分享方式:


安全性功能,可協助保護使用 Azure 備份的混合式備份

諸如惡意程式碼、勒索軟體及入侵等安全性問題,現在愈來愈受到重視。 這些安全性問題就成本面與資料面來說,代價都十分高昂。 為了防範這類攻擊,Azure 備份現在提供安全性功能來協助保護混合式備份。 本文涵蓋如何使用 Microsoft Azure 備份伺服器 (MABS)Data Protection Manager (DPM)Microsoft Azure 復原服務 (MARS) 代理程式啟用及運用這些功能,以保護內部部署的工作負載。 這些功能包括:

  • 預護。 每當執行重要作業 (如變更複雜密碼) 時,就會多一道驗證。 這項驗證用來確保只有具備有效 Azure 認證的使用者,才能執行這類作業。
  • 警示。 每當執行重要作業 (如刪除備份資料) 時,就會傳送電子郵件通知給訂用帳戶管理員。 此電子郵件可確保使用者快速收到這類動作的通知。
  • 復原。 刪除的備份資料會在刪除日期後再額外保留 14 天。 這可確保指定時間週期內的資料復原能力,所以即使發生攻擊,也不會遺失任何資料。 此外,會維護較多的最低復原點,以防範損毀資料。

注意

在您的復原服務保存庫上啟用多使用者授權 (MUA),為屬於目前停用安全性功能的重大作業增加額外一層保護。 深入了解

最小版本需求

只有在使用時,才啟用安全性功能:

  • Azure 備份代理程式:最低代理程式版本 2.0.9052。 啟用這些功能之後,請升級代理程式版本,以執行重要作業。
  • Azure 備份伺服器:Azure 備份代理程式最低版本 2.0.9052,搭配 Azure 備份伺服器更新 1
  • System Center Data Protection Manager:Azure 備份代理程式最低版本 2.0.9052,搭配 Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2

注意

如果您使用基礎結構即服務 (IaaS) VM 備份,請確定您未啟用安全性功能。 目前,這些功能不適用於 IaaS VM 備份,因此,啟用這些功能不會有任何影響。

啟用安全性功能

如果您在建立復原服務保存庫,您可以使用所有安全性功能。 如果您在使用現有的保存庫,請依照下列這些步驟啟用安全性功能:

  1. 使用您的 Azure 認證登入 Azure 入口網站。

  2. 選取 [瀏覽],然後輸入 [復原服務]

    Screenshot of Azure portal Browse option

    隨即會出現 [復原服務保存庫] 清單。 從此清單中選取保存庫。 選取的保存庫儀表板隨即開啟。

  3. 從保存庫下顯示的項目清單中,選取 [設定] 下的 [屬性]

    Screenshot of Recovery Services vault options

  4. 在 [安全性設定] 下,選取 [更新]

    Screenshot of Recovery Services vault properties

    更新連結會開啟 [安全性設定] 窗格,提供功能的摘要,並讓您啟用功能。

  5. 啟用安全性功能,並選取 [儲存]

    Screenshot of security settings

復原已刪除的備份資料

如果已啟用安全性功能設定,若已執行「停止備份並刪除備份資料」作業,Azure 備份會保留已刪除的備份資料額外 14 天,不會立即將其刪除。 若要在 14 天的期間內還原此資料,請執行下列步驟,根據您使用的工具而定:

Azure 復原服務代理程式使用者:

  1. 如果原本進行備份的電腦仍可使用,請重新保護遭刪除的資料來源,並使用 Azure 復原服務中的「將資料復原到相同電腦」,以便從所有舊的復原點復原資料。
  2. 如果此電腦無法使用,請使用復原到其他電腦,以使用另一部 Azure 復原服務電腦來取得此資料。

若為 Azure 備份伺服器使用者:

  1. 如果原本進行備份的伺服器仍可使用,請重新保護已刪除的資料來源,並使用「復原資料」功能來從舊的復原點復原資料。
  2. 如果此伺服器無法使用,請使用「從其他 Azure 備份伺服器復原資料」,以使用另一個 Azure 備份伺服器執行個體來取得此資料。

Data Protection Manager 使用者:

  1. 如果原本進行備份的伺服器仍可使用,請重新保護已刪除的資料來源,並使用「復原資料」功能來從舊的復原點復原資料。
  2. 如果此伺服器無法使用,請使用新增外部 DPM,以使用另一部 Data Protection Manager 伺服器來取得此資料。

防止攻擊

已新增檢查以確保只有有效的使用者才能執行各種作業。 其中包括新增額外一道驗證,並維護復原用途所需的最小保留範圍。

用來執行重要作業的驗證

針對重要作業新增額外一層驗證時,系統會提示您在執行適用於 DPM、MABS 和 MARS 的「停止保護並刪除資料」「變更複雜密碼」作業時輸入安全性 PIN 碼。

此外,使用 MARS 2.0.9262.0 版和更新版本,從 MARS 檔案/資料夾備份中移除磁碟區的作業、新增現有磁碟區的新排除設定、減少保留持續時間,以及移至較不頻繁的備份排程,也會使用安全性釘選來保護其他安全性。

