Miękkie usuwanie w usłudze Azure Backup

W tym artykule opisano sposób włączania i wyłączania funkcji usuwania nietrwałego oraz trwałego usuwania danych, które są w stanie usunięcia nietrwałego.

Obawy dotyczące problemów z zabezpieczeniami takich jak złośliwe oprogramowanie, oprogramowanie wymuszające okup oraz włamania wciąż rosną. Te problemy z zabezpieczeniami mogą być kosztowne, zarówno pod względem finansowym, jak i w kwestii danych. Aby chronić przed takimi atakami, usługa Azure Backup udostępnia teraz funkcje zabezpieczeń, które ułatwiają ochronę danych kopii zapasowych nawet po usunięciu.

Jedną z takich funkcji jest miękkie usunięcie. W przypadku usuwania nietrwałego, nawet jeśli złośliwy aktor usunie kopię zapasową (lub dane kopii zapasowej zostaną przypadkowo usunięte), dane kopii zapasowej są przechowywane przez 14 dodatkowych dni, co pozwala na odzyskanie tego elementu kopii zapasowej bez utraty danych. Dodatkowe 14 dni przechowywania danych kopii zapasowej w stanie "miękkie usuwanie" nie generują żadnych kosztów.

Ochrona przed miękkim usuwaniem jest dostępna dla tych usług:

• Miękkie usuwanie dla maszyn wirtualnych Azure
• Miękkie usuwanie dla programu SQL Server na maszynie wirtualnej Azure i miękkie usuwanie dla SAP HANA w obciążeniach na maszynach wirtualnych Azure

Cykl życia miękko usuniętego elementu kopii zapasowej

Ten diagram przepływu pokazuje różne kroki i stany elementu kopii zapasowej, gdy włączone jest Soft Delete.

Włączanie i wyłączanie usuwania miękkiego

Miękkie usuwanie jest włączane domyślnie w nowo utworzonych skrytkach, aby chronić kopie zapasowe przed przypadkowymi lub złośliwymi usunięciami. Wyłączenie tej funkcji nie jest zalecane. Jedyną sytuacją, w której należy rozważyć wyłączenie usunięcia miękkiego, jest to, że planujesz przeniesienie chronionych elementów do nowego magazynu, a nie możesz czekać 14 dni przed usunięciem i ponownym uruchomieniem ochrony, na przykład w środowisku testowym.

Aby wyłączyć usuwanie nietrwałe w magazynie, musisz mieć rolę Współautor kopii zapasowej dla tego magazynu (musisz mieć uprawnienia do wykonywania operacji Microsoft.RecoveryServices/Vaults/backupconfig/write w magazynie). Jeśli wyłączysz tę funkcję, wszystkie przyszłe usunięcia elementów chronionych spowodują natychmiastowe usunięcie bez możliwości przywrócenia. Dane kopii zapasowej, które istnieją w stanie usunięcia nietrwałego przed wyłączeniem tej funkcji, pozostaną w stanie usunięcia nietrwałego przez okres 14 dni. Jeśli chcesz trwale je usunąć natychmiast, musisz cofnąć usunięcie i usunąć je ponownie, aby trwale je usunąć.

Należy pamiętać, że po wyłączeniu usuwania nietrwałego funkcja jest wyłączona dla wszystkich typów obciążeń. Na przykład nie można wyłączyć usuwania nietrwałego tylko dla serwerów SQL lub baz danych SAP HANA przy zachowaniu włączonej dla maszyn wirtualnych w tym samym magazynie. Możesz utworzyć oddzielne magazyny na potrzeby szczegółowej kontroli.

Napiwek

Aby otrzymywać alerty/powiadomienia, gdy użytkownik w organizacji wyłączy miękkie usuwanie dla skarbca, użyj alertów usługi Azure Monitor dla usługi Azure Backup. Ponieważ wyłączenie miękkiego usuwania jest potencjalnie destrukcyjną operacją, zalecamy użycie systemu alertów w tym scenariuszu do monitorowania wszystkich takich operacji i podejmowania działań w przypadku niezamierzonych operacji.

Uwaga

• Możesz również użyć autoryzacji wielu użytkowników (MUA), aby zapewnić dodatkową ochronę przed wyłączeniem miękkiego usuwania. Dowiedz się więcej.
• Usługa MUA do usuwania nietrwałego jest obecnie obsługiwana tylko w przypadku magazynów usługi Recovery Services.

