Visão geral dos recursos de segurança no Backup do Azure

Uma das etapas mais importantes que você pode tomar para proteger seus dados é ter uma infraestrutura de backup confiável. Mas é igualmente importante garantir que o backup de seus dados seja feito de forma segura e que seus backups estejam protegidos em todos os momentos. O Azure Backup fornece segurança ao seu ambiente de cópia de segurança, tanto quando os seus dados em circulação como quando estão inativos. Este artigo lista os recursos de segurança no Backup do Azure que ajudam você a proteger seus dados de backup e atender às necessidades de segurança de sua empresa.

Gestão e controlo de identidade e acesso de utilizadores

As contas de armazenamento usadas pelos cofres dos Serviços de Recuperação são isoladas e não podem ser acessadas pelos usuários para fins mal-intencionados. O acesso só é permitido por meio de operações de gerenciamento do Backup do Azure, como restauração. O Backup do Azure permite controlar as operações gerenciadas por meio de acesso refinado usando o controle de acesso baseado em função do Azure (Azure RBAC). O RBAC do Azure permite que você segregue tarefas dentro de sua equipe e conceda apenas a quantidade de acesso aos usuários necessária para realizar seus trabalhos.

O Backup do Azure fornece três funções internas para controlar as operações de gerenciamento de backup:

• Colaborador de backup: para criar e gerenciar backups, exceto excluir o cofre dos Serviços de Recuperação e dar acesso a outras pessoas
• Operador de backup: tudo o que um colaborador faz, exceto remover e gerenciar políticas de backup
• Backup Reader: permissões para visualizar todas as operações de gerenciamento de backup

Saiba mais sobre o controle de acesso baseado em função do Azure para gerenciar o Backup do Azure.

O Backup do Azure tem vários controles de segurança incorporados ao serviço para prevenir, detetar e responder a vulnerabilidades de segurança. Saiba mais sobre os controles de segurança para o Backup do Azure.

Isolamento de dados com o Backup do Azure

Com o Backup do Azure, os dados de backup em cofre são armazenados na assinatura e no locatário do Azure gerenciados pela Microsoft. Usuários externos ou convidados não têm acesso direto a esse armazenamento de backup ou seu conteúdo, garantindo o isolamento dos dados de backup do ambiente de produção onde a fonte de dados reside.

No Azure, todas as comunicações e dados em trânsito são transferidos com segurança com protocolos HTTPS e TLS 1.2+ . Esses dados permanecem na rede de backbone do Azure, garantindo uma transmissão de dados confiável e eficiente. Os dados de backup em repouso são criptografados por padrão usando chaves gerenciadas pela Microsoft. Você também pode trazer suas próprias chaves para criptografia se precisar de maior controle sobre os dados. Para melhorar a proteção, você pode usar a imutabilidade, que impede que os dados sejam alterados ou excluídos antes do período de retenção. O Backup do Azure oferece diversas opções, como exclusão suave, interrupção de backup e exclusão de dados ou retenção de dados se você precisar interromper backups a qualquer momento. Para proteger operações críticas, você pode adicionar MUA (Autorização Multiusuário) que adiciona camada adicional de proteção usando um recurso do Azure chamado Azure Resource Guard.

Essa abordagem robusta garante que, mesmo em um ambiente comprometido, os backups existentes não possam ser adulterados ou excluídos por usuários não autorizados.

Conectividade com a Internet não necessária para backup de VM do Azure

O backup de VMs do Azure requer a movimentação de dados do disco da máquina virtual para o cofre dos Serviços de Recuperação. No entanto, toda a comunicação e transferência de dados necessárias acontece apenas na rede de backbone do Azure, sem a necessidade de acessar sua rede virtual. Portanto, o backup de VMs do Azure colocadas dentro de redes seguras não exige que você permita acesso a IPs ou FQDNs.

Pontos de extremidade privados para o Backup do Azure

Agora você pode usar os Pontos de Extremidade Privados para fazer backup de seus dados com segurança de servidores dentro de uma rede virtual para o cofre dos Serviços de Recuperação. O ponto de extremidade privado usa um IP do espaço de endereço VNET para seu cofre, portanto, você não precisa expor suas redes virtuais a nenhum IP público. Os Pontos de Extremidade Privados podem ser usados para fazer backup e restaurar seus bancos de dados SQL e SAP HANA que são executados dentro de suas VMs do Azure. Ele também pode ser usado para seus servidores locais usando o agente MARS.

