Descrição geral das funcionalidades de segurança no Azure Backup

  • Artigo

Um dos passos mais importantes que pode efetuar para proteger os seus dados é ter uma infraestrutura de cópia de segurança fiável. No entanto, é igualmente importante garantir que os seus dados são cópias de segurança de forma segura e que as suas cópias de segurança estão sempre protegidas. Azure Backup fornece segurança ao seu ambiente de cópia de segurança, tanto quando os dados estão em trânsito como inativos. Este artigo lista as capacidades de segurança no Azure Backup que o ajudam a proteger os seus dados de cópia de segurança e a satisfazer as necessidades de segurança da sua empresa.

Gestão e controlo da identidade e acesso do utilizador

As contas de armazenamento utilizadas pelos cofres dos Serviços de Recuperação são isoladas e não podem ser acedidas pelos utilizadores para fins maliciosos. O acesso só é permitido através de operações de gestão Azure Backup, como o restauro. Azure Backup permite-lhe controlar as operações geridas através de um acesso detalhado com o controlo de acesso baseado em funções do Azure (RBAC do Azure). O RBAC do Azure permite-lhe segregar deveres dentro da sua equipa e conceder apenas a quantidade de acesso aos utilizadores necessários para realizarem as suas tarefas.

Azure Backup fornece três funções incorporadas para controlar as operações de gestão de cópias de segurança:

  • Contribuidor de Cópia de Segurança – para criar e gerir cópias de segurança, exceto eliminar o cofre dos Serviços de Recuperação e conceder acesso a outras pessoas
  • Operador de Cópia de Segurança – tudo o que um contribuidor faz, exceto remover a cópia de segurança e gerir políticas de cópia de segurança
  • Leitor de Cópias de Segurança – permissões para ver todas as operações de gestão de cópias de segurança

Saiba mais sobre o controlo de acesso baseado em funções do Azure para gerir Azure Backup.

Azure Backup tem vários controlos de segurança incorporados no serviço para prevenir, detetar e responder a vulnerabilidades de segurança. Saiba mais sobre os controlos de segurança para Azure Backup.

Separação entre o convidado e o armazenamento do Azure

Com Azure Backup, que inclui a cópia de segurança da máquina virtual e o SQL e o SAP HANA na cópia de segurança da VM, os dados de cópia de segurança são armazenados no armazenamento do Azure e o convidado não tem acesso direto ao armazenamento de cópias de segurança ou ao respetivo conteúdo. Com a cópia de segurança da máquina virtual, a criação de instantâneos de cópia de segurança e o armazenamento são efetuados pelos recursos de infraestrutura do Azure em que o convidado não tem qualquer envolvimento além de questionar a carga de trabalho para cópias de segurança consistentes com aplicações. Com o SQL e o SAP HANA, a extensão de cópia de segurança obtém acesso temporário para escrever em blobs específicos. Desta forma, mesmo num ambiente comprometido, as cópias de segurança existentes não podem ser adulteradas ou eliminadas pelo convidado.

Conectividade à Internet não necessária para a cópia de segurança da VM do Azure

A cópia de segurança de VMs do Azure requer a movimentação de dados do disco da máquina virtual para o cofre dos Serviços de Recuperação. No entanto, todas as comunicações e transferências de dados necessárias ocorrem apenas na rede principal do Azure sem ter de aceder à sua rede virtual. Por conseguinte, a cópia de segurança de VMs do Azure colocadas dentro de redes protegidas não requer que permita o acesso a IPs ou FQDNs.

Pontos Finais Privados para Azure Backup

Agora, pode utilizar Pontos Finais Privados para fazer cópias de segurança dos seus dados a partir de servidores dentro de uma rede virtual para o cofre dos Serviços de Recuperação. O ponto final privado utiliza um IP do espaço de endereços da VNET para o cofre, pelo que não precisa de expor as suas redes virtuais a quaisquer IPs públicos. Os Pontos Finais Privados podem ser utilizados para criar cópias de segurança e restaurar as bases de dados SQL e SAP HANA que são executadas dentro das VMs do Azure. Também pode ser utilizado para os seus servidores no local com o agente MARS.

Leia mais sobre os pontos finais privados para Azure Backup aqui.

Encriptação de dados

A encriptação protege os seus dados e ajuda-o a cumprir os compromissos de conformidade e segurança da sua organização. A encriptação de dados ocorre em muitas fases no Azure Backup:

Eliminação recuperável

Azure Backup fornece funcionalidades de segurança para ajudar a proteger os dados de cópia de segurança mesmo após a eliminação. Com a eliminação recuperável, se eliminar a cópia de segurança de uma VM, os dados de cópia de segurança são retidos durante 14 dias adicionais, permitindo a recuperação desse item de cópia de segurança sem perda de dados. A retenção adicional de 14 dias de dados de cópia de segurança no "estado de eliminação recuperável não incorre em nenhum custo. Saiba mais sobre a eliminação recuperável.

