"Soft Delete" voor Azure Backup

In dit artikel wordt beschreven hoe u de functie voor voorlopig verwijderen (soft delete) inschakelt en uitschakelt, en hoe u gegevens die voorlopig verwijderd zijn definitief verwijdert.

Zorgen over beveiligingsproblemen, zoals malware, ransomware en inbraak nemen toe. Deze beveiligingsproblemen kunnen kostbaar zijn, zowel met betrekking tot geld als gegevens. Om dergelijke aanvallen te voorkomen, biedt Azure Backup nu beveiligingsfuncties om back-upgegevens te beschermen, zelfs na verwijdering.

Een dergelijke functie is soft verwijderen. Met voorlopig verwijderen, zelfs als een kwaadwillende actor een back-up verwijdert (of back-upgegevens per ongeluk worden verwijderd), worden de back-upgegevens 14 extra dagen bewaard, waardoor het herstel van dat back-upitem zonder gegevensverlies mogelijk is. Voor de extra 14 dagen retentie voor back-upgegevens met de status Voorlopig verwijderen worden er geen kosten in rekening gebracht.

Beveiliging tegen voorlopig verwijderen is beschikbaar voor deze services:

• Voorlopig verwijderen voor virtuele Azure-machines
• Voorlopig verwijderen voor SQL-server in Azure VM en voorlopig verwijderen voor SAP HANA in Azure VM-workloads

Levenscyclus van een voorlopig verwijderd back-upitem

In dit stroomdiagram ziet u de verschillende stappen en statussen van een back-upitem wanneer Voorlopig verwijderen is ingeschakeld:

In- en uitschakelen van soft delete

Soft verwijderen is standaard ingeschakeld voor nieuw gecreëerde opslagruimten om back-upgegevens te beschermen tegen onbedoelde of schadelijke verwijderingen. Het uitschakelen van deze functie wordt niet aanbevolen. De enige situatie waarbij u moet overwegen om soft delete uit te schakelen, is als u van plan bent om uw beveiligde items naar een nieuwe kluis te verplaatsen en de 14 dagen die vereist zijn voordat u verwijdert en dit opnieuw beveiligt, niet kunt afwachten (zoals dit in een testomgeving kan voorkomen).

Als u soft delete wilt uitschakelen voor een kluis, moet u de rol van Backup Contributor voor die kluis hebben (u moet gemachtigd zijn om Microsoft.RecoveryServices/Vaults/backupconfig/write op de kluis uit te voeren). Als u deze functie uitschakelt, leiden alle toekomstige verwijderingen van beveiligde items tot onmiddellijke verwijdering, zonder de mogelijkheid om te herstellen. Back-upgegevens die zich in de status 'voorlopig verwijderd' bevinden voordat u deze functie uitschakelt, blijven voor een periode van 14 dagen in die status. Als u deze onmiddellijk definitief wilt verwijderen, moet u de verwijdering ongedaan maken en opnieuw verwijderen om permanent te worden verwijderd.

Het is belangrijk te onthouden dat zodra "soft delete" is uitgeschakeld, de functie voor alle typen werkbelastingen is uitgeschakeld. Het is bijvoorbeeld niet mogelijk om soft delete alleen uit te schakelen voor SQL Server- en SAP HANA-DB's terwijl deze functie ingeschakeld blijft voor virtuele machines in dezelfde kluis. U kunt afzonderlijke kluizen maken voor gedetailleerd beheer.

Tip

Als u waarschuwingen/meldingen wilt ontvangen wanneer een gebruiker in de organisatie tijdelijk verwijderen voor een kluis uitschakelt, gebruik Azure Monitor-waarschuwingen voor Azure Backup. Aangezien het uitschakelen van voorlopig verwijderen een mogelijke destructieve bewerking is, raden we u aan om een waarschuwingssysteem voor dit scenario te gebruiken om al deze bewerkingen te bewaken en acties uit te voeren op onbedoelde bewerkingen.

Notitie

• U kunt ook meervoudige gebruikersautorisatie (MUA) gebruiken om een extra beveiligingslaag toe te voegen ter bescherming tegen het uitschakelen van soft delete. Meer informatie.
• MUA voor voorlopig verwijderen wordt momenteel alleen ondersteund voor Recovery Services-kluizen.

