Overzicht van beveiligingsfuncties in Azure Backup
Een van de belangrijkste stappen die u kunt nemen om uw gegevens te beveiligen, is om een betrouwbare back-upinfrastructuur te hebben. Maar het is net zo belangrijk om ervoor te zorgen dat er op een veilige manier een back-up van uw gegevens wordt gemaakt en dat uw back-ups te allen tijde worden beveiligd. Azure Backup biedt beveiliging voor uw back-upomgeving, zowel wanneer uw gegevens in transit als at-rest zijn. In dit artikel vindt u beveiligingsmogelijkheden in Azure Backup waarmee u uw back-upgegevens kunt beveiligen en kunt voldoen aan de beveiligingsbehoeften van uw bedrijf.
Beheer en beheer van identiteit en gebruikerstoegang
Opslagaccounts die door Recovery Services-kluizen worden gebruikt, zijn geïsoleerd en kunnen niet worden geopend door gebruikers voor schadelijke doeleinden. De toegang is alleen toegestaan via Azure Backup beheerbewerkingen, zoals herstellen. Azure Backup stelt u in staat om de beheerde bewerkingen te beheren via verfijnde toegang met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Met Azure RBAC kunt u taken binnen uw team scheiden en alleen de hoeveelheid toegang verlenen aan gebruikers die nodig zijn om hun werk uit te voeren.
Azure Backup biedt drie ingebouwde rollen voor het beheren van back-upbeheerbewerkingen:
- Back-upbijdrager: voor het maken en beheren van back-ups, met uitzondering van het verwijderen van een Recovery Services-kluis en het verlenen van toegang aan anderen
- Back-upoperator: alles wat een inzender doet, behalve het verwijderen van back-upbeleid en het beheren van back-upbeleid
- Back-uplezer - machtigingen voor het weergeven van alle back-upbeheerbewerkingen
Meer informatie over op rollen gebaseerd toegangsbeheer van Azure voor het beheren van Azure Backup.
Azure Backup heeft verschillende beveiligingsmaatregelen ingebouwd in de service om beveiligingsproblemen te voorkomen, te detecteren en erop te reageren. Meer informatie over beveiligingsbesturingselementen voor Azure Backup.
Scheiding tussen gast- en Azure-opslag
Met Azure Backup, waaronder back-up van virtuele machines en SQL en SAP HANA in VM-back-up, worden de back-upgegevens opgeslagen in Azure Storage en heeft de gast geen directe toegang tot back-upopslag of de inhoud ervan. Met de back-up van de virtuele machine worden het maken en opslaan van de back-upmomentopname uitgevoerd door Azure Fabric, waarbij de gast alleen de workload voor toepassingsconsistente back-ups stil hoeft te maken. Met SQL en SAP HANA krijgt de back-upextensie tijdelijke toegang om te schrijven naar specifieke blobs. Op deze manier kunnen bestaande back-ups, zelfs in een gecompromitteerde omgeving, niet worden gemanipuleerd of verwijderd door de gast.
Internetverbinding is niet vereist voor back-ups van Azure-VM's
Voor back-up van Azure-VM's moeten gegevens van de schijf van uw virtuele machine naar de Recovery Services-kluis worden verplaatst. Alle vereiste communicatie en gegevensoverdracht vindt echter alleen plaats in het Azure-backbonenetwerk zonder dat u toegang nodig hebt tot uw virtuele netwerk. Daarom hoeft u geen toegang tot IP-adressen of FQDN's toe te staan voor back-ups van Azure-VM's die in beveiligde netwerken zijn geplaatst.
Privé-eindpunten voor Azure Backup
U kunt nu privé-eindpunten gebruiken om veilig een back-up van uw gegevens te maken vanaf servers in een virtueel netwerk naar uw Recovery Services-kluis. Het privé-eindpunt gebruikt een IP-adres van de VNET-adresruimte voor uw kluis, zodat u uw virtuele netwerken niet beschikbaar hoeft te maken voor openbare IP-adressen. Privé-eindpunten kunnen worden gebruikt voor het maken van back-ups en het herstellen van uw SQL- en SAP HANA-databases die in uw Azure-VM's worden uitgevoerd. Het kan ook worden gebruikt voor uw on-premises servers met behulp van de MARS-agent.
Meer informatie over privé-eindpunten voor Azure Backup vindt u hier.
Versleuteling van gegevens
Versleuteling beschermt uw gegevens en helpt u om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Gegevensversleuteling vindt in veel fasen plaats in Azure Backup:
Binnen Azure worden gegevens die worden overgedragen tussen Azure Storage en de kluis beveiligd door HTTPS. Deze gegevens blijven op het Backbone-netwerk van Azure.
Back-upgegevens worden automatisch versleuteld met door het platform beheerde sleutels en u hoeft geen expliciete actie te ondernemen om deze in te schakelen. U kunt uw back-upgegevens ook versleutelen met behulp van door de klant beheerde sleutels die zijn opgeslagen in de Azure Key Vault. Dit is van toepassing op alle workloads waarvan een back-up wordt gemaakt in uw Recovery Services-kluis.
Azure Backup ondersteunt back-ups en herstel van Azure-VM's waarop de besturingssysteem-/gegevensschijven zijn versleuteld met Azure Disk Encryption (ADE) en VM's met cmk versleutelde schijven. Meer informatie over versleutelde Azure-VM's en Azure Backup voor meer informatie.
Wanneer er een back-up wordt gemaakt van gegevens van on-premises servers met de MARS-agent, worden gegevens versleuteld met een wachtwoordzin voordat ze naar Azure Backup worden geüpload en worden ze pas ontsleuteld nadat ze zijn gedownload van Azure Backup. Meer informatie over beveiligingsfuncties voor het beveiligen van hybride back-ups.
