Recursos de segurança para ajudar a proteger backups híbridos que usam o Backup do Azure
As preocupações em relação a problemas de segurança, como software maligno, ransomware e intrusão, estão a aumentar. Estes problemas de segurança podem ser dispendiosos, tanto em termos de dinheiro como de dados. Para se proteger contra esses ataques, o Backup do Azure agora fornece recursos de segurança para ajudar a proteger backups híbridos. Este artigo aborda como habilitar e aproveitar esses recursos para proteger cargas de trabalho locais usando o Microsoft Azure Backup Server (MABS), o Data Protection Manager (DPM) e o agente do Microsoft Azure Recovery Services (MARS). Estas funcionalidades incluem:
- Prevenção. Uma camada adicional de autenticação é adicionada sempre que uma operação crítica, como alterar uma frase secreta, é executada. Essa validação é para garantir que essas operações possam ser executadas somente por usuários que tenham credenciais válidas do Azure.
- Alerta. Uma notificação por e-mail é enviada ao administrador da assinatura sempre que uma operação crítica, como a exclusão de dados de backup, é executada. Este e-mail garante que o usuário seja notificado rapidamente sobre tais ações.
- Recuperação. Os dados de backup excluídos são retidos por mais 14 dias a partir da data da exclusão. Isso garante a capacidade de recuperação dos dados dentro de um determinado período de tempo, para que não haja perda de dados, mesmo que um ataque aconteça. Além disso, um número maior de pontos de recuperação mínimos são mantidos para proteger contra dados corrompidos.
Nota
Habilite a autorização multiusuário (MUA) em seu cofre de serviços de recuperação para adicionar uma camada adicional de proteção à operação crítica de desabilitar recursos de segurança. Saiba mais.
Requisitos mínimos da versão
Habilite os recursos de segurança somente se estiver usando:
- Agente de Backup do Azure: Agente mínimo versão 2.0.9052. Depois de habilitar esses recursos, atualize a versão do agente para executar operações críticas.
- Servidor de Backup do Azure: Agente mínimo do Backup do Azure versão 2.0.9052 com a atualização 1 do Servidor de Backup do Azure.
- System Center Data Protection Manager: Agente mínimo de Backup do Azure versão 2.0.9052 com Data Protection Manager 2012 R2 UR12 Data Protection Manager 2016 UR2/ .
Nota
Certifique-se de não habilitar os recursos de segurança se estiver usando o backup de VM IaaS (infraestrutura como serviço). Atualmente, esses recursos não estão disponíveis para backup de VM IaaS e, portanto, habilitá-los não terá impacto.
Ativar recursos de segurança
Se estiver a criar um cofre dos Serviços de Recuperação, pode utilizar todas as funcionalidades de segurança. Se estiver a trabalhar com um cofre existente, ative as funcionalidades de segurança seguindo estes passos:
Entre no portal do Azure usando suas credenciais do Azure.
Selecione Procurar e digite Serviços de Recuperação.
É apresentada a lista dos cofres dos Serviços de Recuperação. Nessa lista, selecione um cofre. O dashboard do cofre selecionado é aberto.
Na lista de itens que aparece sob o cofre, em Configurações, selecione Propriedades.
Em Configurações de Segurança, selecione Atualizar.
O link de atualização abre o painel Configurações de segurança, que fornece um resumo dos recursos e permite habilitá-los.
Habilite os recursos de segurança e selecione Salvar.
Recupere dados de backup excluídos
Se a configuração de recursos de segurança estiver habilitada, o Backup do Azure reterá dados de backup excluídos por mais 14 dias e não os excluirá imediatamente se a operação Parar backup com dados de backup excluídos for executada. Para restaurar esses dados no período de 14 dias, execute as seguintes etapas, dependendo do que você está usando:
Para usuários do agente dos Serviços de Recuperação do Azure:
- Se o computador onde os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use a opção Recuperar dados para a mesma máquina nos Serviços de Recuperação do Azure para recuperar de todos os pontos de recuperação antigos.
- Se este computador não estiver disponível, use Recuperar para uma máquina alternativa para usar outro computador dos Serviços de Recuperação do Azure para obter esses dados.
Para usuários do Servidor de Backup do Azure:
- Se o servidor onde os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso Recuperar Dados para recuperar de todos os pontos de recuperação antigos.
- Se esse servidor não estiver disponível, use Recuperar dados de outro Servidor de Backup do Azure para usar outra instância do Servidor de Backup do Azure para obter esses dados.
Para utilizadores do Data Protection Manager :
- Se o servidor onde os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso Recuperar Dados para recuperar de todos os pontos de recuperação antigos.
- Se esse servidor não estiver disponível, use Adicionar DPM externo para usar outro servidor do Data Protection Manager para obter esses dados.
