Översikt över säkerhetsfunktioner i Azure Backup

Ett av de viktigaste stegen du kan vidta för att skydda dina data är att ha en tillförlitlig infrastruktur för säkerhetskopiering. Men det är lika viktigt att se till att dina data säkerhetskopieras på ett säkert sätt och att dina säkerhetskopior alltid skyddas. Azure Backup tillhandahåller säkerhet för din säkerhetskopieringsmiljö – både när dina data överförs och när de är i vila. Den här artikeln innehåller säkerhetsfunktioner i Azure Backup som hjälper dig att skydda dina säkerhetskopierade data och uppfylla företagets säkerhetsbehov.

Hantering och kontroll av identitet och användaråtkomst

Lagringskonton som används av Recovery Services-valv är isolerade och kan inte nås av användare i skadliga syften. Åtkomsten tillåts endast via Azure Backup-hanteringsåtgärder, till exempel återställning. Med Azure Backup kan du styra de hanterade åtgärderna via detaljerad åtkomst med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC). Med Azure RBAC kan du segregera uppgifter inom ditt team och endast bevilja den mängd åtkomst till användare som krävs för att utföra sina jobb.

Azure Backup innehåller tre inbyggda roller för att styra säkerhetskopieringshanteringsåtgärder:

• Säkerhetskopieringsdeltagare: Skapa och hantera säkerhetskopior, förutom att ta bort Recovery Services-valv och ge åtkomst till andra
• Säkerhetskopieringsoperatör: Allt en deltagare gör förutom att ta bort säkerhetskopierings- och hanteringsprinciper för säkerhetskopiering
• Säkerhetskopieringsläsare: behörigheter för att visa alla åtgärder för säkerhetskopieringshantering

Läs mer om rollbaserad åtkomstkontroll i Azure för att hantera Azure Backup.

Azure Backup har flera säkerhetskontroller inbyggda i tjänsten för att förhindra, identifiera och svara på säkerhetsrisker. Läs mer om säkerhetskontroller för Azure Backup.

Dataisolering med Azure Backup

Med Azure Backup lagras de välvda säkerhetskopieringsdata i Microsoft-hanterad Azure-prenumeration och klientorganisation. Externa användare eller gäster har ingen direkt åtkomst till den här lagringen eller dess innehåll, vilket säkerställer isoleringen av säkerhetskopierade data från produktionsmiljön där datakällan finns.

I Azure överförs all kommunikation och alla data under överföring på ett säkert sätt med HTTPS - och TLS 1.2+ -protokoll. Dessa data finns kvar i Azures stamnätverk och säkerställer tillförlitlig och effektiv dataöverföring. Vilande säkerhetskopieringsdata krypteras som standard med hjälp av Microsoft-hanterade nycklar. Du kan också använda egna nycklar för kryptering om du behöver större kontroll över data. För att förbättra skyddet kan du använda oföränderlighet, vilket förhindrar att data ändras eller tas bort före kvarhållningsperioden. Azure Backup ger dig olika alternativ som mjuk borttagning, stoppa säkerhetskopiering och ta bort data eller behålla data om du behöver stoppa säkerhetskopior när som helst. För att skydda kritiska åtgärder kan du lägga till MUA (Multi-User Authorization) som lägger till ytterligare skyddslager med hjälp av en Azure-resurs med namnet Azure Resource Guard.

Den här robusta metoden säkerställer att befintliga säkerhetskopior inte kan manipuleras eller tas bort av obehöriga användare även i en komprometterad miljö.

Internetanslutning krävs inte för säkerhetskopiering av virtuella Azure-datorer

Säkerhetskopiering av virtuella Azure-datorer kräver förflyttning av data från den virtuella datorns disk till Recovery Services-valvet. All nödvändig kommunikation och dataöverföring sker dock endast i Azure-stamnätverket utan att du behöver komma åt ditt virtuella nätverk. Därför kräver säkerhetskopiering av virtuella Azure-datorer som placeras i skyddade nätverk inte att du tillåter åtkomst till ip-adresser eller FQDN.

Privata slutpunkter för Azure Backup

Nu kan du använda privata slutpunkter för att säkerhetskopiera dina data på ett säkert sätt från servrar i ett virtuellt nätverk till recovery services-valvet. Den privata slutpunkten använder en IP-adress från VNET-adressutrymmet för valvet, så du behöver inte exponera dina virtuella nätverk för några offentliga IP-adresser. Privata slutpunkter kan användas för att säkerhetskopiera och återställa dina SQL- och SAP HANA-databaser som körs i dina virtuella Azure-datorer. Den kan också användas för dina lokala servrar med hjälp av MARS-agenten.