Voorlopig verwijderen
Azure Backup biedt beveiligingsfuncties om de back-upgegevens te beschermen, zelfs na verwijdering. Als u de back-up van een VIRTUELE machine verwijdert, worden de back-upgegevens 14 extra dagen bewaard, zodat dat back-upitem zonder gegevensverlies kan worden hersteld. Voor de extra retentie van 14 dagen voor back-upgegevens met de status 'voorlopig verwijderen ' worden geen kosten in rekening gebracht. Meer informatie over voorlopig verwijderen.
Azure Backup heeft nu ook voorlopig verwijderen verbeterd om de kans op het herstellen van gegevens na verwijdering verder te verbeteren. Meer informatie.
Onveranderbare kluizen
Onveranderbare kluis kan u helpen uw back-upgegevens te beschermen door bewerkingen te blokkeren die kunnen leiden tot verlies van herstelpunten. Verder kunt u de onveranderbare kluisinstelling vergrendelen om deze onomkeerbaar te maken, waardoor kan worden voorkomen dat kwaadwillende actoren onveranderbaarheid uitschakelen en back-ups verwijderen. Meer informatie over onveranderbare kluizen.
Autorisatie voor meerdere gebruikers
Met autorisatie voor meerdere gebruikers (MUA) voor Azure Backup kunt u een extra beveiligingslaag toevoegen aan kritieke bewerkingen op uw Recovery Services-kluizen en back-upkluizen. Voor MUA gebruikt Azure Backup een andere Azure-resource met de naam Resource Guard om ervoor te zorgen dat kritieke bewerkingen alleen worden uitgevoerd met toepasselijke autorisatie. Meer informatie over autorisatie voor meerdere gebruikers voor Azure Backup.
Uitgebreid voorlopig verwijderen
Verbeterd voorlopig verwijderen biedt u de mogelijkheid om uw gegevens te herstellen, zelfs nadat deze zijn verwijderd, per ongeluk of met kwaadwillende bedoelingen. Het werkt door het permanent verwijderen van gegevens met een opgegeven duur uit te stellen, zodat u de mogelijkheid krijgt om deze op te halen. U kunt voorlopig verwijderen ook altijd ingeschakeld maken om te voorkomen dat deze wordt uitgeschakeld. Meer informatie over verbeterd voorlopig verwijderen voor Back-up.
Bewaking en waarschuwingen voor verdachte activiteiten
Azure Backup biedt ingebouwde bewakings- en waarschuwingsmogelijkheden om acties voor gebeurtenissen met betrekking tot Azure Backup weer te geven en te configureren. Back-uprapporten fungeren als een centrale bestemming voor het bijhouden van gebruik, het controleren van back-ups en herstelbewerkingen en het identificeren van belangrijke trends op verschillende granulariteitsniveaus. Met behulp van de bewakings- en rapportagehulpprogramma's van Azure Backup kunt u worden gewaarschuwd voor niet-geautoriseerde, verdachte of schadelijke activiteiten zodra deze zich voordoen.
Beveiligingsfuncties voor het beveiligen van hybride back-ups
Azure Backup-service maakt gebruik van de MARS-agent (Microsoft Azure Recovery Services) om back-ups te maken van bestanden, mappen en het volume of de systeemstatus van een on-premises computer naar Azure. MARS biedt nu beveiligingsfuncties om hybride back-ups te beschermen. Deze functies zijn onder andere:
Er wordt een extra verificatielaag toegevoegd wanneer een kritieke bewerking wordt uitgevoerd, zoals het wijzigen van een wachtwoordzin. Deze validatie moet ervoor zorgen dat dergelijke bewerkingen alleen kunnen worden uitgevoerd door gebruikers die geldige Azure-referenties hebben. Meer informatie over de functies die aanvallen voorkomen.
Verwijderde back-upgegevens worden nog 14 dagen bewaard vanaf de datum van verwijdering. Dit zorgt ervoor dat de gegevens binnen een bepaalde periode kunnen worden hersteld, zodat er geen gegevens verloren gaan, zelfs niet als er een aanval plaatsvindt. Ook wordt een groter aantal minimale herstelpunten onderhouden om te beschermen tegen beschadigde gegevens. Meer informatie over het herstellen van verwijderde back-upgegevens.
Voor gegevens waarvan een back-up wordt gemaakt met behulp van de MARS-agent (Microsoft Azure Recovery Services), wordt een wachtwoordzin gebruikt om ervoor te zorgen dat gegevens worden versleuteld voordat ze naar Azure Backup worden geüpload en pas worden ontsleuteld na het downloaden van Azure Backup. De details van de wachtwoordzin zijn alleen beschikbaar voor de gebruiker die de wachtwoordzin heeft gemaakt en de agent die ermee is geconfigureerd. Er wordt niets verzonden of gedeeld met de service. Dit zorgt voor volledige beveiliging van uw gegevens, omdat alle gegevens die per ongeluk worden weergegeven (zoals een man-in-the-middle-aanval op het netwerk) onbruikbaar zijn zonder de wachtwoordzin en de wachtwoordzin niet via het netwerk wordt verzonden.
Naleving van gestandaardiseerde beveiligingsvereisten
Om organisaties te helpen voldoen aan nationale/regionale en branchespecifieke vereisten voor het verzamelen en gebruiken van gegevens van personen, bieden Microsoft Azure & Azure Backup een uitgebreide set certificeringen en attestations. Zie de lijst met nalevingscertificeringen