Altijd ingeschakeld soft delete met uitgebreide retentie

Voorlopig verwijderen is standaard ingeschakeld voor alle zojuist gemaakte kluizen. De always-on-status voor voorlopig verwijderen is een opt-in-functie. Als deze optie is ingeschakeld, kan deze niet worden uitgeschakeld (kan dit niet ongedaan worden gemaakt).

Daarnaast kunt u de bewaarduur voor verwijderde back-upgegevens verlengen, variërend van 14 tot 180 dagen. De retentieduur is standaard ingesteld op 14 dagen (zoals gedefinieerd door de basis soft delete) voor de kluis, en u kunt deze naar behoefte uitbreiden. De zachte verwijdering brengt geen kosten met zich mee gedurende de eerste 14 dagen van retentie; er worden echter kosten in rekening gebracht na de 14 dagen. Meer informatie over prijzen.

Soft delete uitschakelen

U kunt de functie voor voorlopig verwijderen uitschakelen met behulp van de volgende ondersteunde clients.

Kies een client:

Azure-portal

Volg vervolgens deze stappen:

1. Ga in Azure Portal naar uw kluis en ga vervolgens naar >.
2. Selecteer In het deelvenster Eigenschappen de optie Update van beveiligingsupdate.
3. Schakel in het deelvenster Instellingen voor beveiliging en soft delete de benodigde selectievakjes uit om soft delete uit te schakelen.

PowerShell

Gebruik de cmdlet Set-AzRecoveryServicesVaultBackupProperty.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Belangrijk

De Az.RecoveryServices-versie die is vereist voor het gebruik van voorlopig verwijderen met behulp van Azure PowerShell, is minimaal 2.2.0. Gebruik Install-Module -Name Az.RecoveryServices -Force om de nieuwste versie op te halen.

REST API

Als u de functionaliteit voor voorlopig verwijderen wilt uitschakelen met behulp van REST API, raadpleegt u deze stappen.

Tijdelijk verwijderde back-ups permanent verwijderen

De back-upgegevens die zich in de staat van voorlopig verwijderen bevinden voordat u deze functie uitschakelt, blijven in de staat van voorlopig verwijderen. Als u deze onmiddellijk definitief wilt verwijderen, verwijdert u ze ongedaan en verwijdert u ze opnieuw. Gebruik een van de volgende clients om zacht verwijderde gegevens definitief te verwijderen.

Kies een client:

Azure-portal

Volg vervolgens deze stappen:

1. Schakel soft delete uit.

2. Ga in de Azure Portal naar uw kluis, >Back-upitems en kies het zacht verwijderde item.

   

3. Selecteer Verwijderen ongedaan maken.

   

4. Er wordt een venster weergegeven. Selecteer ongedaan maken.

   

5. Kies Back-upgegevens verwijderen om de back-upgegevens permanent te verwijderen.

   

6. Typ de naam van het back-upitem om het verwijderen van de herstelpunten te bevestigen.

   

7. Als u de back-upgegevens voor het item wilt verwijderen, selecteert u Verwijderen. In een meldingsbericht wordt aangegeven dat de back-upgegevens zijn verwijderd.

PowerShell

Volg vervolgens deze stappen:

1. Identificeer de items die zacht verwijderd zijn.

   $myVault = Get-AzRecoveryServicesVault -ResourceGroupName "yourResourceGroupName" -Name "yourVaultName"
   Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultID $myVault.ID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}
   
   Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
   ----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
   VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted
   
   $myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVault.ID -Name AppVM1
   

2. De verwijderingsbewerking ongedaan maken die is uitgevoerd toen voorlopig verwijderen was ingeschakeld.

   Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVault.ID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2
   

3. Omdat zachte verwijdering is uitgeschakeld, worden de back-upgegevens onmiddellijk verwijderd door de verwijderingsbewerking.

   Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVault.ID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb
   

REST API

Volg vervolgens deze stappen:

1. Verwijderbewerkingen ongedaan maken.
2. Schakel de functionaliteit voor voorlopig verwijderen uit met behulp van REST API.
3. Verwijder de back-ups met behulp van REST API.

Volgende stappen

• Overzicht van beveiligingsfuncties in Azure Backup
• Veelgestelde vragen.