Udostępnij za pośrednictwem


Funkcje zabezpieczeń ułatwiające ochronę hybrydowych kopii zapasowych korzystających z usługi Azure Backup

Obawy dotyczące problemów z zabezpieczeniami takich jak złośliwe oprogramowanie, oprogramowanie wymuszające okup oraz włamania wciąż rosną. Te problemy z zabezpieczeniami mogą być kosztowne, zarówno pod względem finansowym, jak i w kwestii danych. Aby chronić przed takimi atakami, usługa Azure Backup udostępnia teraz funkcje zabezpieczeń ułatwiające ochronę hybrydowych kopii zapasowych. W tym artykule opisano sposób włączania i używania tych funkcji do ochrony obciążeń lokalnych przy użyciu programu Microsoft Azure Backup Server (MABS), programu Data Protection Manager (DPM) i agenta usług Microsoft Azure Recovery Services (MARS). Do tych funkcji należą:

  • Zapobieganie. Dodatkowa warstwa uwierzytelniania jest dodawana za każdym razem, gdy wykonywana jest operacja krytyczna, taka jak zmiana hasła. Ta weryfikacja polega na upewnieniu się, że takie operacje mogą być wykonywane tylko przez użytkowników, którzy mają prawidłowe poświadczenia platformy Azure.
  • Alerty. Powiadomienie e-mail jest wysyłane do administratora subskrypcji za każdym razem, gdy wykonywana jest operacja krytyczna, taka jak usuwanie danych kopii zapasowej. Ta wiadomość e-mail gwarantuje, że użytkownik jest szybko powiadamiany o takich akcjach.
  • Odzyskiwanie. Usunięte dane kopii zapasowej są przechowywane przez dodatkowe 14 dni od daty usunięcia. Zapewnia to możliwość odzyskania danych w danym okresie, więc nie ma utraty danych, nawet jeśli wystąpi atak. Ponadto większa liczba minimalnych punktów odzyskiwania jest utrzymywana w celu ochrony przed uszkodzonymi danymi.

Uwaga

Włącz autoryzację dla wielu użytkowników (MUA) w magazynie usługi Recovery Services, aby dodać dodatkową warstwę ochrony do krytycznej operacji wyłączania funkcji zabezpieczeń. Dowiedz się więcej.

Minimalne wymagania dotyczące wersji

Włącz funkcje zabezpieczeń tylko wtedy, gdy używasz:

  • Agent usługi Azure Backup: minimalna wersja agenta 2.0.9052. Po włączeniu tych funkcji uaktualnij wersję agenta, aby wykonywać operacje krytyczne.
  • Azure Backup Server: minimalna wersja agenta usługi Azure Backup w wersji 2.0.9052 z aktualizacją Azure Backup Server update 1.
  • System Center Data Protection Manager: minimalny agent usługi Azure Backup w wersji 2.0.9052 z programem Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.

Uwaga

Upewnij się, że nie włączysz funkcji zabezpieczeń, jeśli używasz kopii zapasowej maszyn wirtualnych typu infrastruktura jako usługa (IaaS). Obecnie te funkcje nie są dostępne w przypadku tworzenia kopii zapasowych maszyn wirtualnych IaaS, co oznacza, że ich włączenie nie będzie miało wpływu.

Włączanie funkcji zabezpieczeń.

Jeśli tworzysz magazyn usługi Recovery Services, możesz użyć wszystkich funkcji zabezpieczeń. Jeśli pracujesz z istniejącym magazynem, włącz funkcje zabezpieczeń, wykonując następujące czynności:

  1. Zaloguj się do witryny Azure Portal przy użyciu poświadczeń platformy Azure.

  2. Wybierz pozycję Przeglądaj i wpisz Recovery Services.

    Screenshot of Azure portal Browse option

    Zostanie wyświetlona lista magazynów Usług odzyskiwania. Z tej listy wybierz magazyn. Zostanie otwarty pulpit nawigacyjny wybranego magazynu.

  3. Z listy elementów wyświetlanych w magazynie w obszarze Ustawienia wybierz pozycję Właściwości.

    Screenshot of Recovery Services vault options

  4. W obszarze Zabezpieczenia Ustawienia wybierz pozycję Aktualizuj.

    Screenshot of Recovery Services vault properties

    Link aktualizacji otwiera okienko Zabezpieczenia Ustawienia, które zawiera podsumowanie funkcji i umożliwia ich włączenie.

