![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(41.6, 33%, 14%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EI%3C/text%3E%3C/svg%3E)
Azure Key Vault
Um serviço do Azure utilizado para gerenciar e proteger chaves criptográficas e outros segredos que são usados por aplicativos e serviços em nuvem.
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(236.8, 68%, 32%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EBY%3C/text%3E%3C/svg%3E)
Olá Infra, Você quer entender se o Microsoft Azure Backup Server (MABS) possui capacidades nativas de proteção contra ransomware, especificamente: Verificação da integridade do backup Proteção contra exclusão maliciosa ou acidental Imutabilidade (proteção estilo WORM) E como essas proteções podem ser habilitadas, se existirem.
O MABS não fornece imutabilidade verdadeira no local por si só, mas quando integrado ao Azure Backup (cofre do Recovery Services), ele se beneficia de várias proteções nativas contra ransomware fornecidas pelo Azure. Essas proteções são no nível do cofre, não recursos locais do MABS.
Proteções Nativas contra Ransomware se Aplicam ao MABS:
Proteção contra exclusão maliciosa ou acidental: Quando o MABS envia backups para o cofre do Azure Recovery Services, as seguintes proteções se aplicam:
Exclusão Suave (Habilitada por padrão): Os dados de backup excluídos são mantidos por 14 dias mesmo após a exclusão. Protege contra exclusão acionada por Ransomware e exclusão acidental por administrador. Aplica-se aos workloads MABS, DPM e MARS armazenados no Azure.
Recursos de segurança que protegem backups híbridos - Azure Backup | Azure Docs
Cofre Imutável (Proteção Mais Forte): Impede qualquer exclusão ou redução de retenção dos dados de backup
- Suporta armazenamento Write Once Read Many (WORM)
- Pode ser:
- Ativado (reversível)
- Ativado e Bloqueado (irreversível – recomendado para proteção contra ransomware)
- As cargas de trabalho suportadas incluem Azure Backup (Servidor e Agente) isso cobre explicitamente os backups do MABS armazenados no Azure Este é o único mecanismo de imutabilidade verdadeiro disponível para backups do MABS.
Conceito de Immutable Vault para Azure Backup - Azure Backup | Microsoft Learn
Autorização Multiusuário (MUA):
- Requer aprovação de um segundo usuário autorizado para realizar ações críticas, tais como: o Desativar recursos de segurança de backup o Excluir dados de backup
- Adiciona um controle do tipo "quatro olhos" resistente a ransomware
Alertas de Operações Críticas:
- Alertas por email enviados quando: o Tentativa de exclusão de backup o Configurações de segurança são modificadas
- Ajuda a detectar atividade de ransomware cedo
Como Ativar a Proteção contra Ransomware para MABS (O que é Suportado):
- Use o Azure Backup (Cofre de Serviços de Recuperação): Certifique-se de que o MABS está configurado para fazer backup no Azure, e não apenas no disco
- Ative o Cofre Imutável (Recomendado)
- Vá para o cofre de serviços de recuperação > Propriedades > Configurações de Segurança
- Ative a Imutabilidade • Bloqueie-o após validar (irreversível)
- Ative a Autorização Multiusuário: Ative o MUA no cofre e atribua aprovadores com RBAC
- Monitore Alertas: Certifique-se de que os administradores da assinatura recebam e-mails de alerta de segurança. Revise os alertas do Azure Monitor / Service Health.
As cobranças do Azure Backup aplicam-se apenas aos 2 servidores que realmente enviam dados de backup para o Azure via MABS e não a todos os 5 servidores protegidos pelo MABS.
O preço do Backup do Azure possui dois componentes cobráveis:
- Instâncias protegidas: cada carga de trabalho que é feita backup em um cofre de Serviços de Recuperação do Azure
- Armazenamento de backup: o armazenamento do Azure consumido por esses backups
Uma instância protegida é definida como uma fonte de dados que está sendo ativamente feita backup no Azure. Servidores que são protegidos apenas no disco local do MABS não se tornam instâncias protegidas no Azure e, portanto, não geram cobranças do Backup do Azure.
Algum documento útil que você pode consultar:
Visão geral dos recursos de segurança - Azure Backup | Microsoft Learn
Gerencie Backups com controle de acesso baseado em função Azure - Azure Backup | Microsoft Learn
Monitorar cargas de trabalho protegidas Azure Backup - Azure Backup | Microsoft Learn
Pricing – Azure Backup | Microsoft Azure
Espero que isso ajude. E, por favor, sinta-se à vontade para entrar em contato se tiver mais alguma dúvida. Obrigado