis worden verwijderd.

Kan ik de gegevens verwijderen die ouder zijn dan de periode voor voorlopig verwijderen van 14 dagen na verwijdering?

Nee. U kunt de voorlopig verwijderde items niet forceren. Ze worden na 14 dagen automatisch verwijderd. Deze beveiligingsfunctie is ingeschakeld om de back-upgegevens te beschermen tegen onbedoelde of schadelijke verwijderingen. U moet 14 dagen wachten voordat u een andere actie op het item uitvoert. Voor voorlopig verwijderde items worden geen kosten in rekening gebracht. Als u de items die zijn gemarkeerd voor voorlopig verwijderen binnen 14 dagen in een nieuwe kluis opnieuw wilt beveiligen, neemt u contact op met de ondersteuning van Microsoft.

Kunnen bewerkingen voor voorlopig verwijderen worden uitgevoerd in PowerShell of CLI?

Bewerkingen voor voorlopig verwijderen kunnen worden uitgevoerd met Behulp van PowerShell. Momenteel wordt CLI niet ondersteund.

Volgende stappen

• Overzicht van beveiligingsfuncties in Azure Backup