  5. Włącz funkcje zabezpieczeń i wybierz pozycję Zapisz.

    Screenshot of security settings

Odzyskiwanie usuniętych danych kopii zapasowej

Jeśli ustawienie funkcji zabezpieczeń jest włączone, usługa Azure Backup zachowuje usunięte dane kopii zapasowej przez dodatkowe 14 dni i nie usuwa go natychmiast, jeśli zostanie wykonana operacja Zatrzymaj tworzenie kopii zapasowej z usuwaniem danych kopii zapasowej. Aby przywrócić te dane w ciągu 14 dni, wykonaj następujące kroki, w zależności od używanego elementu:

W przypadku użytkowników agentów usługi Azure Recovery Services:

  1. Jeśli komputer, na którym były wykonywane kopie zapasowe, jest nadal dostępny, ponownie chroń usunięte źródła danych i użyj opcji Odzyskaj dane na tej samej maszynie w usługach Azure Recovery Services, aby odzyskać dane ze wszystkich starych punktów odzyskiwania.
  2. Jeśli ten komputer nie jest dostępny, użyj opcji Odzyskaj do alternatywnej maszyny , aby użyć innego komputera usługi Azure Recovery Services, aby pobrać te dane.

Dla użytkowników usługi Azure Backup Server :

  1. Jeśli serwer, na którym były wykonywane kopie zapasowe, jest nadal dostępny, ponownie chroń usunięte źródła danych i użyj funkcji Odzyskaj dane , aby odzyskać dane ze wszystkich starych punktów odzyskiwania.
  2. Jeśli ten serwer nie jest dostępny, użyj opcji Odzyskaj dane z innego serwera Azure Backup Server , aby użyć innego wystąpienia usługi Azure Backup Server, aby pobrać te dane.

W przypadku użytkowników programu Data Protection Manager :

  1. Jeśli serwer, na którym były wykonywane kopie zapasowe, jest nadal dostępny, ponownie chroń usunięte źródła danych i użyj funkcji Odzyskaj dane , aby odzyskać dane ze wszystkich starych punktów odzyskiwania.
  2. Jeśli ten serwer nie jest dostępny, użyj polecenia Dodaj zewnętrzny program DPM , aby użyć innego serwera programu Data Protection Manager, aby pobrać te dane.

Zapobieganie atakom

Dodano kontrole, aby upewnić się, że tylko prawidłowi użytkownicy mogą wykonywać różne operacje. Obejmują one dodanie dodatkowej warstwy uwierzytelniania i utrzymanie minimalnego zakresu przechowywania na potrzeby odzyskiwania.

Uwierzytelnianie w celu wykonywania operacji krytycznych

W ramach dodawania dodatkowej warstwy uwierzytelniania dla operacji krytycznych zostanie wyświetlony monit o wprowadzenie numeru PIN zabezpieczeń podczas wykonywania operacji Zatrzymywanie ochrony przy użyciu usuwania danych i Zmienianie hasła dla programu DPM, usługi MABS i usługi MARS.

Ponadto w przypadku usługi MARS w wersji 2.0.9262.0 lub nowszej operacje usuwania woluminu z kopii zapasowej plików/folderów MARS, dodawania nowego ustawienia wykluczenia dla istniejącego woluminu, skrócenia czasu przechowywania i przejścia do mniej częstego harmonogramu tworzenia kopii zapasowych są również chronione przy użyciu numeru PIN zabezpieczeń w celu zapewnienia dodatkowych zabezpieczeń.

Uwaga

Obecnie w przypadku następujących wersji programu DPM i usługi MABS numer PIN zabezpieczeń jest obsługiwany w przypadku zatrzymywania ochrony przy użyciu usuwania danych do magazynu online:

  • DPM 2016 UR9 lub nowszy
  • DPM 2019 UR1 lub nowszy
  • MABS w wersji 3 UR1 lub nowszej

Aby otrzymać ten numer PIN:

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do magazynu> usługi Recovery Services Ustawienia> Właściwości.
  3. W obszarze Numer PIN zabezpieczeń wybierz pozycję Generuj. Spowoduje to otwarcie okienka zawierającego numer PIN, który ma zostać wprowadzony w interfejsie użytkownika agenta usługi Azure Recovery Services. Ten numer PIN jest ważny tylko przez pięć minut i jest generowany automatycznie po tym okresie.

Utrzymywanie minimalnego zakresu przechowywania

Aby upewnić się, że zawsze jest dostępna prawidłowa liczba punktów odzyskiwania, dodano następujące kontrole:

  • W przypadku przechowywania dziennego należy wykonać co najmniej siedem dni przechowywania.
  • W przypadku przechowywania tygodniowego należy wykonać co najmniej cztery tygodnie przechowywania.
  • W przypadku przechowywania miesięcznego należy wykonać co najmniej trzy miesiące przechowywania.
  • W przypadku przechowywania długoterminowego należy wykonać co najmniej jeden rok przechowywania.