Läs mer om privata slutpunkter för Azure Backup här.

Kryptering av data

Kryptering skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Datakryptering sker i många steg i Azure Backup:

• I Azure skyddas data under överföring mellan Azure Storage och valvet av HTTPS. Dessa data finns kvar i Azure-stamnätverket.

• Säkerhetskopieringsdata krypteras automatiskt med plattformshanterade nycklar och du behöver inte vidta några explicita åtgärder för att aktivera dem. Du kan också kryptera säkerhetskopierade data med hjälp av kundhanterade nycklar som lagras i Azure Key Vault. Det gäller för alla arbetsbelastningar som säkerhetskopieras till recovery services-valvet.

• Azure Backup stöder säkerhetskopiering och återställning av virtuella Azure-datorer som har sina OS/datadiskar krypterade med Azure Disk Encryption (ADE) och virtuella datorer med CMK-krypterade diskar. Mer information finns i krypterade virtuella Azure-datorer och Azure Backup.

• När data säkerhetskopieras från lokala servrar med MARS-agenten krypteras data med en lösenfras innan de laddas upp till Azure Backup och dekrypteras först när de har laddats ned från Azure Backup. Läs mer om säkerhetsfunktioner för att skydda hybridsäkerhetskopior.

Mjuk borttagning

Azure Backup tillhandahåller säkerhetsfunktioner för att skydda säkerhetskopierade data även efter borttagningen. Om du tar bort säkerhetskopian av en virtuell dator med mjuk borttagning behålls säkerhetskopieringsdata i ytterligare 14 dagar, vilket gör det möjligt att återställa säkerhetskopieringsobjektet utan dataförlust. Ytterligare 14 dagars kvarhållning av säkerhetskopierade data i tillståndet "mjuk borttagning medför ingen kostnad. Läs mer om mjuk borttagning.

Azure Backup har nu också förbättrat mjuk borttagning för att ytterligare förbättra risken för att återställa data efter borttagningen. Läs mer.

Oföränderliga valv

Oföränderliga valv kan hjälpa dig att skydda dina säkerhetskopierade data genom att blockera åtgärder som kan leda till förlust av återställningspunkter. Dessutom kan du låsa den oföränderliga valvinställningen för att göra den oåterkallelig som kan förhindra att skadliga aktörer inaktiverar oföränderlighet och tar bort säkerhetskopior. Läs mer om oföränderliga valv.

Auktorisering för flera användare

Med multianvändarauktorisering (MUA) för Azure Backup kan du lägga till ytterligare ett skyddslager till kritiska åtgärder i dina Recovery Services-valv och säkerhetskopieringsvalv. För MUA använder Azure Backup en annan Azure-resurs som kallas Resource Guard för att säkerställa att kritiska åtgärder endast utförs med tillämplig auktorisering. Läs mer om auktorisering för flera användare för Azure Backup.

Förbättrad mjuk borttagning

Förbättrad mjuk borttagning ger dig möjlighet att återställa dina data även efter att de har tagits bort, oavsiktligt eller skadligt. Det fungerar genom att fördröja den permanenta borttagningen av data med en angiven varaktighet, vilket ger dig möjlighet att hämta dem. Du kan också göra mjuk borttagning alltid på för att förhindra att den inaktiveras. Läs mer om förbättrad mjuk borttagning för säkerhetskopiering.

Övervakning och aviseringar om misstänkt aktivitet

Azure Backup tillhandahåller inbyggda funktioner för övervakning och aviseringar för att visa och konfigurera åtgärder för händelser som rör Azure Backup. Säkerhetskopieringsrapporter fungerar som ett enda mål för spårning av användning, granskning av säkerhetskopior och återställningar samt identifiering av viktiga trender på olika detaljnivå. Med hjälp av Azure Backups övervaknings- och rapporteringsverktyg kan du varna dig för obehörig, misstänkt eller skadlig aktivitet så snart de inträffar.

