Säkerhetsfunktioner för att skydda hybridsäkerhetskopior som använder Azure Backup

Oron över säkerhetsproblem, som skadlig kod, utpressningstrojaner och intrång, ökar. Dessa säkerhetsproblem kan var kostsamma, både vad gäller pengar och data. För att skydda mot sådana attacker tillhandahåller Azure Backup nu säkerhetsfunktioner för att skydda hybridsäkerhetskopior. Den här artikeln beskriver hur du aktiverar och använder de här funktionerna för att skydda lokala arbetsbelastningar med hjälp av Microsoft Azure Backup Server (MABS), Data Protection Manager (DPM) och Mars-agenten (Microsoft Azure Recovery Services). Dessa funktioner omfattar bland annat:

  • Förebyggande. Ett ytterligare autentiseringslager läggs till när en kritisk åtgärd som att ändra en lösenfras utförs. Den här verifieringen är till för att säkerställa att sådana åtgärder endast kan utföras av användare som har giltiga Azure-autentiseringsuppgifter.
  • Aviseringar. Ett e-postmeddelande skickas till prenumerationsadministratören när en kritisk åtgärd som att ta bort säkerhetskopierade data utförs. Det här e-postmeddelandet säkerställer att användaren meddelas snabbt om sådana åtgärder.
  • Återställning. Borttagna säkerhetskopieringsdata behålls i ytterligare 14 dagar från datumet för borttagningen. Detta säkerställer dataåterställning inom en viss tidsperiod, så det sker ingen dataförlust även om en attack inträffar. Dessutom bibehålls ett större antal minsta återställningspunkter för att skydda mot skadade data.

Kommentar

Aktivera muauktorisering för flera användare (MUA) i recovery services-valvet för att lägga till ytterligare ett skyddslager för den kritiska driften av inaktivering av säkerhetsfunktioner. Läs mer.

Lägsta versionskrav

Aktivera endast säkerhetsfunktionerna om du använder:

  • Azure Backup-agent: Lägsta agentversion 2.0.9052. När du har aktiverat dessa funktioner uppgraderar du agentversionen för att utföra kritiska åtgärder.
  • Azure Backup Server: Lägsta Azure Backup-agent version 2.0.9052 med Azure Backup Server update 1.
  • System Center Data Protection Manager: Lägsta Azure Backup-agentversion 2.0.9052 med Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.

Kommentar

Se till att du inte aktiverar säkerhetsfunktionerna om du använder säkerhetskopiering av virtuella IaaS-datorer (infrastruktur som en tjänst). För närvarande är dessa funktioner inte tillgängliga för säkerhetskopiering av virtuella IaaS-datorer och det påverkar därför inte att aktivera dem.

Aktivera säkerhetsfunktioner

Om du skapar ett Recovery Services-valv kan du använda alla säkerhetsfunktioner. Om du arbetar med ett befintligt valv aktiverar du säkerhetsfunktioner genom att följa dessa steg:

  1. Logga in på Azure-portalen med dina Azure-autentiseringsuppgifter.

  2. Välj Bläddra och skriv Recovery Services.

    Screenshot of Azure portal Browse option

    Listan över Recovery Services-valv visas. I den här listan väljer du ett valv. Instrumentpanelen för det valda valvet öppnas.

  3. Välj Egenskaper under Inställningar i listan över objekt som visas under valvet.

    Screenshot of Recovery Services vault options

  4. Under Säkerhets Inställningar väljer du Uppdatera.

    Screenshot of Recovery Services vault properties

    Uppdateringslänken öppnar fönstret Säkerhet Inställningar, som innehåller en sammanfattning av funktionerna och låter dig aktivera dem.