Powiadomienia dotyczące operacji krytycznych

Zazwyczaj po wykonaniu operacji krytycznej administrator subskrypcji wysyła powiadomienie e-mail ze szczegółowymi informacjami o operacji. Możesz skonfigurować dodatkowych adresatów wiadomości e-mail dla tych powiadomień przy użyciu witryny Azure Portal.

Funkcje zabezpieczeń wymienione w tym artykule zapewniają mechanizmy obrony przed atakami ukierunkowanymi. Co ważniejsze, jeśli wystąpi atak, te funkcje zapewniają możliwość odzyskania danych.

Rozwiązywanie problemów

Operacja Szczegóły błędu Rozwiązanie
Zmiana zasad Nie można zmodyfikować zasad tworzenia kopii zapasowych. Błąd: Bieżąca operacja nie powiodła się z powodu wewnętrznego błędu usługi [0x29834]. Spróbuj ponownie wykonać operację po pewnym czasie. Jeśli problem będzie nadal występować, skontaktuj się z działem pomocy technicznej firmy Microsoft. Przyczyna:
Ten błąd pojawia się, gdy ustawienia zabezpieczeń są włączone, próbujesz zmniejszyć zakres przechowywania poniżej minimalnych wartości określonych powyżej i korzystasz z nieobsługiwanej wersji (obsługiwane wersje są określone w pierwszej notatce tego artykułu).
Zalecana akcja:
W takim przypadku należy ustawić okres przechowywania powyżej minimalnego okresu przechowywania określonego (siedem dni dziennie, cztery tygodnie tygodniowe, trzy tygodnie dla miesiąca lub jednego roku przez rok), aby kontynuować aktualizacje związane z zasadami. Opcjonalnie preferowaną metodą jest zaktualizowanie agenta kopii zapasowej, usługi Azure Backup Server i/lub adresu URL programu DPM w celu wykorzystania wszystkich aktualizacji zabezpieczeń.
Zmienianie hasła Wprowadzony numer PIN zabezpieczeń jest niepoprawny. (IDENTYFIKATOR: 100130) Podaj prawidłowy numer PIN zabezpieczeń, aby ukończyć tę operację. Przyczyna:
Ten błąd występuje po wprowadzeniu nieprawidłowego lub wygasłego numeru PIN zabezpieczeń podczas wykonywania operacji krytycznej (na przykład zmiany hasła).
Zalecana akcja:
Aby ukończyć operację, musisz wprowadzić prawidłowy numer PIN zabezpieczeń. Aby uzyskać numer PIN, zaloguj się do witryny Azure Portal i przejdź do magazynu > usługi Recovery Services Ustawienia > Właściwości > Generuj numer PIN zabezpieczeń. Użyj tego numeru PIN, aby zmienić hasło.
Zmienianie hasła Operacja nie powiodła się. Identyfikator: 120002 Przyczyna:
Ten błąd pojawia się, gdy ustawienia zabezpieczeń są włączone, próbujesz zmienić hasło i korzystasz z nieobsługiwanej wersji (prawidłowe wersje określone w pierwszej notatce tego artykułu).
Zalecana akcja:
Aby zmienić hasło, należy najpierw zaktualizować agenta kopii zapasowej do minimalnej wersji 2.0.9052, usługi Azure Backup Server do minimalnej aktualizacji 1 i/lub programu DPM do minimalnej wersji DPM 2012 R2 UR12 lub DPM 2016 UR2 (linki pobierania poniżej), a następnie wprowadzić prawidłowy numer PIN zabezpieczeń. Aby uzyskać numer PIN, zaloguj się do witryny Azure Portal i przejdź do magazynu > usługi Recovery Services Ustawienia > Właściwości > Generuj numer PIN zabezpieczeń. Użyj tego numeru PIN, aby zmienić hasło.

Obsługa niezmienności

Po włączeniu niezmienności magazynu usługi Recovery Services operacje, które zmniejszają przechowywanie kopii zapasowych w chmurze lub usuwają kopie zapasowe w chmurze dla lokalnych źródeł danych, są blokowane.

Obsługa niezmienności dla programu DPM i usługi MABS

Ta funkcja jest obsługiwana w przypadku agenta MARS w wersji 2.0.9250.0 lub nowszej z wersji DPM 2022 UR1 i MABS v4.

W poniższej tabeli wymieniono niedozwolone operacje w programie DPM połączone z niezmienialnym odzyskiwaniem:

Operacja w magazynie niezmiennym Wynik z programem DPM 2022 UR1, programem MABS w wersji 4 i najnowszym agentem MARS.

