Over autorisatie voor meerdere gebruikers met Resource Guard
Met MUA (Multi-User Authorization) voor Azure Backup kunt u een extra beveiligingslaag toevoegen aan kritieke bewerkingen in uw Recovery Services-kluizen en Backup-kluizen. Voor MUA maakt Azure Backup gebruik van een andere Azure-resource met de naam Resource Guard om ervoor te zorgen dat kritieke bewerkingen alleen worden uitgevoerd met toepasselijke autorisatie.
Notitie
Autorisatie voor meerdere gebruikers met Resource Guard voor Backup-kluis is nu algemeen beschikbaar.
Hoe werkt MUA for Backup?
Azure Backup maakt gebruik van Resource Guard als extra autorisatiemechanisme voor een Recovery Services-kluis of een Backup-kluis. Als u daarom een kritieke bewerking (hieronder beschreven) wilt uitvoeren, moet u ook over voldoende machtigingen beschikken voor de bijbehorende Resource Guard.
Belangrijk
Als u wilt functioneren zoals bedoeld, moet Resource Guard eigendom zijn van een andere gebruiker en mag de kluisbeheerder geen inzendermachtigingen hebben. U kunt Resource Guard in een abonnement of tenant anders plaatsen dan die met de kluizen om betere beveiliging te bieden.
Kritieke bewerkingen
De volgende tabel bevat de bewerkingen die zijn gedefinieerd als kritieke bewerkingen en kunnen worden beveiligd door een Resource Guard. U kunt ervoor kiezen om bepaalde bewerkingen uit te sluiten van beveiliging met behulp van Resource Guard bij het koppelen van kluizen.
Notitie
U kunt de bewerkingen die zijn aangeduid als Verplicht, niet uitsluiten van beveiliging met behulp van Resource Guard voor kluizen die eraan zijn gekoppeld. De uitgesloten kritieke bewerkingen zijn ook van toepassing op alle kluizen die zijn gekoppeld aan een Resource Guard.
Een kluis kiezen
| Bewerking | Verplicht/optioneel |
|---|---|
| Voorlopig verwijderen uitschakelen | Verplicht |
| MUA-beveiliging uitschakelen | Verplicht |
| Back-upbeleid wijzigen (beperkte retentie) | Optioneel |
| Beveiliging wijzigen (verminderde retentie) | Optioneel |
| Bescherming stoppen met gegevensverwijdering | Optioneel |
| Beveiligingspincode van MARS wijzigen | Optioneel |
Concepten en processen
De concepten en de processen die betrokken zijn bij het gebruik van MUA voor Azure Backup, worden hieronder uitgelegd.
Laten we eens kijken naar de volgende twee gebruikers voor een duidelijk begrip van het proces en de verantwoordelijkheden. In dit artikel worden naar deze twee rollen verwezen.
Back-upbeheerder: eigenaar van de Recovery Services-kluis of de Backup-kluis die beheerbewerkingen uitvoert op de kluis. Om te beginnen mag de back-upbeheerder geen machtigingen hebben voor de Resource Guard.
Beveiligingsbeheerder: eigenaar van de Resource Guard en fungeert als poortwachter voor kritieke bewerkingen in de kluis. Daarom beheert de beveiligingsbeheerder machtigingen die de back-upbeheerder nodig heeft om kritieke bewerkingen uit te voeren op de kluis.
Hieronder volgt een diagrammatische weergave voor het uitvoeren van een kritieke bewerking op een kluis waarvoor MUA is geconfigureerd met behulp van een Resource Guard.
Hier volgt de stroom gebeurtenissen in een typisch scenario:
De Back-upbeheerder maakt de Recovery Services-kluis of de Backup-kluis.
De beveiligingsbeheerder maakt de Resource Guard. Resource Guard kan zich in een ander abonnement of een andere tenant bevinden met betrekking tot de kluis. U moet ervoor zorgen dat de back-upbeheerder geen inzendermachtigingen heeft voor Resource Guard.