Säkerhetsfunktioner för att skydda hybridsäkerhetskopior

Azure Backup-tjänsten använder MARS-agenten (Microsoft Azure Recovery Services) för att säkerhetskopiera och återställa filer, mappar och volymen eller systemtillståndet från en lokal dator till Azure. MARS tillhandahåller nu säkerhetsfunktioner för att skydda hybridsäkerhetskopior. Dessa funktioner omfattar bland annat:

• Ett ytterligare autentiseringslager läggs till när en kritisk åtgärd som att ändra en lösenfras utförs. Den här verifieringen är till för att säkerställa att sådana åtgärder endast kan utföras av användare som har giltiga Azure-autentiseringsuppgifter. Läs mer om de funktioner som förhindrar attacker.

• Borttagna säkerhetskopieringsdata behålls i ytterligare 14 dagar från borttagningsdatumet. Detta säkerställer dataåterställning inom en viss tidsperiod, så det sker ingen dataförlust även om en attack inträffar. Dessutom bibehålls ett större antal minsta återställningspunkter för att skydda mot skadade data. Läs mer om hur du återställer borttagna säkerhetskopieringsdata.

• För data som säkerhetskopieras med hjälp av MARS-agenten (Microsoft Azure Recovery Services) används en lösenfras för att säkerställa att data krypteras innan de laddas upp till Azure Backup och dekrypteras först efter nedladdning från Azure Backup. Lösenfrasens information är endast tillgänglig för den användare som skapade lösenfrasen och agenten som har konfigurerats med den. Inget överförs eller delas med tjänsten. Detta säkerställer fullständig säkerhet för dina data, eftersom alla data som oavsiktligt exponeras (till exempel en man-in-the-middle-attack i nätverket) är oanvändbara utan lösenfrasen och lösenfrasen inte skickas via nätverket.

Säkerhetsstatus och säkerhetsnivåer

Azure Backup tillhandahåller säkerhetsfunktioner på valvnivå för att skydda säkerhetskopieringsdata som lagras i den. Dessa säkerhetsåtgärder omfattar de inställningar som är associerade med Azure Backup-lösningen för valven och de skyddade datakällor som finns i valvet.

Säkerhetsnivåerna för Azure Backup-valv kategoriseras på följande sätt:

• Utmärkt (högsta): Den här nivån representerar den högsta säkerheten, vilket garanterar ett omfattande skydd. Du kan uppnå detta när alla säkerhetskopierade data skyddas från oavsiktliga borttagningar och skyddar mot utpressningstrojanattacker. För att uppnå denna höga säkerhetsnivå måste följande villkor uppfyllas:

  • Inställningen Oföränderlighet eller mjuk borttagning av valv måste vara aktiverad och oåterkallelig (låst/alltid på).
  • Mua (Multi-User Authorization) måste vara aktiverat i valvet.

• Bra (adekvat): Detta innebär en robust säkerhetsnivå som garanterar tillförlitligt dataskydd. Den skyddar befintliga säkerhetskopior från oavsiktlig borttagning och ökar möjligheten till dataåterställning. För att uppnå den här säkerhetsnivån måste du aktivera antingen oföränderlighet med ett lås eller mjuk borttagning.

• Fair (Minimum/Average): Detta representerar en grundläggande säkerhetsnivå som är lämplig för standardskyddskrav. Viktiga säkerhetskopieringsåtgärder drar nytta av ett extra skyddslager. För att uppnå minimal säkerhet måste du aktivera MUA (Multi-User Authorization) i valvet.

• Poor (Bad/None): Detta indikerar en brist i säkerhetsåtgärder, vilket är mindre lämpligt för dataskydd. På den här nivån finns varken avancerade skyddsfunktioner eller enbart reversibla funktioner på plats. Säkerheten på Ingen-nivå skyddar främst mot oavsiktliga borttagningar.

Du kan visa och hantera säkerhetsnivåerna för alla datakällor i deras respektive valv via Azure Business Continuity Center.

Efterlevnad av standardiserade säkerhetskrav

För att hjälpa organisationer att uppfylla nationella/regionala och branschspecifika krav som styr insamling och användning av enskildas data erbjuder Microsoft Azure och Azure Backup en omfattande uppsättning certifieringar och intyg. Se listan över efterlevnadscertifieringar

Nästa steg

• Säkerhetsfunktioner för att skydda molnarbetsbelastningar som använder Azure Backup
• Säkerhetsfunktioner för att skydda hybridsäkerhetskopior som använder Azure Backup