Azure Backup também melhorou a eliminação recuperável para melhorar ainda mais as hipóteses de recuperação de dados após a eliminação. Saiba mais.

Cofres imutáveis

O cofre imutável pode ajudá-lo a proteger os seus dados de cópia de segurança ao bloquear quaisquer operações que possam levar à perda de pontos de recuperação. Além disso, pode bloquear a definição do cofre imutável para torná-la irreversível, o que pode impedir que quaisquer atores maliciosos desativem a imutabilidade e eliminem cópias de segurança. Saiba mais sobre cofres imutáveis.

Autorização de vários utilizadores

A autorização de vários utilizadores (MUA) para Azure Backup permite-lhe adicionar uma camada adicional de proteção a operações críticas nos cofres dos Serviços de Recuperação e cofres de Cópia de Segurança. Para o MUA, Azure Backup utiliza outro recurso do Azure chamado Resource Guard para garantir que as operações críticas são executadas apenas com autorização aplicável. Saiba mais sobre a autorização de vários utilizadores para Azure Backup.

Eliminação recuperável melhorada

A eliminação recuperável melhorada permite-lhe recuperar os seus dados mesmo depois de terem sido eliminados, acidentalmente ou maliciosamente. Funciona ao atrasar a eliminação permanente de dados por uma duração especificada, proporcionando-lhe a oportunidade de os obter. Também pode tornar a eliminação recuperável sempre ativada para impedir que seja desativada. Saiba mais sobre a eliminação recuperável melhorada para Cópia de Segurança.

Monitorização e alertas de atividade suspeita

Azure Backup fornece capacidades de monitorização e alerta incorporadas para ver e configurar ações para eventos relacionados com Azure Backup. Os Relatórios de Cópia de Segurança servem como um destino único para controlar a utilização, auditar cópias de segurança e restauros e identificar tendências-chave em diferentes níveis de granularidade. A utilização das ferramentas de monitorização e relatórios do Azure Backup pode alertá-lo para qualquer atividade não autorizada, suspeita ou maliciosa assim que ocorrer.

Funcionalidades de segurança para ajudar a proteger as cópias de segurança híbridas

Azure Backup serviço utiliza o agente dos Serviços de Recuperação do Microsoft Azure (MARS) para fazer cópias de segurança e restaurar ficheiros, pastas e o volume ou estado do sistema de um computador no local para o Azure. O MARS fornece agora funcionalidades de segurança para ajudar a proteger as cópias de segurança híbridas. Essas funcionalidades incluem:

  • É adicionada uma camada adicional de autenticação sempre que é executada uma operação crítica como alterar uma frase de acesso. Esta validação destina-se a garantir que essas operações só podem ser realizadas por utilizadores com credenciais válidas do Azure. Saiba mais sobre as funcionalidades que impedem ataques.

  • Os dados de cópia de segurança eliminados são retidos por mais 14 dias a partir da data de eliminação. Isto garante a capacidade de recuperação dos dados num determinado período de tempo, pelo que não há perda de dados, mesmo que ocorra um ataque. Além disso, é mantido um maior número de pontos de recuperação mínimos para proteger contra dados danificados. Saiba mais sobre como recuperar dados de cópia de segurança eliminados.

  • Para obter uma cópia de segurança dos dados com o agente dos Serviços de Recuperação do Microsoft Azure (MARS), é utilizada uma frase de acesso para garantir que os dados são encriptados antes de serem carregados para Azure Backup e desencriptados apenas após a transferência a partir de Azure Backup. Os detalhes da frase de acesso só estão disponíveis para o utilizador que criou a frase de acesso e o agente que está configurado com a mesma. Nada é transmitido ou partilhado com o serviço. Isto garante a segurança total dos seus dados, uma vez que quaisquer dados expostos inadvertidamente (como um ataque man-in-the-middle na rede) são inutilizáveis sem a frase de acesso e a frase de acesso não é enviada através da rede.

Conformidade com os requisitos de segurança padronizados

Para ajudar as organizações a cumprir os requisitos nacionais/regionais e específicos do setor que regem a recolha e utilização dos dados das pessoas, o Microsoft Azure & Azure Backup oferecer um conjunto abrangente de certificações e atestados. Veja a lista de certificações de conformidade

Passos seguintes