Leia mais sobre pontos de extremidade privados para o Backup do Azure aqui.

Encriptação dos dados

A encriptação protege os seus dados e ajuda-o a cumprir os seus compromissos organizacionais de segurança e conformidade. A criptografia de dados ocorre em vários estágios no Backup do Azure:

• No Azure, os dados em trânsito entre o armazenamento do Azure e o cofre são protegidos por HTTPS. Esses dados permanecem na rede de backbone do Azure.

• Os dados de backup são automaticamente criptografados usando chaves gerenciadas pela plataforma e você não precisa tomar nenhuma ação explícita para habilitá-los. Você também pode criptografar seus dados de backup usando chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure. Ele se aplica a todas as cargas de trabalho cujo backup está sendo feito no cofre dos Serviços de Recuperação.

• O Backup do Azure dá suporte ao backup e à restauração de VMs do Azure que têm seus discos de SO/dados criptografados com o Azure Disk Encryption (ADE) e VMs com discos criptografados CMK. Para obter mais informações, saiba mais sobre VMs do Azure criptografadas e o Backup do Azure.

• Quando é feito backup de dados de servidores locais com o agente MARS, os dados são criptografados com uma senha antes de serem carregados no Backup do Azure e descriptografados somente depois de baixados do Backup do Azure. Leia mais sobre os recursos de segurança para ajudar a proteger backups híbridos.

Eliminação recuperável

O Backup do Azure fornece recursos de segurança para ajudar a proteger os dados de backup mesmo após a exclusão. Com a exclusão suave, se você excluir o backup de uma VM, os dados de backup serão retidos por 14 dias adicionais, permitindo a recuperação desse item de backup sem perda de dados. A retenção adicional de 14 dias de dados de backup no "estado de exclusão suave não incorre em nenhum custo. Saiba mais sobre a eliminação recuperável.

O Backup do Azure agora também aprimorou a exclusão suave para melhorar ainda mais as chances de recuperar dados após a exclusão. Mais informações.

Cofres imutáveis

O cofre imutável pode ajudá-lo a proteger seus dados de backup, bloqueando quaisquer operações que possam levar à perda de pontos de recuperação. Além disso, você pode bloquear a configuração do cofre imutável para torná-la irreversível, o que pode impedir que atores mal-intencionados desativem a imutabilidade e excluam backups. Saiba mais sobre cofres imutáveis.

Autorização multiutilizador

A autorização multiusuário (MUA) para o Backup do Azure permite que você adicione uma camada adicional de proteção a operações críticas em seus cofres dos Serviços de Recuperação e cofres de Backup. Para o MUA, o Backup do Azure usa outro recurso do Azure chamado Resource Guard para garantir que as operações críticas sejam executadas somente com a autorização aplicável. Saiba mais sobre a autorização multiusuário para o Backup do Azure.

Exclusão suave aprimorada

A eliminação suave melhorada permite-lhe recuperar os seus dados mesmo depois de estes serem eliminados, acidentalmente ou maliciosamente. Funciona atrasando a eliminação permanente de dados por uma duração especificada, proporcionando-lhe a oportunidade de os recuperar. Você também pode fazer a exclusão suave sempre ativada para evitar que ela seja desativada. Saiba mais sobre a exclusão suave aprimorada para backup.

Monitorização e alertas de atividades suspeitas

O Backup do Azure fornece recursos internos de monitoramento e alerta para exibir e configurar ações para eventos relacionados ao Backup do Azure. Os relatórios de backup servem como um destino único para rastrear o uso, auditar backups e restaurações e identificar as principais tendências em diferentes níveis de granularidade. Usar as ferramentas de monitoramento e relatório do Backup do Azure pode alertá-lo sobre qualquer atividade não autorizada, suspeita ou maliciosa assim que ocorrer.

