Översikt över säkerhetsfunktioner i Azure Backup

Ett av de viktigaste stegen du kan vidta för att skydda dina data är att ha en tillförlitlig infrastruktur för säkerhetskopiering. Men det är lika viktigt att se till att dina data säkerhetskopieras på ett säkert sätt och att dina säkerhetskopior alltid skyddas. Azure Backup ger säkerhet till din säkerhetskopieringsmiljö – både när dina data överförs och i vila. Den här artikeln innehåller säkerhetsfunktioner i Azure Backup som hjälper dig att skydda dina säkerhetskopierade data och uppfylla företagets säkerhetsbehov.

Hantering och kontroll av identitet och användaråtkomst

Storage konton som används av Recovery Services-valv är isolerade och kan inte nås av användare i skadliga syften. Åtkomsten tillåts endast via Azure Backup hanteringsåtgärder, till exempel återställning. Azure Backup kan du styra de hanterade åtgärderna via detaljerad åtkomst med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC). Med Azure RBAC kan du segregera uppgifter inom ditt team och endast bevilja den mängd åtkomst till användare som krävs för att utföra sina jobb.

Azure Backup innehåller tre inbyggda roller för att styra säkerhetskopieringshanteringsåtgärder:

  • Säkerhetskopieringsdeltagare – för att skapa och hantera säkerhetskopior, förutom att ta bort Recovery Services-valv och ge åtkomst till andra
  • Säkerhetskopieringsoperatör – allt en deltagare gör förutom att ta bort säkerhetskopierings- och hanteringsprinciper för säkerhetskopiering
  • Säkerhetskopieringsläsare – behörighet att visa alla säkerhetskopieringshanteringsåtgärder

Läs mer om rollbaserad åtkomstkontroll i Azure för att hantera Azure Backup.

Azure Backup har flera säkerhetskontroller inbyggda i tjänsten för att förhindra, identifiera och reagera på säkerhetsrisker. Läs mer om säkerhetskontroller för Azure Backup.

Separation mellan gäst och Azure Storage

Med Azure Backup, som omfattar säkerhetskopiering av virtuella datorer och SQL och SAP HANA i säkerhetskopiering av virtuella datorer, lagras säkerhetskopieringsdata i Azure Storage och gästen har ingen direkt åtkomst till lagring av säkerhetskopior eller dess innehåll. Med säkerhetskopiering av virtuella datorer skapas och lagras ögonblicksbilder av säkerhetskopior av Azure Fabric där gästen inte har något annat engagemang än att quiescing arbetsbelastningen för programkonsekventa säkerhetskopior. Med SQL och SAP HANA får säkerhetskopieringstillägget tillfällig åtkomst för att skriva till specifika blobar. På så sätt kan befintliga säkerhetskopior inte manipuleras eller tas bort av gästen, även i en komprometterad miljö.

Internetanslutning krävs inte för säkerhetskopiering av virtuella Azure-datorer

Säkerhetskopiering av virtuella Azure-datorer kräver förflyttning av data från den virtuella datorns disk till Recovery Services-valvet. All nödvändig kommunikation och dataöverföring sker dock bara i Azure-stamnätverket utan att du behöver komma åt ditt virtuella nätverk. Därför kräver säkerhetskopiering av virtuella Azure-datorer som placeras i skyddade nätverk inte att du tillåter åtkomst till ip-adresser eller FQDN.

Privata slutpunkter för Azure Backup

Nu kan du använda privata slutpunkter för att säkerhetskopiera dina data på ett säkert sätt från servrar i ett virtuellt nätverk till recovery services-valvet. Den privata slutpunkten använder en IP-adress från VNET-adressutrymmet för valvet, så du behöver inte exponera dina virtuella nätverk för offentliga IP-adresser. Privata slutpunkter kan användas för att säkerhetskopiera och återställa dina SQL och SAP HANA databaser som körs i dina virtuella Azure-datorer. Den kan också användas för dina lokala servrar med mars-agenten.

Läs mer om privata slutpunkter för Azure Backup här.

Kryptering av data

Kryptering skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Datakryptering sker i många steg i Azure Backup:

Skydd av säkerhetskopierade data från oavsiktliga borttagningar

Azure Backup tillhandahåller säkerhetsfunktioner för att skydda säkerhetskopierade data även efter borttagning. Om användaren tar bort säkerhetskopian av en virtuell dator med mjuk borttagning behålls säkerhetskopieringsdata i ytterligare 14 dagar, vilket gör det möjligt att återställa säkerhetskopieringsobjektet utan dataförlust. Ytterligare 14 dagars kvarhållning av säkerhetskopierade data i tillståndet "mjuk borttagning" medför ingen kostnad för dig. Läs mer om mjuk borttagning.

Övervakning och aviseringar om misstänkt aktivitet

Azure Backup tillhandahåller inbyggda funktioner för övervakning och aviseringar för att visa och konfigurera åtgärder för händelser som rör Azure Backup. Säkerhetskopieringsrapporter fungerar som ett enda mål för spårning av användning, granskning av säkerhetskopior och återställningar samt identifiering av viktiga trender på olika detaljnivåer. Om du använder Azure Backup övervaknings- och rapporteringsverktyg kan du meddelas om obehörig, misstänkt eller skadlig aktivitet så snart de inträffar.

Säkerhetsfunktioner för att skydda hybridsäkerhetskopior

Azure Backup-tjänsten använder mars-agenten (Microsoft Azure Recovery Services) för att säkerhetskopiera och återställa filer, mappar och volymen eller systemtillståndet från en lokal dator till Azure. MARS tillhandahåller nu säkerhetsfunktioner för att skydda hybridsäkerhetskopior. Dessa funktioner omfattar bland annat:

  • Ett ytterligare autentiseringslager läggs till när en kritisk åtgärd som att ändra en lösenfras utförs. Den här valideringen är för att säkerställa att sådana åtgärder endast kan utföras av användare som har giltiga Azure-autentiseringsuppgifter. Läs mer om de funktioner som förhindrar attacker.

  • Borttagna säkerhetskopierade data behålls i ytterligare 14 dagar från borttagningsdatumet. Detta säkerställer dataåterställning inom en viss tidsperiod, så det sker ingen dataförlust även om en attack inträffar. Dessutom bibehålls ett större antal minsta återställningspunkter för att skydda mot skadade data. Läs mer om att återställa borttagna säkerhetskopierade data.

  • För data som säkerhetskopieras med mars-agenten (Microsoft Azure Recovery Services) används en lösenfras för att säkerställa att data krypteras före uppladdning till Azure Backup och dekrypteras först efter nedladdning från Azure Backup. Lösenfrasens information är endast tillgänglig för den användare som skapade lösenfrasen och agenten som har konfigurerats med den. Inget överförs eller delas med tjänsten. Detta säkerställer fullständig säkerhet för dina data, eftersom alla data som oavsiktligt exponeras (till exempel en man-in-the-middle-attack i nätverket) är oanvändbara utan lösenfrasen och lösenfrasen inte skickas över nätverket.

Efterlevnad av standardiserade säkerhetskrav

För att hjälpa organisationer att uppfylla nationella, regionala och branschspecifika krav som styr insamling och användning av enskilda personers data Microsoft Azure & Azure Backup erbjuda en omfattande uppsättning certifieringar och intyg. Se listan över efterlevnadscertifieringar

Nästa steg