Zawsze włączone usuwanie nietrwałe z rozszerzonym przechowywaniem

Miękkie usunięcie jest domyślnie włączone we wszystkich nowo utworzonych sejfach. Zawsze włączone łagodne usuwanie to funkcja, którą można włączyć. Po włączeniu nie można go wyłączyć (nieodwracalne).

Ponadto można przedłużyć czas przechowywania usuniętych danych kopii zapasowej z zakresu od 14 do 180 dni. Domyślnie czas przechowywania jest ustawiony na 14 dni (zgodnie z podstawowym mechanizmem miękkiego usuwania) dla skarbca i można go wydłużyć według potrzeb. Usunięcie tymczasowe nie kosztuje przez pierwsze 14 dni przechowywania, ale opłata jest naliczana za okres dłuższy niż 14 dni. Dowiedz się więcej o cenach.

Wyłączanie usuwania nietrwałego

Funkcję usuwania nietrwałego można wyłączyć przy użyciu następujących obsługiwanych klientów.

Wybierz klienta:

Portal Azure

Wykonaj te kroki:

1. W portalu Azure przejdź do swojej skrytki, a następnie do Ustawienia>Właściwości.
2. W okienku Właściwości wybierz pozycję Aktualizacja ustawień zabezpieczeń.
3. W okienku Ustawienia zabezpieczeń i usuwania nietrwałego wyczyść wymagane pola wyboru, aby wyłączyć usuwanie nietrwałe.

PowerShell

Użyj polecenia cmdlet Set-AzRecoveryServicesVaultBackupProperty.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Ważne

Wersja Az.RecoveryServices wymagana do używania usuwania nietrwałego przy użyciu programu Azure PowerShell jest minimalna 2.2.0. Użyj Install-Module -Name Az.RecoveryServices -Force polecenia , aby pobrać najnowszą wersję.

Interfejs API REST

Aby wyłączyć funkcję usuwania nietrwałego przy użyciu interfejsu API REST, zapoznaj się z tymi krokami.

Trwałe usuwanie nietrwałych elementów kopii zapasowej

Dane kopii zapasowej w stanie usuwania nietrwałego przed wyłączeniem tej funkcji pozostają w stanie usunięcia nietrwałego. Aby trwale usunąć te elementy natychmiast, usuń je i usuń ponownie. Użyj jednego z następujących klientów, aby trwale usunąć nietrwałe dane.

Wybierz klienta:

Witryna Azure Portal

Wykonaj te kroki:

1. Wyłącz usuwanie tymczasowe.

2. W portalu Azure przejdź do twojego magazynu>Elementy kopii zapasowej i wybierz miękko usunięty element.

   

3. Wybierz pozycję Cofnij usunięcie.

   

4. Zostanie wyświetlone okno. Wybierz pozycję Cofnij usunięcie.

   

5. Wybierz pozycję Usuń dane kopii zapasowej, aby trwale usunąć dane kopii zapasowej.

   

6. Wpisz nazwę elementu kopii zapasowej, aby potwierdzić usunięcie punktów odzyskiwania.

   

7. Aby usunąć dane kopii zapasowej dla elementu, wybierz pozycję Usuń. Komunikat powiadomienia informuje o tym, że dane kopii zapasowej zostały usunięte.

PowerShell

Wykonaj te kroki:

1. Zidentyfikuj elementy, które są w stanie tymczasowego usunięcia.

   $myVault = Get-AzRecoveryServicesVault -ResourceGroupName "yourResourceGroupName" -Name "yourVaultName"
   Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultID $myVault.ID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}
   
   Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
   ----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
   VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted
   
   $myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVault.ID -Name AppVM1
   

2. Odwróć operację usuwania, która została wykonana po włączeniu usuwania nietrwałego.

   Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVault.ID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2
   

3. Ponieważ miękkie usuwanie jest wyłączone, operacja usuwania natychmiast usuwa dane kopii zapasowej.

   Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVault.ID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb
   

Interfejs API REST

Wykonaj te kroki:

1. Cofnij czynności usuwania.
2. Wyłącz funkcję miękkiego usuwania przy użyciu interfejsu REST API.
3. Usuń kopie zapasowe przy użyciu interfejsu API REST.

Następne kroki

• Omówienie funkcji zabezpieczeń w usłudze Azure Backup
• Często zadawane pytania.