Vanliga frågor och svar – Skydda säkerhetskopior från utpressningstrojaner

Dina säkerhetskopierade data som lagras säkert i en Azure-resurs som heter Recovery Services Vault eller Backup Vault är isolerade. Det här valvet är en hanteringsentitet, vilket innebär att alla program eller gäster inte har direkt åtkomst till dessa säkerhetskopior, vilket förhindrar skadliga aktörer att utföra destruktiva åtgärder på lagringen av säkerhetskopior, till exempel borttagningar eller manipulering av säkerhetskopieringsdata.

Följande metoder skyddar säkerhetskopior mot säkerhets- och utpressningstrojanhot:

• Hantera åtkomst till säkerhetskopiera resurser med rollbaserad åtkomstkontroll i Azure (Azure RBAC).

  • Med Azure Backup kan du segregera uppgifter inom ditt team för att endast bevilja den mängd åtkomst som krävs för att teammedlemmarna ska kunna utföra sina jobb med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera Azure Backup.
  • Använd Privileged Identity Management för att tillhandahålla tidsbaserad och godkännandebaserad rollaktivering för att minska risken för överdrivna, onödiga eller missbrukade behörigheter. Läs mer.

• Se till att mjuk borttagning är aktiverad för att skydda säkerhetskopior från oavsiktliga eller skadliga borttagningar

  Mjuk borttagning är aktiverat som standard i ett nyligen skapat Recovery Services-valv. Den skyddar säkerhetskopierade data från oavsiktliga eller skadliga borttagningar i 14 dagar utan extra kostnad, vilket gör att säkerhetskopieringsobjektet kan återställas innan det går permanent förlorat. Vi rekommenderar att du inte inaktiverar den här funktionen. Om säkerhetskopior tas bort och mjuk borttagning inte är aktiverat kan du eller Microsoft inte återställa borttagna säkerhetskopierade data. Använd MUA (Multi-User Authorization) som ytterligare ett skyddslager för dessa kritiska åtgärder i Recovery Services-valvet för att verifiera åtgärden innan du inaktiverar den här funktionen. Mer information finns i Aktivera, hantera och när du ska inaktivera mjuk borttagning för Azure Backup?

  Vi rekommenderar också att du använder MUA (Multi-User Authorization) för att skydda kritiska åtgärder i Recovery Services-valvet.

• Se till att MUA (Multi-User Authorization) är aktiverat för att skydda mot ett otillåtet administratörsscenario.

  MUA för Azure Backup använder en ny resurs som kallas Resource Guard för att säkerställa att kritiska åtgärder, till exempel att inaktivera mjuk borttagning, stoppa och ta bort säkerhetskopior eller minska kvarhållningen av säkerhetskopieringsprinciper, endast utförs med tillämplig auktorisering. Mer information finns i:

  • Hur fungerar MUA med Resource Guard?
  • Ge just-in-time-åtkomst på Resource Guard med hjälp av Privileged Identity Management.

• Konfigurera aviseringar och meddelanden för kritiska säkerhetskopieringsåtgärder.

  Azure Backup tillhandahåller flera funktioner för övervakning och meddelanden för en mängd olika scenarier. Se till att de är korrekt konfigurerade för aviseringar i tid och nödvändiga åtgärder. Läs mer

  Vi rekommenderar att du använder Azure Monitor för aviseringar för att ta emot aviseringar/meddelanden om kritiska åtgärder.

• Se till att nätverksanslutningen mellan säkerhetskopieringstjänster och arbetsbelastningar är säker.

  • För virtuella Azure-datorer finns data under överföring kvar i Azures stamnätverk utan att du behöver komma åt ditt virtuella nätverk. Därför kräver säkerhetskopiering av virtuella Azure-datorer som placeras i skyddade nätverk inte att du tillåter åtkomst till ip-adresser eller FQDN.
  • För databaser på en virtuell Azure-dator skyddar du den utgående åtkomsten med följande krav på nätverksanslutning för SQL Server för SAP HANA-databasen på en virtuell Azure-dator.
  • För PaaS-resurser, till exempel PostgreSQL, sker kommunikationen i Azure-nätverket. För arbetsbelastningar (till exempel Azure Files, Azure Disk och Azure Blobs) där säkerhetskopieringsdata lagras på driftnivån måste du tillåta att Azure-tjänster i listan över betrodda tjänster får åtkomst till lagringskontot i Nätverksinställningar för motsvarande lagringskonto.
  • För lokala arbetsbelastningar som skyddas med MARS eller MABS kan du använda Microsoft-peering för ExpressRoute eller Virtuellt privat nätverk (VPN) för att ansluta till Azure. Använd privat peering när du använder privata slutpunkter för säkerhetskopiering. Nätverkstrafik mellan peer-kopplade virtuella nätverk förblir privat.

  Mer information finns i:

  • Koppla samman privata nätverk.
  • Upprätta åtkomst till privata nätverk till Azure-tjänster.
  • Använd tjänsttaggar för Azure Virtual Network för att definiera nätverksåtkomstkontroller för säkerhetskopieringsresurser i nätverkssäkerhetsgrupper (NSG:er) eller Azure Firewall.
  • Säkerhetsfunktioner för hybridsäkerhetskopior som använder Azure Backup.

• Se till att säkerhetskopieringsdata är krypterade.

