Сведения о многопользовательской авторизации с помощью Resource Guard
Многопользовательская авторизация (MUA) для Azure Backup позволяет добавить дополнительный уровень защиты к критически важным операциям в хранилищах служб восстановления и хранилищах резервных копий. Для MUA служба Azure Backup использует ресурс Azure Resource Guard, чтобы обеспечить выполнение критических операций только с соответствующей авторизацией.
Примечание.
Авторизация с несколькими пользователями с помощью Resource Guard для хранилища резервных копий теперь общедоступна.
Как работает MUA для Backup?
Azure Backup использует Resource Guard в качестве дополнительного механизма авторизации для хранилища служб восстановления или хранилища резервных копий. Поэтому для выполнения критических операций (описанных ниже) необходимо также иметь достаточные разрешения в связанной службе Resource Guard.
Внимание
Чтобы функционировать должным образом, Resource Guard должен принадлежать другому пользователю, а администратор хранилища не должен иметь разрешения участника, администратора MUA резервного копирования или оператора MUA резервного копирования в Resource Guard. Вы можете разместить Resource Guard в подписке или клиенте, отличающемся от одного из хранилищ, чтобы обеспечить лучшую защиту.
Критические операции
В следующей таблице перечислены операции, определенные как критические. Их можно защитить с помощью службы Resource Guard. Вы можете отключить защиту определенных операций с помощью Resource Guard во время связывания хранилищ.
Примечание.
Вы не можете исключить операции, обозначаемые как обязательные, от защиты с помощью Resource Guard для хранилищ, связанных с ним. Кроме того, критические операции с отключенной защитой Resource Guard будут применяться ко всем хранилищам, связанным с этой службой.
Выбор хранилища
| Операция | Обязательный или необязательный | Description |
|---|---|---|
| Отключение обратимого удаления или функций безопасности | Обязательно | Отключите параметр обратимого удаления в хранилище. |
| Удаление защиты MUA | Обязательно | Отключите защиту MUA в хранилище. |
| Удаление защиты | Необязательно | Удаление защиты путем остановки резервных копий и удаления данных. |
| Изменение защиты | Необязательно | Добавьте новую политику резервного копирования с уменьшением срока хранения или изменения частоты политики для увеличения RPO. |
| Изменение политики | Необязательно | Измените политику резервного копирования, чтобы уменьшить частоту хранения или изменения политики, чтобы увеличить RPO. |
| Получение ПИН-кода безопасности резервного копирования | Необязательно | Изменение ПИН-кода безопасности MARS. |
| Остановка резервного копирования и сохранение данных | Необязательно | Удалите защиту, остановив резервные копии и сохраняя данные навсегда или сохраняя их согласно политике. |
| Отключение неизменяемости | Необязательно | Отключите параметр неизменяемости в хранилище. |
Основные понятия и процесс
Ниже описаны основные понятия и процессы, связанные с использованием MUA для Azure Backup.
Рассмотрим следующие два человека для четкого понимания процесса и обязанностей. Эти два человека ссылаются на эти два человека в этой статье.
Администратор резервного копирования: владелец хранилища служб восстановления или хранилища резервного копирования, выполняющий операции управления в хранилище. Прежде всего, у администратора резервного копирования не должно быть разрешений для Resource Guard. Это может быть роль оператора резервного копирования или роли RBAC участника резервного копирования в хранилище служб восстановления.
Администратор безопасности. Владелец Resource Guard, который следит за критическими операциями в хранилище. Следовательно, администратор безопасности контролирует разрешения, необходимые администратору резервного копирования для выполнения критических операций в хранилище. Это может быть роль RBAC администратора RBAC резервного копирования в Resource Guard.
Ниже представлена схема выполнения критической операции в хранилище, где настроена функция MUA с использованием Resource Guard.
Ниже приведен поток событий в типичном сценарии:
Администратор резервного копирования создает хранилище служб восстановления или хранилище резервных копий.
Ресурс Resource Guard создает администратор безопасности.
Resource Guard может находиться в другой подписке или другом клиенте в отношении хранилища. Убедитесь, что администратор резервного копирования не имеет разрешений участника, администратора MUA backup или оператора MUA резервного копирования в Resource Guard.