W programie DPM 2022 UR2 lub MABS w wersji 4 UR1 można wybrać opcję zachowywania punktów odzyskiwania online przez zasady podczas zatrzymywania ochrony lub usuwania źródła danych z grupy ochrony z konsoli programu .
Wynik ze starszymi agentami DPM/MABS i MARS
Usuwanie źródła danych z grupy ochrony skonfigurowanej do tworzenia kopii zapasowej online 81001: Nie można usunąć elementów kopii zapasowej, ponieważ ma aktywne punkty odzyskiwania, a wybrany magazyn jest niezmiennym magazynem. 130001: Usługa Microsoft Azure Backup napotkała błąd wewnętrzny.
Zatrzymywanie ochrony przy użyciu usuwania danych 81001: Nie można usunąć elementów kopii zapasowej, ponieważ ma aktywne punkty odzyskiwania, a wybrany magazyn jest niezmiennym magazynem.

W programie DPM 2022 UR2 lub MABS w wersji 4 UR1 można wybrać opcję zachowywania punktów odzyskiwania online przez zasady podczas zatrzymywania ochrony lub usuwania źródła danych z grupy ochrony z konsoli programu .
130001: Usługa Microsoft Azure Backup napotkała błąd wewnętrzny.
Zmniejsz okres przechowywania w trybie online 810002: zmniejszenie okresu przechowywania podczas modyfikowania zasad/ochrony nie jest dozwolone, ponieważ wybrany magazyn jest niezmienny. 130001: Usługa Microsoft Azure Backup napotkała błąd wewnętrzny.
Remove-DPMChildDatasource — polecenie 81001: Nie można usunąć elementów kopii zapasowej, ponieważ ma aktywne punkty odzyskiwania, a wybrany magazyn jest niezmiennym magazynem.

Użyj nowej opcji -EnableOnlineRPsPruning z -KeepOnlineData , aby zachować dane tylko do czasu trwania zasad.

W programie DPM 2022 UR2 lub MABS w wersji 4 UR1 można wybrać opcję zachowywania punktów odzyskiwania online przez zasady podczas zatrzymywania ochrony lub usuwania źródła danych z grupy ochrony z konsoli programu .
130001: Usługa Microsoft Azure Backup napotkała błąd wewnętrzny.

Użyj flagi -KeepOnlineData , aby zachować dane.

Obsługa niezmienności dla usługi MARS

W poniższej tabeli wymieniono niedozwolone operacje dla usługi MARS w przypadku włączenia niezmienności w magazynie usługi Recovery Services. Inne operacje, takie jak zwiększanie przechowywania i wykluczanie pliku/folderu z kopii zapasowej, są dozwolone.

Niedozwolona operacja Wynik z najnowszym agentem MARS Wynik ze starym agentem MARS
Zatrzymywanie ochrony przy użyciu danych usuwania dla stanu systemu 810001 błędu

Użytkownik próbuje usunąć element kopii zapasowej lub zatrzymać ochronę przy użyciu danych usuwania, w których element kopii zapasowej ma prawidłowy (niewyświetły) punkt odzyskiwania.
130001 błędu

Usługa Microsoft Azure Backup napotkała błąd wewnętrzny.
Zatrzymywanie ochrony przy użyciu usuwania danych 810001 błędu

Użytkownik próbuje usunąć element kopii zapasowej lub zatrzymać ochronę przy użyciu danych usuwania, w których element kopii zapasowej ma prawidłowy (niewyświetły) punkt odzyskiwania.
130001 błędu

Usługa Microsoft Azure Backup napotkała błąd wewnętrzny.

MARS 2.0.9262.0 i nowsze zapewniają opcję zatrzymywania ochrony i przechowywania punktów odzyskiwania zgodnie z zasadami w konsoli programu .
Zmniejsz okres przechowywania w trybie online Użytkownik próbuje zmodyfikować zasady lub ochronę przy zmniejszeniu okresu przechowywania. 130001

Usługa Microsoft Azure Backup napotkała błąd wewnętrzny.
Remove-OBPolicy z flagą -DeleteBackup 810001

Użytkownik próbuje usunąć element kopii zapasowej lub zatrzymać ochronę przy użyciu danych usuwania, w których element kopii zapasowej ma prawidłowy (niewyświetły) punkt odzyskiwania.

Użyj flagi –EnablePruning, aby zachować kopie zapasowe do okresu przechowywania.
130001

Usługa Microsoft Azure Backup napotkała błąd wewnętrzny.

Nie używaj flagi -DeleteBackup .

MARS 2.0.9262.0 i nowsze zapewniają opcję zatrzymywania ochrony i przechowywania punktów odzyskiwania zgodnie z zasadami w konsoli programu .

Następne kroki