Funcionalidades de segurança para ajudar a proteger as cópias de segurança híbridas

O serviço de Backup do Azure usa o agente dos Serviços de Recuperação do Microsoft Azure (MARS) para fazer backup e restaurar arquivos, pastas e o volume ou o estado do sistema de um computador local para o Azure. O MARS agora fornece recursos de segurança para ajudar a proteger backups híbridos. Estas funcionalidades incluem:

• Uma camada adicional de autenticação é adicionada sempre que uma operação crítica, como alterar uma frase secreta, é executada. Essa validação é para garantir que essas operações possam ser executadas somente por usuários que tenham credenciais válidas do Azure. Saiba mais sobre os recursos que evitam ataques.

• Os dados de backup excluídos são retidos por mais 14 dias a partir da data de exclusão. Isso garante a capacidade de recuperação dos dados dentro de um determinado período de tempo, para que não haja perda de dados, mesmo que um ataque aconteça. Além disso, um número maior de pontos de recuperação mínimos são mantidos para proteger contra dados corrompidos. Saiba mais sobre como recuperar dados de backup excluídos.

• Para backup de dados usando o agente dos Serviços de Recuperação do Microsoft Azure (MARS), uma senha é usada para garantir que os dados sejam criptografados antes de serem carregados no Backup do Azure e descriptografados somente após o download do Backup do Azure. Os detalhes da frase secreta só estão disponíveis para o usuário que criou a senha e para o agente que está configurado com ela. Nada é transmitido ou partilhado com o serviço. Isso garante a segurança total dos seus dados, já que todos os dados expostos inadvertidamente (como um ataque man-in-the-middle na rede) ficam inutilizáveis sem a senha e a senha não é enviada pela rede.

Postura e níveis de segurança

O Backup do Azure fornece recursos de segurança no nível do cofre para proteger os dados de backup armazenados nele. Essas medidas de segurança abrangem as configurações associadas à solução de Backup do Azure para os cofres e as fontes de dados protegidas contidas nos cofres.

Os níveis de segurança para os cofres do Backup do Azure são categorizados da seguinte forma:

• Excelente (Máximo): Este nível representa a mais alta segurança, o que garante uma proteção abrangente. Você pode conseguir isso quando todos os dados de backup estão protegidos contra exclusões acidentais e se defendem de ataques de ransomware. Para atingir este elevado nível de segurança, devem ser satisfeitas as seguintes condições:

  • A imutabilidade ou a configuração do cofre de exclusão suave devem estar habilitadas e irreversíveis (bloqueadas/sempre ativas).
  • A autorização multiusuário (MUA) deve ser habilitada no cofre.

• Bom (Adequado): Isso significa um nível de segurança robusto, que garante uma proteção de dados confiável. Protege as cópias de segurança existentes contra remoção não intencional e aumenta o potencial de recuperação de dados. Para atingir esse nível de segurança, você deve habilitar a imutabilidade com um bloqueio ou exclusão suave.

• Justo (Mínimo/Médio): Representa um nível básico de segurança, adequado aos requisitos de proteção padrão. As operações de backup essenciais se beneficiam de uma camada extra de proteção. Para obter segurança mínima, você deve habilitar a Autorização Multiusuário (MUA) no cofre.

• Ruim (Ruim/Nenhum): Isso indica uma deficiência nas medidas de segurança, o que é menos adequado para a proteção de dados. Neste nível, não existem nem recursos avançados de proteção nem apenas capacidades reversíveis. A segurança de nível Nenhum oferece proteção principalmente contra exclusões acidentais apenas.

Você pode exibir e gerenciar os níveis de segurança em todas as fontes de dados em seus respetivos cofres por meio do Centro de Continuidade de Negócios do Azure.

Conformidade com requisitos de segurança padronizados

Para ajudar as organizações a cumprir os requisitos nacionais/regionais e específicos do setor que regem a coleta e o uso de dados pessoais, o Microsoft Azure & Azure Backup oferece um conjunto abrangente de certificações e atestados. Veja a lista de certificações de conformidade

Próximos passos

• Recursos de segurança para ajudar a proteger cargas de trabalho na nuvem que usam o Backup do Azure
• Recursos de segurança para ajudar a proteger backups híbridos que usam o Backup do Azure