Prevenir ataques
Foram adicionadas verificações para garantir que apenas utilizadores válidos possam executar várias operações. Isso inclui adicionar uma camada extra de autenticação e manter um intervalo de retenção mínimo para fins de recuperação.
Autenticação para executar operações críticas
Como parte da adição de uma camada extra de autenticação para operações críticas, você será solicitado a inserir um PIN de segurança quando executar as operações Parar Proteção com Excluir dados e Alterar senha para DPM, MABS, e MARS.
Além disso, com o MARS versão 2.0.9262.0 e posterior, as operações para remover um volume do backup de arquivos/pastas do MARS, adicionar uma nova configuração de exclusão para um volume existente, reduzir a duração da retenção e mudar para um agendamento de backup menos frequente também são protegidas com um pino de segurança para segurança adicional.
Nota
Atualmente, para as seguintes versões do DPM e do MABS, o PIN de segurança é suportado para Stop Protection com Delete data to online storage:
- DPM 2016 UR9 ou posterior
- DPM 2019 UR1 ou posterior
- MABS v3 UR1 ou posterior
Para receber este PIN:
- Inicie sessão no portal do Azure.
- Navegue até Propriedades das configurações>do cofre>dos Serviços de Recuperação.
- Em PIN de segurança, selecione Gerar. Isso abre um painel que contém o PIN a ser inserido na interface do usuário do agente dos Serviços de Recuperação do Azure. Este PIN é válido por apenas cinco minutos e é gerado automaticamente após esse período.
Manter um intervalo de retenção mínimo
Para garantir que há sempre um número válido de pontos de recuperação disponíveis, foram adicionadas as seguintes verificações:
- Para retenção diária, deve ser feito um mínimo de sete dias de retenção.
- Para retenção semanal, deve ser feito um mínimo de quatro semanas de retenção.
- Para retenção mensal, deve ser feito um mínimo de três meses de retenção.
- Para a retenção anual, deve ser feito um mínimo de um ano de retenção.
Notificações de operações críticas
Normalmente, quando uma operação crítica é executada, o administrador da assinatura recebe uma notificação por e-mail com detalhes sobre a operação. Você pode configurar destinatários de email adicionais para essas notificações usando o portal do Azure.
Os recursos de segurança mencionados neste artigo fornecem mecanismos de defesa contra ataques direcionados. Mais importante ainda, se ocorrer um ataque, estas funcionalidades dão-lhe a capacidade de recuperar os seus dados.
Resolver erros
| Operação | Detalhes do erro | Resolução |
|---|---|---|
| Mudança de política | A política de backup não pôde ser modificada. Erro: A operação atual falhou devido a um erro de serviço interno [0x29834]. Por favor, tente novamente a operação depois de algum tempo. Se o problema persistir, contacte o Suporte da Microsoft. | Causa: Este erro aparece quando as definições de segurança estão ativadas, tenta reduzir o intervalo de retenção abaixo dos valores mínimos especificados acima e está numa versão não suportada (as versões suportadas são especificadas na primeira nota deste artigo). Ação Recomendada: Nesse caso, você deve definir o período de retenção acima do período mínimo especificado (sete dias para diários, quatro semanas para semanais, três semanas para mensais ou um ano para anuais) para prosseguir com as atualizações relacionadas à política. Opcionalmente, uma abordagem preferida seria atualizar o agente de backup, o Servidor de Backup do Azure e/ou o DPM UR para aproveitar todas as atualizações de segurança. |
| Alterar frase secreta | O PIN de segurança introduzido está incorreto. (ID: 100130) Forneça o PIN de segurança correto para concluir esta operação. | Causa: Este erro surge quando introduz um PIN de segurança inválido ou expirado durante uma operação crítica (como alterar a frase secreta). Ação Recomendada: Para concluir a operação, tem de introduzir um PIN de segurança válido. Para obter o PIN, entre no portal do Azure e navegue até Configurações > do cofre > dos Serviços de Recuperação Propriedades > Gerar PIN de segurança. Utilize este PIN para alterar a frase secreta. |
| Alterar frase secreta | Falha na operação. Identificação: 120002 | Causa: Este erro aparece quando as definições de segurança estão ativadas, tenta alterar a frase secreta e está numa versão não suportada (versões válidas especificadas na primeira nota deste artigo). Ação Recomendada: Para alterar a senha, você deve primeiro atualizar o agente de backup para a versão mínima 2.0.9052, o Servidor de Backup do Azure para a atualização mínima 1 e/ou o DPM para o mínimo DPM 2012 R2 UR12 ou DPM 2016 UR2 (links para download abaixo) e, em seguida, inserir um PIN de segurança válido. Para obter o PIN, entre no portal do Azure e navegue até Configurações > do cofre > dos Serviços de Recuperação Propriedades > Gerar PIN de segurança. Utilize este PIN para alterar a frase secreta. |
Suporte de imutabilidade
Quando a imutabilidade do cofre dos Serviços de Recuperação está habilitada, as operações que reduzem a retenção do backup na nuvem ou removem o backup na nuvem para fontes de dados locais são bloqueadas.