Администратор безопасности предоставляет администратору резервного копирования роль читателя для Resource Guard (или соответствующей области). Эта роль необходима администратору резервного копирования, чтобы включить MUA в хранилище.
Администратор резервного копирования теперь настраивает хранилище для защиты с помощью muA с помощью Resource Guard.
Теперь, если администратор резервного копирования или любой пользователь, у которого есть доступ на запись в хранилище, хочет выполнить критически важные операции, защищенные с помощью Resource Guard в хранилище, они должны запросить доступ к Resource Guard. Администратор резервного копирования может обратиться к администратору безопасности, чтобы получить доступ к таким операциям. Это можно сделать с помощью функции управления привилегированными пользователями (PIM) или других процессов, разрешенных в организации. Они могут запросить роль RBAC оператора RBAC резервного копирования, которая позволяет пользователям выполнять только критически важные операции, защищенные Resource Guard, и не позволяют удалить resource Guard.
Администратор безопасности временно предоставляет роль "Оператор MUA резервного копирования" в Resource Guard администратору резервного копирования для выполнения критически важных операций.
Затем администратор резервного копирования инициирует критически важную операцию.
Платформа Azure Resource Manager проверяет наличие у администратора резервного копирования необходимых разрешений. Так как администратор резервного копирования теперь имеет роль "Оператор MUA резервного копирования" в Resource Guard, запрос будет завершен. Если администратор резервного копирования не имеет необходимых разрешений или ролей, запрос завершится ошибкой.
Администратор безопасности должен гарантировать отмену привилегий для выполнения критически важных операций после выполнения авторизованных действий или после определенной длительности. Для обеспечения того же значения можно использовать средства JIT Microsoft Entra управление привилегированными пользователями.
Примечание.
- Если вы предоставляете роль администратора участника или резервного копирования для доступа Resource Guard временно администратору резервного копирования, она также предоставляет разрешения на удаление в Resource Guard. Рекомендуется предоставлять только разрешения оператора MUA для резервного копирования.
- MUA обеспечивает защиту только для указанных выше операций, выполняемых только в резервных копиях с хранилищем. Все операции, выполняемые непосредственно в источнике данных (т. е. защищенный ресурс или рабочая нагрузка Azure), выходят за рамки Resource Guard.
Сценарии использования
В следующей таблице перечислены сценарии создания Resource Guard и хранилищ (хранилища служб восстановления и хранилища резервных копий), а также относительной защиты, предлагаемой каждой из них.
Внимание
Администратор резервного копирования не должен иметь разрешения участника, администратора MUA резервного копирования или оператора MUA резервного копирования в любом сценарии, так как это переопределяет добавление защиты MUA в хранилище.
| Сценарий использования | Защита с помощью MUA | Простота реализации | Примечания |
|---|---|---|---|
| Хранилище и Resource Guard находятся в одной подписке . Администратор резервного копирования не имеет доступа к Resource Guard. |
Наименьшая изоляция администратора резервного копирования от администратора безопасности. | Относительно простая реализация, так как требуется только одна подписка. | Необходимо обеспечить правильное назначение разрешений и ролей на уровне ресурсов. |
| Хранилище и Resource Guard находятся в разных подписках, но в одном клиенте. Администратор резервного копирования не имеет доступа к Resource Guard или соответствующей подписке. |
Средний уровень изоляции администратора резервного копирования от администратора безопасности. | Средний уровень простоты реализации, так как требуются две подписки (но только один клиент). | Убедитесь, что разрешения и роли правильно назначены для ресурса или подписки. |
| Хранилище и Resource Guard находятся в разных клиентах. Администратор резервного копирования не имеет доступа к Resource Guard, соответствующей подписке или соответствующему клиенту. |
Максимальная изоляция администратора резервного копирования от администратора безопасности, обеспечивающая максимальную защиту. | Относительно сложно выполнять проверку, так как требуется два клиента или каталога. | Убедитесь, что разрешения или роли правильно назначены ресурсу, подписке или каталогу. |
Следующие шаги
Настройка многопользовательской авторизации с помощью Resource Guard.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по