  5. Aktivera säkerhetsfunktionerna och välj Spara.

    Screenshot of security settings

Återställa borttagna säkerhetskopieringsdata

Om inställningen för säkerhetsfunktioner är aktiverad behåller Azure Backup borttagna säkerhetskopieringsdata i ytterligare 14 dagar och tar inte bort dem omedelbart om åtgärden Stoppa säkerhetskopiering med borttagning av säkerhetskopierade data utförs. Utför följande steg för att återställa dessa data under 14-dagarsperioden, beroende på vad du använder:

För Azure Recovery Services-agentanvändare :

  1. Om datorn där säkerhetskopieringar utfördes fortfarande är tillgänglig kan du återaktivera skyddet av de borttagna datakällorna och använda Återställ data till samma dator i Azure Recovery Services för att återställa från alla gamla återställningspunkter.
  2. Om den här datorn inte är tillgänglig använder du Återställ till en annan dator för att använda en annan Azure Recovery Services-dator för att hämta dessa data.

För Azure Backup Server-användare :

  1. Om servern där säkerhetskopieringar utfördes fortfarande är tillgänglig kan du återaktivera skyddet av de borttagna datakällorna och använda funktionen Återställ data för att återställa från alla gamla återställningspunkter.
  2. Om den här servern inte är tillgänglig använder du Återställ data från en annan Azure Backup Server för att använda en annan Azure Backup Server-instans för att hämta dessa data.

För Data Protection Manager-användare :

  1. Om servern där säkerhetskopieringar utfördes fortfarande är tillgänglig kan du återaktivera skyddet av de borttagna datakällorna och använda funktionen Återställ data för att återställa från alla gamla återställningspunkter.
  2. Om den här servern inte är tillgänglig använder du Lägg till extern DPM för att använda en annan Data Protection Manager-server för att hämta dessa data.

Förhindra attacker

Kontroller har lagts till för att se till att endast giltiga användare kan utföra olika åtgärder. Dessa inkluderar att lägga till ett extra autentiseringslager och upprätthålla ett minsta kvarhållningsintervall för återställningsändamål.

Autentisering för att utföra kritiska åtgärder

Som en del av att lägga till ett extra autentiseringslager för kritiska åtgärder uppmanas du att ange en PIN-kod för säkerhet när du utför Stop Protection med Ta bort data och Ändra lösenfrasåtgärder för DPM, MABS och MARS.

Med MARS version 2.0.9262.0 och senare skyddas även åtgärderna för att ta bort en volym från MARS-fil/mappsäkerhetskopiering, lägga till en ny exkluderingsinställning för en befintlig volym, minska kvarhållningstiden och gå över till ett mindre frekvent säkerhetskopieringsschema med en säkerhetsstift för ytterligare säkerhet.

Kommentar

För följande DPM- och MABS-versioner stöds för närvarande säkerhets-PIN-kod för Stop Protection med Ta bort data till onlinelagring:

  • DPM 2016 UR9 eller senare
  • DPM 2019 UR1 eller senare
  • MABS v3 UR1 eller senare

Så här tar du emot den här PIN-koden:

  1. Logga in på Azure-portalen.
  2. Bläddra till Recovery Services-valv> Inställningar> Egenskaper.
  3. Under Pin-kod för säkerhet väljer du Generera. Då öppnas ett fönster som innehåller PIN-koden som ska anges i Användargränssnittet för Azure Recovery Services-agenten. Den här PIN-koden är giltig i bara fem minuter och genereras automatiskt efter den perioden.

Underhålla ett minsta kvarhållningsintervall

För att säkerställa att det alltid finns ett giltigt antal tillgängliga återställningspunkter har följande kontroller lagts till:

  • För daglig kvarhållning bör minst sju dagars kvarhållning göras.
  • För veckovis kvarhållning bör minst fyra veckors kvarhållning göras.
  • För månatlig kvarhållning bör minst tre månaders kvarhållning göras.
  • För årlig kvarhållning bör minst ett års kvarhållning göras.

Meddelanden för kritiska åtgärder

När en kritisk åtgärd utförs skickas prenumerationsadministratören vanligtvis ett e-postmeddelande med information om åtgärden. Du kan konfigurera ytterligare e-postmottagare för dessa meddelanden med hjälp av Azure-portalen.

