Exclusão temporária para o Backup do Azure

Preocupações sobre problemas de segurança, como malware, ransomware e invasão, estão aumentando. Esses problemas de segurança podem ser dispendiosos em termos de dinheiro e dados. Para proteção contra esses ataques, o Backup do Azure agora oferece recursos de segurança para ajudar a proteger os dados de backup mesmo após a exclusão.

Um desses recursos é a exclusão temporária. Com a exclusão temporária, mesmo que uma pessoa mal-intencionada exclua um backup (ou os dados sejam excluídos acidentalmente), os dados de backup serão mantidos por 14 dias adicionais, permitindo a recuperação desse item sem perda de dados. A retenção adicional de 14 dias dos dados de backup no estado de "exclusão temporária" não incorre em nenhum custo para o cliente.

A proteção de exclusão temporária está disponível para estes serviços:

• Exclusão temporária para máquinas virtuais do Azure
• Exclusão temporária para o SQL Server na VM do Azure e a exclusão temporária para SAP HANA nas cargas de trabalho de VM do Azure

Este fluxograma mostra as etapas e os estados de um item de backup quando a exclusão temporária está habilitada:

Como habilitar ou desabilitar a exclusão temporária

A exclusão temporária está habilitada por padrão em cofres recém-criados para proteger dados de backup contra exclusões acidentais ou mal-intencionadas. Não é recomendável desabilitar esse recurso. A única circunstância em que você deve considerar a desabilitação da exclusão reversível é quando você planeja mover os itens protegidos para um novo cofre e não pode aguardar os 14 dias necessários para excluí-los e protegê-los novamente (como em um ambiente de teste).

Para desabilitar a exclusão reversível em um cofre, você precisa ter a função de colaborador de backup nesse cofre (você deve ter permissões para executar Microsoft.RecoveryServices/Vaults/backupconfig/write no cofre). Se você desabilitar esse recurso, todas as exclusões futuras de itens protegidos resultarão na remoção imediata, sem a capacidade de restaurar. Os dados de backup que existem no estado de exclusão temporária antes da desabilitação do recurso permanecerão no estado pelo período de 14 dias. Se você quiser excluí-los permanentemente de imediato, restaure e exclua-os novamente.

Quando é desabilitada, a exclusão temporária é desabilitada para todos os tipos de carga de trabalho. Por exemplo, não é possível desabilitar a exclusão temporária somente para bancos de dados do SAP HANA ou SQL Server e manter o recurso habilitado para máquinas virtuais no mesmo cofre. Você pode criar cofres separados para o controle granular.

Dica

Para receber alertas/notificações quando um usuário na organização desabilitar a exclusão suave para um cofre, use os Alertas do Azure Monitor para Backup do Azure. Como a desabilitação da exclusão suave é uma operação destrutiva potencial, recomendamos que você use o sistema de alertas para esse cenário para monitorar todas essas operações e tomar medidas em qualquer operação não intencional.

Observação

• Você também pode usar a MUA (autorização multiusuário) para adicionar uma camada extra de proteção contra a desabilitação da exclusão temporária. Saiba mais.
• Atualmente, só há suporte para a MUA para exclusão temporária nos cofres dos Serviços de Recuperação.

Exclusão temporária sempre ativada com retenção estendida

Por padrão, a exclusão temporária é habilitada em todos os cofres recém-criados. O estado de exclusão temporária sempre ativada é um recurso de aceitação. Após habilitada, não poderá ser desabilitada(irreversível).

Além disso, você poderá estender a duração da retenção dos dados de backup excluídos, variando de 14 a 180 dias. Por padrão, a duração da retenção é definida como 14 dias (de acordo com a exclusão temporária básica) para o cofre, e você pode estendê-la conforme necessário. A exclusão temporária não tem custo nos primeiros 14 dias de retenção; no entanto, você será cobrado pelo período além dos 14 dias. Saiba mais sobre preços.

Desabilitar a exclusão temporária usando o portal do Azure

Para desabilitar a exclusão temporária, siga estas etapas:

1. No portal do Azure, acesse seu cofre e vá para Configurações>Propriedades.
2. No painel de Propriedades, selecione Atualizar Configurações de Segurança.
3. No painel Configurações de segurança e exclusão reversível, desmarque as caixas de seleção necessárias para desabilitar a exclusão reversível.

Desabilitar a exclusão temporária usando o Azure PowerShell

Importante

A versão mínima do Az.RecoveryServices necessária para usar a exclusão temporária com o Azure PowerShell é a 2.2.0. Use o Install-Module -Name Az.RecoveryServices -Force para obter a versão mais recente.

Para desabilitar, use o cmdlet do PowerShell Set-AzRecoveryServicesVaultBackupProperty.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Desabilitar a exclusão temporária usando a API REST

Para desabilitar a funcionalidade de exclusão temporária usando a API REST, confira as etapas mencionadas aqui.

