Översikt över säkerhetsfunktioner i Azure Backup

Ett av de viktigaste stegen du kan vidta för att skydda dina data är att ha en tillförlitlig infrastruktur för säkerhetskopiering. Men det är lika viktigt att se till att dina data säkerhetskopieras på ett säkert sätt och att dina säkerhetskopior alltid skyddas. Azure Backup ger säkerhet för din säkerhetskopieringsmiljö – både när dina data överförs och är i vila. Den här artikeln innehåller säkerhetsfunktioner i Azure Backup som hjälper dig att skydda dina säkerhetskopierade data och uppfylla företagets säkerhetsbehov.

Hantering och kontroll av identitets- och användaråtkomst

Lagringskonton som används av Recovery Services-valv är isolerade och kan inte nås av användare i skadliga syften. Åtkomsten tillåts endast via Azure Backup hanteringsåtgärder, till exempel återställning. Azure Backup gör att du kan styra de hanterade åtgärderna via detaljerad åtkomst med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC). Med Azure RBAC kan du segregera uppgifter i ditt team och endast bevilja den mängd åtkomst till användare som krävs för att utföra sitt arbete.

Azure Backup har tre inbyggda roller för att styra säkerhetskopieringshanteringsåtgärder:

• Säkerhetskopieringsdeltagare – för att skapa och hantera säkerhetskopior, förutom att ta bort Recovery Services-valv och ge åtkomst till andra
• Säkerhetskopieringsoperatör – allt en deltagare gör förutom att ta bort säkerhetskopierings- och hanteringsprinciper för säkerhetskopiering
• Backup Reader – behörighet att visa alla åtgärder för säkerhetskopieringshantering

Läs mer om rollbaserad åtkomstkontroll i Azure för att hantera Azure Backup.

Azure Backup har flera inbyggda säkerhetskontroller i tjänsten för att förhindra, identifiera och reagera på säkerhetsproblem. Läs mer om säkerhetskontroller för Azure Backup.

Separation mellan gäst- och Azure Storage

Med Azure Backup, som omfattar säkerhetskopiering av virtuella datorer och SQL och SAP HANA i VM-säkerhetskopiering, lagras säkerhetskopierade data i Azure Storage och gästen har ingen direkt åtkomst till lagring av säkerhetskopior eller dess innehåll. Med säkerhetskopieringen av den virtuella datorn skapas och lagras ögonblicksbilder av säkerhetskopior av Azure Fabric där gästen inte har något annat engagemang än att ta bort arbetsbelastningen för programkonsekventa säkerhetskopieringar. Med SQL och SAP HANA får säkerhetskopieringstillägget tillfällig åtkomst för att skriva till specifika blobar. På så sätt kan befintliga säkerhetskopior inte manipuleras eller tas bort av gästen, även i en komprometterad miljö.

Internetanslutning krävs inte för säkerhetskopiering av virtuella Azure-datorer

Säkerhetskopiering av virtuella Azure-datorer kräver förflyttning av data från den virtuella datorns disk till Recovery Services-valvet. All kommunikation och all dataöverföring som krävs sker dock bara i Azure-stamnätverket utan att du behöver komma åt ditt virtuella nätverk. Därför kräver säkerhetskopiering av virtuella Azure-datorer som placerats i skyddade nätverk inte att du tillåter åtkomst till IP-adresser eller FQDN.

Privata slutpunkter för Azure Backup

Nu kan du använda privata slutpunkter för att säkerhetskopiera dina data på ett säkert sätt från servrar i ett virtuellt nätverk till recovery services-valvet. Den privata slutpunkten använder en IP-adress från VNET-adressutrymmet för ditt valv, så du behöver inte exponera dina virtuella nätverk för några offentliga IP-adresser. Privata slutpunkter kan användas för att säkerhetskopiera och återställa dina SQL- och SAP HANA-databaser som körs i dina virtuella Azure-datorer. Den kan också användas för dina lokala servrar med hjälp av MARS-agenten.

Läs mer om privata slutpunkter för Azure Backup här.

Kryptering av data

Kryptering skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. Datakryptering sker i många steg i Azure Backup:

• I Azure skyddas data under överföring mellan Azure Storage och valvet av HTTPS. Dessa data finns kvar i Azure-stamnätverket.

• Säkerhetskopierade data krypteras automatiskt med plattformshanterade nycklar och du behöver inte vidta några explicita åtgärder för att aktivera dem. Du kan också kryptera säkerhetskopierade data med hjälp av kundhanterade nycklar som lagras i Azure Key Vault. Det gäller för alla arbetsbelastningar som säkerhetskopieras till ditt Recovery Services-valv.

• Azure Backup stöder säkerhetskopiering och återställning av virtuella Azure-datorer som har sina OS/datadiskar krypterade med Azure Disk Encryption (ADE) och virtuella datorer med CMK-krypterade diskar. Mer information finns i krypterade virtuella Azure-datorer och Azure Backup.

• När data säkerhetskopieras från lokala servrar med MARS-agenten krypteras data med en lösenfras före uppladdning till Azure Backup och dekrypteras först när de har laddats ned från Azure Backup. Läs mer om säkerhetsfunktioner för att skydda hybridsäkerhetskopior.