Säkerhetsfunktionerna som nämns i den här artikeln innehåller skyddsmekanismer mot riktade attacker. Ännu viktigare är att om en attack inträffar ger dessa funktioner dig möjlighet att återställa dina data.

Felsöka fel

Åtgärd Felinformation Upplösning
Principändring Det gick inte att ändra säkerhetskopieringsprincipen. Fel: Den aktuella åtgärden misslyckades på grund av ett internt tjänstfel [0x29834]. Försök igen efter en stund. Kontakta Microsoft-supporten om problemet kvarstår. Orsak:
Det här felet visas när säkerhetsinställningarna är aktiverade, du försöker minska kvarhållningsintervallet under de minimivärden som anges ovan och du har en version som inte stöds (versioner som stöds anges i den första anmärkningen i den här artikeln).
Rekommenderad åtgärd:
I det här fallet bör du ange kvarhållningsperioden över den minsta kvarhållningsperioden som anges (sju dagar per dag, fyra veckor per vecka, tre veckor per månad eller ett år för varje år) för att fortsätta med principrelaterade uppdateringar. Du kan också föredra att uppdatera säkerhetskopieringsagenten, Azure Backup Server och/eller DPM UR för att utnyttja alla säkerhetsuppdateringar.
Ändra lösenfras Den angivna säkerhets-PIN-koden är felaktig. (ID: 100130) Ange rätt PIN-kod för säkerhet för att slutföra den här åtgärden. Orsak:
Det här felet uppstår när du anger ogiltig eller förfallen pin-kod för säkerhet när du utför kritiska åtgärder (till exempel ändringslösenfras).
Rekommenderad åtgärd:
För att slutföra åtgärden måste du ange giltig pin-kod för säkerhet. Om du vill hämta PIN-koden loggar du in på Azure-portalen och navigerar till Recovery Services-valvet > Inställningar > Egenskaper > Generera säkerhets-PIN-kod. Använd den här PIN-koden för att ändra lösenfrasen.
Ändra lösenfras Åtgärden misslyckades. ID: 120002 Orsak:
Det här felet visas när säkerhetsinställningarna är aktiverade, du försöker ändra lösenfrasen och du har en version som inte stöds (giltiga versioner som anges i den första anteckningen i den här artikeln).
Rekommenderad åtgärd:
Om du vill ändra lösenfrasen måste du först uppdatera säkerhetskopieringsagenten till lägsta version 2.0.9052, Azure Backup Server till minst uppdatering 1 och/eller DPM till minst DPM 2012 R2 UR12 eller DPM 2016 UR2 (nedladdningslänkar nedan) och ange sedan en giltig PIN-kod för säkerhet. Om du vill hämta PIN-koden loggar du in på Azure-portalen och navigerar till Recovery Services-valvet > Inställningar > Egenskaper > Generera säkerhets-PIN-kod. Använd den här PIN-koden för att ändra lösenfrasen.

Oföränderlighetsstöd

När oföränderlighet för recovery services-valvet är aktiverat blockeras åtgärder som minskar kvarhållningen av molnsäkerhetskopior eller tar bort molnsäkerhetskopiering för lokala datakällor.

Oföränderlighetsstöd för DPM och MABS

Den här funktionen stöds med MARS-agent version 2.0.9250.0 och senare från DPM 2022 UR1 och MABS v4.

I följande tabell visas de otillåtna åtgärderna på DPM som är anslutna till en oföränderlig återställning:

Åtgärd i oföränderligt valv Resultat med DPM 2022 UR1, MABS v4 och den senaste MARS-agenten.