Excluir permanentemente itens de backup com exclusão temporária

Dados de backup em estado de exclusão temporária antes da desabilitação do recurso permanecerão no estado. Se você quiser excluí-los permanentemente de imediato, restaure e exclua-os novamente.

Usando o Portal do Azure

Siga estas etapas:

1. Siga estas etapas para desabilitar a exclusão temporária.

2. No portal do Azure, acesse seu cofre, vá para Itens de Backup e escolha o item com exclusão temporária.

   

3. Selecione a opção Restaurar.

   

4. Uma janela será exibida. Selecione Restaurar.

   

5. Escolha Excluir dados de backup para excluir permanentemente os dados de backup.

   

6. Você deve digitar o nome do item de backup para confirmar que deseja excluir os pontos de recuperação.

   

7. Para excluir os dados do backup, selecione Excluir. Uma mensagem de notificação informa que os dados de backup foram excluídos.

Usando o PowerShell do Azure

Os itens excluídos antes da desabilitação da exclusão temporária ficam no estado de exclusão temporária. Para excluí-los imediatamente, é necessário reverter a operação de exclusão e realizá-la novamente.

Identifique os itens que estão no estado de exclusão temporária.

Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}

Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted

$myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1

Em seguida, inverta a operação de exclusão que foi realizada quando a exclusão temporária foi habilitada.

Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2

Como a exclusão temporária agora está desabilitada, a operação de exclusão resultará na remoção imediata dos dados de backup.

Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb

Usando a API REST

Os itens excluídos antes da desabilitação da exclusão temporária ficam no estado de exclusão temporária. Para excluí-los imediatamente, é necessário reverter a operação de exclusão e realizá-la novamente.

1. Primeiro, desfaça as operações de exclusão com as etapas mencionadas aqui.
2. Em seguida, desabilite a funcionalidade de exclusão temporária usando a API REST de acordo com as etapas mencionadas aqui.
3. Depois exclua os backups usando a API REST, conforme mencionado aqui.

Perguntas frequentes

É necessário habilitar o recurso de exclusão temporária em todos os cofres?

Não, ele é interno e habilitado por padrão para todos os cofres dos Serviços de Recuperação.

Posso configurar o número de dias que os dados passam no estado de exclusão temporária após a conclusão da exclusão?

Não, ele é fixo em 14 dias de retenção adicional após a operação de exclusão.

Preciso pagar o custo dessa retenção adicional de 14 dias?

Não, essa retenção adicional de 14 dias vem sem custo como parte da funcionalidade de exclusão temporária.

Posso executar uma operação de restauração quando os dados estão no estado de exclusão temporária?

Não, você precisa restaurar o recurso em exclusão temporária a fim de restaurá-lo. A operação de recuperação coloca o recurso de volta no estado Interrompa a proteção com retenção de dados, em que você pode restaurar para qualquer ponto no tempo. O coletor de lixo permanece pausado nesse estado.

Os instantâneos seguem o mesmo ciclo de vida dos pontos de recuperação no cofre?

Sim.

Como posso disparar novamente os backups agendados de um recurso que foi excluído temporariamente?

A restauração seguida de uma operação de retomada protege o recurso novamente. A operação de retomada associa uma política de backup para disparar os backups agendados com o período de retenção selecionado. Além disso, o coletor de lixo é executado assim que a operação de retomada é concluída. Se você quiser executar uma restauração de um ponto de recuperação após a data do término, recomendamos fazer isso antes de disparar a operação de retomada.

É possível excluir um cofre quando há itens em exclusão temporária nele?

O cofre dos Serviços de Recuperação não pode ser excluído quando há itens de backup no estado de exclusão temporária nele. Os itens em exclusão temporária são excluídos permanentemente após 14 dias da operação de exclusão. Se você não puder esperar por 14 dias, desabilite a exclusão temporária, restaure os itens em questão e exclua-os novamente para excluir permanentemente. É possível excluir o cofre quando não há mais itens protegidos nem em exclusão temporária.

Posso excluir os dados antes do período de 14 dias após a exclusão temporária?

Não. Não é possível forçar a exclusão dos itens excluídos temporariamente. Eles são excluídos automaticamente após 14 dias. Esse recurso de segurança é habilitado para proteger os dados de backup contra exclusões acidentais ou mal-intencionadas. Você deve aguardar 14 dias antes de executar qualquer outra ação no item. Os itens excluídos temporariamente não são cobrados. Se você precisar proteger novamente os itens marcados para exclusão temporária dentro de 14 dias em um novo cofre, entre em contato com o suporte da Microsoft.

É possível realizar operações de exclusão temporária no PowerShell ou na CLI?

É possível realizar operações de exclusão temporária com o PowerShell. Atualmente, não há suporte para a CLI.

Próximas etapas

• Visão geral dos recursos de segurança no Backup do Azure