Mjuk borttagning

Azure Backup tillhandahåller säkerhetsfunktioner för att skydda säkerhetskopierade data även efter borttagningen. Om du tar bort säkerhetskopian av en virtuell dator med mjuk borttagning behålls säkerhetskopieringsdata i ytterligare 14 dagar, vilket gör att säkerhetskopieringsobjektet kan återställas utan dataförlust. Ytterligare 14 dagars kvarhållning av säkerhetskopierade data i läget "mjuk borttagning medför inga kostnader. Läs mer om mjuk borttagning.

Azure Backup har nu också förbättrat mjuk borttagning för att ytterligare förbättra risken för att återställa data efter borttagning. Läs mer.

Oföränderliga valv

Oföränderliga valv kan hjälpa dig att skydda dina säkerhetskopierade data genom att blockera alla åtgärder som kan leda till förlust av återställningspunkter. Dessutom kan du låsa den oföränderliga valvinställningen så att den inte kan ångras, vilket kan förhindra att skadliga aktörer inaktiverar oföränderlighet och tar bort säkerhetskopior. Läs mer om oföränderliga valv.

Auktorisering för flera användare

Med multianvändarauktorisering (MUA) för Azure Backup kan du lägga till ytterligare ett skyddslager för kritiska åtgärder i dina Recovery Services-valv och säkerhetskopieringsvalv. För MUA använder Azure Backup en annan Azure-resurs som kallas Resource Guard för att säkerställa att kritiska åtgärder endast utförs med tillämplig auktorisering. Läs mer om auktorisering för flera användare för Azure Backup.

Förbättrad mjuk borttagning

Förbättrad mjuk borttagning ger dig möjlighet att återställa dina data även efter att de har tagits bort, av misstag eller på ett skadligt sätt. Det fungerar genom att fördröja den permanenta borttagningen av data med en angiven varaktighet, vilket ger dig möjlighet att hämta dem. Du kan också alltid aktivera mjuk borttagning för att förhindra att den inaktiveras. Läs mer om förbättrad mjuk borttagning för säkerhetskopiering.

Övervakning och aviseringar om misstänkt aktivitet

Azure Backup innehåller inbyggda funktioner för övervakning och avisering för att visa och konfigurera åtgärder för händelser relaterade till Azure Backup. Säkerhetskopieringsrapporter fungerar som ett enda mål för spårning av användning, granskning av säkerhetskopior och återställningar samt identifiering av viktiga trender på olika detaljnivåer. Om du använder Azure Backup övervaknings- och rapporteringsverktyg kan du få aviseringar om obehöriga, misstänkta eller skadliga aktiviteter så snart de inträffar.

Säkerhetsfunktioner för att skydda hybridsäkerhetskopior

Azure Backup-tjänsten använder MARS-agenten (Microsoft Azure Recovery Services) för att säkerhetskopiera och återställa filer, mappar och volymen eller systemtillståndet från en lokal dator till Azure. MARS tillhandahåller nu säkerhetsfunktioner för att skydda hybridsäkerhetskopieringar. Dessa funktioner omfattar bland annat:

• Ett ytterligare autentiseringslager läggs till när en kritisk åtgärd som att ändra en lösenfras utförs. Den här verifieringen är till för att säkerställa att sådana åtgärder endast kan utföras av användare som har giltiga Azure-autentiseringsuppgifter. Läs mer om de funktioner som förhindrar attacker.

• Borttagna säkerhetskopierade data behålls i ytterligare 14 dagar från borttagningsdatumet. Detta säkerställer dataåterställning inom en viss tidsperiod, så det sker ingen dataförlust även om en attack inträffar. Dessutom bibehålls ett större antal minsta återställningspunkter för att skydda mot skadade data. Läs mer om att återställa borttagna säkerhetskopierade data.

• För data som säkerhetskopieras med MARS-agenten (Microsoft Azure Recovery Services) används en lösenfras för att säkerställa att data krypteras före uppladdning till Azure Backup och dekrypteras först efter nedladdning från Azure Backup. Lösenfrasens information är endast tillgänglig för den användare som skapade lösenfrasen och agenten som har konfigurerats med den. Inget överförs eller delas med tjänsten. Detta säkerställer fullständig säkerhet för dina data, eftersom alla data som oavsiktligt exponeras (till exempel en man-in-the-middle-attack i nätverket) inte kan användas utan lösenfrasen och lösenfrasen inte skickas via nätverket.

Efterlevnad av standardiserade säkerhetskrav

För att hjälpa organisationer att uppfylla nationella/regionala och branschspecifika krav som styr insamling och användning av enskilda personers data erbjuder Microsoft Azure & Azure Backup en omfattande uppsättning certifieringar och intyg. Se listan över efterlevnadscertifieringar

Nästa steg

• Säkerhetsfunktioner för att skydda molnarbetsbelastningar som använder Azure Backup
• Säkerhetsfunktioner för att skydda hybridsäkerhetskopior som använder Azure Backup