Med DPM 2022 UR2 eller MABS v4 UR1 kan du välja alternativet att behålla onlineåterställningspunkter efter princip när du stoppar skyddet eller tar bort en datakälla från en skyddsgrupp från konsolen.
Resultat med äldre DPM/MABS och eller MARS-agent
Ta bort datakälla från skyddsgrupp som konfigurerats för onlinesäkerhetskopiering 81001: Säkerhetskopieringsobjekten kan inte tas bort eftersom det har aktiva återställningspunkter och det valda valvet är ett oföränderligt valv. 130001: Ett internt fel uppstod i Microsoft Azure Backup.
Stoppa skyddet med ta bort data 81001: Säkerhetskopieringsobjekten kan inte tas bort eftersom det har aktiva återställningspunkter och det valda valvet är ett oföränderligt valv.

Med DPM 2022 UR2 eller MABS v4 UR1 kan du välja alternativet att behålla onlineåterställningspunkter efter princip när du stoppar skyddet eller tar bort en datakälla från en skyddsgrupp från konsolen.
130001: Ett internt fel uppstod i Microsoft Azure Backup.
Minska kvarhållningsperioden online 810002: Minskning av kvarhållning under princip-/skyddsändring tillåts inte eftersom det valda valvet inte kan ändras. 130001: Ett internt fel uppstod i Microsoft Azure Backup.
Kommandot Remove-DPMChildDatasource 81001: Säkerhetskopieringsobjekten kan inte tas bort eftersom det har aktiva återställningspunkter och det valda valvet är ett oföränderligt valv.

Använd det nya alternativet -EnableOnlineRPsPruning med -KeepOnlineData för att endast behålla data upp till principens varaktighet.

Med DPM 2022 UR2 eller MABS v4 UR1 kan du välja alternativet att behålla onlineåterställningspunkter efter princip när du stoppar skyddet eller tar bort en datakälla från en skyddsgrupp från konsolen.
130001: Ett internt fel uppstod i Microsoft Azure Backup.

Använd flaggan -KeepOnlineData för att behålla data.

Oföränderlighetsstöd för MARS

I följande tabell visas de otillåtna åtgärderna för MARS när oföränderlighet är aktiverat i Recovery Services-valvet. Andra åtgärder, till exempel att öka kvarhållningen och exkludering av en fil/mapp från säkerhetskopian tillåts.

Otillåten åtgärd Resultat med den senaste MARS-agenten Resultat med gammal MARS-agent
Stoppa skyddet med ta bort data för systemtillstånd Fel 810001

Användare som försöker ta bort säkerhetskopieringsobjekt eller stoppa skyddet med borttagning av data där säkerhetskopieringsobjektet har en giltig (oexpirerad) återställningspunkt.
Fel 130001

Ett internt fel inträffade i Microsoft Azure Backup.
Stoppa skyddet med ta bort data Fel 810001

Användare som försöker ta bort säkerhetskopieringsobjekt eller stoppa skyddet med borttagning av data där säkerhetskopieringsobjektet har en giltig (oexpirerad) återställningspunkt.
Fel 130001

Ett internt fel inträffade i Microsoft Azure Backup.

MARS 2.0.9262.0 och senare ger möjlighet att stoppa skyddet och behålla återställningspunkter enligt principen i konsolen.
Minska kvarhållningsperioden online Användare som försöker ändra princip eller skydd med minskning av kvarhållning. 130001

Ett internt fel inträffade i Microsoft Azure Backup.
Ta bort OBPolicy med flaggan -DeleteBackup 810001

Användare som försöker ta bort säkerhetskopieringsobjekt eller stoppa skyddet med borttagning av data där säkerhetskopieringsobjektet har en giltig (oexpirerad) återställningspunkt.

Använd –EnablePruning-flaggan för att behålla säkerhetskopior fram till kvarhållningsperioden.
130001

Ett internt fel inträffade i Microsoft Azure Backup.

Använd inte flaggan -DeleteBackup .

MARS 2.0.9262.0 och senare ger möjlighet att stoppa skyddet och behålla återställningspunkter enligt principen i konsolen.

Nästa steg