Suporte de imutabilidade para DPM e MABS
Este recurso é suportado com o agente MARS versão 2.0.9250.0 e superior do DPM 2022 UR1 e MABS v4.
A tabela a seguir lista as operações não permitidas no DPM conectadas a uma Recuperação imutável:
| Operação no cofre imutável | Resultado com DPM 2022 UR1, MABS v4 e o mais recente agente MARS. Com o DPM 2022 UR2 ou MABS v4 UR1, você pode selecionar a opção para manter pontos de recuperação online por política ao interromper a proteção ou remover uma fonte de dados de um grupo de proteção do console. |
Resultado com DPM/MABS mais antigo e ou agente MARS |
|---|---|---|
| Remover Fonte de Dados do grupo de proteção configurado para backup online | 81001: O(s) item(ns) de backup não pode(m) ser excluído(s) porque tem pontos de recuperação ativos e o cofre selecionado é um cofre imutável. | 130001: O Backup do Microsoft Azure encontrou um erro interno. |
| Parar a proteção com a exclusão de dados | 81001: O(s) item(ns) de backup não pode(m) ser excluído(s) porque tem pontos de recuperação ativos e o cofre selecionado é um cofre imutável. Com o DPM 2022 UR2 ou MABS v4 UR1, você pode selecionar a opção para manter pontos de recuperação online por política ao interromper a proteção ou remover uma fonte de dados de um grupo de proteção do console. |
130001: O Backup do Microsoft Azure encontrou um erro interno. |
| Reduza o período de retenção on-line | 810002: A redução na retenção durante a modificação da Política/Proteção não é permitida porque o cofre selecionado é imutável. | 130001: O Backup do Microsoft Azure encontrou um erro interno. |
| Comando Remove-DPMChildDatasource | 81001: O(s) item(ns) de backup não pode(m) ser excluído(s) porque tem pontos de recuperação ativos e o cofre selecionado é um cofre imutável. Use a nova opção -EnableOnlineRPsPruning with -KeepOnlineData para reter dados somente até a duração da política. Com o DPM 2022 UR2 ou MABS v4 UR1, você pode selecionar a opção para manter pontos de recuperação online por política ao interromper a proteção ou remover uma fonte de dados de um grupo de proteção do console. |
130001: O Backup do Microsoft Azure encontrou um erro interno. Use o sinalizador -KeepOnlineData para reter dados. |
Suporte de imutabilidade para MARS
A tabela a seguir lista as operações não permitidas para o MARS quando a imutabilidade está habilitada no cofre dos Serviços de Recuperação. Outras operações, como aumentar a retenção e excluir um arquivo/pasta do backup são permitidas.
| Operação não permitida | Resultado com o mais recente agente MARS | Resultado com o antigo agente MARS |
|---|---|---|
| Parar a proteção com a exclusão de dados para o estado do sistema | Erro 810001 Usuário tentando excluir item de backup ou interromper a proteção com dados de exclusão onde o item de backup tem ponto de recuperação válido (não expirado). |
Erro 130001 O Microsoft Azure Backup encontrou um erro interno. |
| Parar a proteção com a exclusão de dados | Erro 810001 Usuário tentando excluir item de backup ou interromper a proteção com dados de exclusão onde o item de backup tem ponto de recuperação válido (não expirado). |
Erro 130001 O Microsoft Azure Backup encontrou um erro interno. O MARS 2.0.9262.0 e posterior oferecem a opção de interromper a proteção e reter pontos de recuperação de acordo com a política no console. |
| Reduza o período de retenção on-line | Usuário tentando modificar a política ou proteção com redução de retenção. | 130001 O Microsoft Azure Backup encontrou um erro interno. |
| Remove-OBPolicy com o sinalizador -DeleteBackup | 810001 Usuário tentando excluir item de backup ou interromper a proteção com dados de exclusão onde o item de backup tem ponto de recuperação válido (não expirado). Use o sinalizador –EnablePruning para reter backups até o período de retenção. |
130001 O Microsoft Azure Backup encontrou um erro interno. Não use o sinalizador -DeleteBackup . O MARS 2.0.9262.0 e posterior oferecem a opção de interromper a proteção e reter pontos de recuperação de acordo com a política no console. |
Próximos passos
- Comece a usar o cofre dos Serviços de Recuperação do Azure para habilitar esses recursos.
- Baixe o agente mais recente dos Serviços de Recuperação do Azure para ajudar a proteger computadores Windows e proteger seus dados de backup contra ataques.