  Som standard krypteras vilande säkerhetskopieringsdata med hjälp av plattformshanterade nycklar (PMK). För välvda säkerhetskopior kan du välja att använda kundhanterade nycklar (CMK) för att äga och hantera krypteringsnycklarna själv. Dessutom kan du konfigurera kryptering på lagringsinfrastrukturen med hjälp av kryptering på infrastrukturnivå, vilket tillsammans med CMK-kryptering ger dubbel kryptering av vilande data.

  • Med MARS- eller MABS-säkerhetskopiering kan du använda din egen lösenfras för att tillåta kryptering från slutpunkt till slutpunkt för data. Se dock till att den associerade krypteringslösenfrasen lagras säkert på en annan plats (förutom källdatorn), helst i Azure Key Vault. Håll reda på alla lösenfraser om du har flera datorer som säkerhetskopieras med MARS-agenterna.
  • Du kan också säkerhetskopiera krypterade virtuella Azure-datorer (krypterade med Azure Disk Encryption) och krypterade SQL-servrar som körs på virtuella Azure-datorer (krypterade med TDE) för att säkerställa kryptering från slutpunkt till slutpunkt.

  Mer information finns i:

  • Kryptering av data i Recovery Services-valvet med hjälp av CMK, PMK, kryptering på infrastrukturnivå.
  • Azure Storage-kryptering för vilande data.
  • Transport Layer Security i Azure Backup.

• Övervaka dina säkerhetskopior regelbundet

  Använd övervakningslösningarna (till exempel Backup Explorer) för att identifiera datorer i organisationen som inte skyddas av Azure Backup, övervaka dina säkerhetskopieringsobjekt, säkerhetskopieringsjobb och principer. Mer information finns i:

  • Övervaknings- och rapporteringsscenarier.
  • Övervaka dina säkerhetskopior med Backup Explorer.
  • Övervaka säkerhetskopieringsarbetsbelastningar med hjälp av Azure Portal (med Recovery Services-valv).
  • Övervaka säkerhetskopieringshälsa med hjälp av Azure Monitor-mått.
  • Anpassad övervakning och aviseringar med hjälp av Azure Monitor Log Analytics-arbetsytan.

• Verifiera säkerhetskopior med jämna mellanrum genom att utföra teståterställningar.

  Utför regelbundet dataåterställningstestet av dina säkerhetskopior för att verifiera säkerhetskopieringskonfigurationerna och tillgängligheten för säkerhetskopieringsdata uppfyller organisationens återställningsbehov samt förväntade RPO- och RTO-krav. Definiera din strategi för återställning av säkerhetskopior så att den omfattar omfånget för teståterställning och frekvens för att utföra en teståterställning.

• Aktivera Mjuk borttagning är aktiverat för att skydda säkerhetskopior från oavsiktliga eller skadliga borttagningar.

  Mjuk borttagning är en användbar funktion som hjälper dig att hantera dataförlust. Mjuk borttagning behåller säkerhetskopieringsdata i 14 dagar, vilket gör att säkerhetskopieringsobjektet kan återställas innan det förloras permanent. Mer information finns i Aktivera, hantera och inaktivera mjuk borttagning för Azure Backup?

• Se till att MUA (Multi-User Authorization) är aktiverat för ytterligare ett skyddslager.

  MUA för Azure Backup använder en ny resurs med namnet Resource Guard för att säkerställa att kritiska åtgärder, till exempel att inaktivera mjuk borttagning, stoppa och ta bort säkerhetskopior eller minska kvarhållningen av säkerhetskopieringsprinciper, endast utförs med tillämplig auktorisering.

  Mer information finns i:

  • Hur fungerar MUA med Resource Guard?
  • Ge just-in-time-åtkomst på Resource Guard med hjälp av Privileged Identity Management.

Om säkerhetskopieringen har aktiverats i källsystemet och säkerhetskopiorna är felfria före angreppspunkten bör du överväga följande åtgärder:

• Granska incidenttidslinjen för att uppskatta påverkan på produktionsarbetsbelastningar.
• Identifiera den senaste rena återställningspunkten som skapades före påverkan.
• Granska kvarhållningstiden för de befintliga återställningspunkterna. Om det krävs mer tid för att återställa från ett angrepp kan du överväga att förlänga kvarhållningstiden i säkerhetskopieringsprincipen.
• Utför återställning till ett isolerat och säkert nätverk.
• Utför återställningar på mindre datauppsättningar (till exempel återställning på objektnivå) för att säkerställa felfria återställningspunkter.
• Sök igenom återställde data efter tecken på infektion för att säkerställa att de inte komprometteras.
• När data har kontrollerats vara rena använder du dem för produktionssystemet.
• När du är klar kontrollerar du att säkerhetskopiorna är konfigurerade och felfria för de återställda arbetsbelastningarna.
• Identifiera luckor för att kontrollera var processen inte fungerade som förväntat. Hitta möjligheter att förbättra processen.

Nej, den infekterade återställningspunkten (d.v.s. säkerhetskopierade data som innehåller infekterade data) kan inte spridas till tidigare icke-infekterade återställningspunkter.

Om du behöver mer tid för att undersöka och återställa vid påverkan kan du förlänga förfallodatumet för att säkerställa att återställningspunkterna inte rensas (enligt principen). Läs mer så att de inte tas bort av kvarhållningsprincipen.