De beveiligingsbeheerder verleent de rol Lezer aan de back-up Beheer voor de Resource Guard (of een relevant bereik). De back-upbeheerder vereist de rol lezer om MUA in te schakelen voor de kluis.
De back-upbeheerder configureert nu de kluis die door MUA moet worden beveiligd via de Resource Guard.
Als de back-upbeheerder nu een kritieke bewerking op de kluis wil uitvoeren, moeten ze toegang tot de Resource Guard aanvragen. De back-upbeheerder kan contact opnemen met de beveiligingsbeheerder voor meer informatie over het verkrijgen van toegang tot dergelijke bewerkingen. Ze kunnen dit doen met Behulp van Privileged Identity Management (PIM) of andere processen die door de organisatie worden verplicht.
De beveiligingsbeheerder verleent tijdelijk de rol Inzender voor Resource Guard aan de back-upbeheerder om kritieke bewerkingen uit te voeren.
Nu start de back-upbeheerder de kritieke bewerking.
De Azure Resource Manager controleert of de back-upbeheerder voldoende machtigingen heeft of niet. Omdat de back-upbeheerder nu de rol Inzender voor Resource Guard heeft, wordt de aanvraag voltooid.
Als de back-upbeheerder niet over de vereiste machtigingen/rollen beschikt, zou de aanvraag zijn mislukt.
De beveiligingsbeheerder zorgt ervoor dat de bevoegdheden voor het uitvoeren van kritieke bewerkingen worden ingetrokken nadat geautoriseerde acties zijn uitgevoerd of na een gedefinieerde duur. Het gebruik van JIT-hulpprogramma's microsoft Entra Privileged Identity Management kan nuttig zijn om dit te garanderen.
Notitie
MUA biedt bescherming voor de bovenstaande vermelde bewerkingen die alleen worden uitgevoerd op de gekluisde back-ups. Alle bewerkingen die rechtstreeks op de gegevensbron worden uitgevoerd (dat wil gezegd de Azure-resource/workload die is beveiligd) vallen buiten het bereik van Resource Guard.
Gebruiksscenario's
De volgende tabel bevat de scenario's voor het maken van uw Resource Guard en kluizen (Recovery Services-kluis en Backup-kluis), samen met de relatieve beveiliging die door elk wordt geboden.
Belangrijk
De back-upbeheerder mag in elk scenario geen inzendermachtigingen hebben voor Resource Guard.
| Gebruiksscenario | Beveiliging vanwege MUA | Implementatiegemak | Opmerkingen |
|---|---|---|---|
| Vault en Resource Guard bevinden zich in hetzelfde abonnement. De back-upbeheerder heeft geen toegang tot Resource Guard. | Minimale isolatie tussen de back-upbeheerder en de beveiligingsbeheerder. | Relatief eenvoudig te implementeren omdat er slechts één abonnement is vereist. | Machtigingen/rollen op resourceniveau moeten correct worden toegewezen. |
| Vault en Resource Guard bevinden zich in verschillende abonnementen, maar dezelfde tenant. De back-upbeheerder heeft geen toegang tot Resource Guard of het bijbehorende abonnement. | Gemiddelde isolatie tussen de back-upbeheerder en de beveiligingsbeheerder. | Relatief gemiddeld implementatiegemak omdat twee abonnementen (maar één tenant) vereist zijn. | Zorg ervoor dat machtigingen/rollen correct zijn toegewezen voor de resource of het abonnement. |
| Kluis en Resource Guard bevinden zich in verschillende tenants. De back-upbeheerder heeft geen toegang tot Resource Guard, het bijbehorende abonnement of de bijbehorende tenant. | Maximale isolatie tussen de back-upbeheerder en de beveiligingsbeheerder, vandaar maximale beveiliging. | Relatief moeilijk te testen omdat twee tenants of mappen nodig zijn om te testen. | Zorg ervoor dat machtigingen/rollen correct zijn toegewezen voor de resource, het abonnement of de map. |
Volgende stappen
Configureer autorisatie voor meerdere gebruikers met behulp van Resource Guard.