注意

目前,對於下列 DPM 和 MABS 版本,停止保護並刪除資料對於線上儲存體支援安全性 PIN 碼:

  • DPM 2016 UR9 或更新版本
  • DPM 2019 UR1 或更新版本
  • MABS v3 UR1 或更新版本

若要收到這個 PIN:

  1. 登入 Azure 入口網站。
  2. 瀏覽至 [復原服務保存庫]>[設定]>[屬性]
  3. 在 [安全性 PIN 碼] 下,選取 [產生]。 這會開啟窗格,其中包含要在 Azure 復原服務代理程式使用者介面中輸入的 PIN。 此 PIN 碼的有效時間只有五分鐘,而且會在該期間後自動產生。

維護最小的保留範圍

為了確保永遠都有有效的復原點可用,已新增下列檢查︰

  • 若為每日保留,最少應該保留天。
  • 若為每週保留,最少應該保留週。
  • 若為每月保留,最少應該保留個月。
  • 若為每年保留,最少應該保留年。

重要作業的通知

執行重要作業時,訂用帳戶管理員通常會收到一封含有作業相關詳細資訊的電子郵件通知。 您可以使用 Azure 入口網站,設定這些通知的其他電子郵件收件者。

本文所提的安全性功能可提供對付目標攻擊的防禦機制。 更重要的是,如果發生攻擊,這些功能可讓您復原資料。

針對錯誤進行疑難排解

作業 錯誤詳細資料 解決方法
原則變更 無法修改備份原則。 錯誤:由於發生內部服務錯誤 [0x29834],導致目前的作業失敗。 請稍後再重試操作。 如果問題持續發生, 請連絡 Microsoft 支援服務。 原因:
當安全性設定已啟用,而您嘗試將保留範圍縮減至低於上面指定的最小值,且您使用不受支援的版本 (本文的第一個附註會指出支援的版本) 時,就會出現此錯誤。
建議的動作:
在此情況下,您應該將保留期限設定為高於指定的最小保留期限 (若是每日則 7 天、若是每週則 4 週、若是每月則 3 個月,若是每年則 1 年),以繼續進行與原則有關的更新。 (選用) 較好的方法是更新備份代理程式、Azure 備份伺服器和/或 DPM UR,以利用所有安全性更新。
變更複雜密碼 輸入的安全性 PIN 碼不正確。 (識別碼:100130) 請提供正確的安全性 PIN 碼以完成此作業。 原因:
當您在執行重要作業 (例如變更複雜密碼) 時輸入無效或已到期的安全性 PIN 碼時,就會出現此錯誤。
建議的動作:
若要完成作業,您必須輸入有效的安全性 PIN 碼。 若要取得 PIN 碼,請登入 Azure 入口網站,並導覽至 [復原服務保存庫] > [設定] > [屬性] > [產生安全性 PIN 碼]。 請使用這個 PIN 碼來變更複雜密碼。
變更複雜密碼 作業失敗。 識別碼:120002 原因:
當安全性設定已啟用,而您嘗試變更複雜密碼,且您使用不受支援的版本時,就會出現此錯誤 (本文的第一個附註會指出有效的版本)。
建議的動作:
若要變更複雜密碼,您必須先將備份代理程式更新為最低版本 2.0.9052、將 Azure 備份伺服器至少更新為更新 1,和/或將 DPM 至少更新為 DPM 2012 R2 UR12 或 DPM 2016 UR2 (下面的下載連結),然後輸入有效的安全性 PIN 碼。 若要取得 PIN 碼,請登入 Azure 入口網站,並導覽至 [復原服務保存庫] > [設定] > [屬性] > [產生安全性 PIN 碼]。 請使用這個 PIN 碼來變更複雜密碼。

不變性支援

啟用復原服務保存庫的不變性時,會封鎖減少雲端備份保留或移除內部部署資料來源雲端備份的作業。

DPM 和 MABS 的不變性支援

在 DPM 2022 UR1 和 MABS v4 的 MARS 代理程式 2.0.9250.0 版和更新版本支援此功能。

下表列出連線到不可變復原 DPM 上所不允許的作業:

不可變保存庫上的作業 DPM 2022 UR1、MABS v4 和最新 MARS 代理程序的結果。

您可以使用 DPM 2022 UR2 或 MABS v4 UR1,在停止保護或從主控台的保護群組移除資料來源時,選取依原則保留線上復原點的選項。
使用較舊的 DPM/MABS 和/或 MARS 代理程序的結果
從針對線上備份設定的保護群組移除資料來源 81001:無法刪除備份項目,因為其有作用中的復原點,而且選取的保存庫是固定保存庫。 130001:Microsoft Azure 備份發生內部錯誤。
停止使用刪除資料來進行保護 81001:無法刪除備份項目,因為其有作用中的復原點,而且選取的保存庫是固定保存庫。

您可以使用 DPM 2022 UR2 或 MABS v4 UR1,在停止保護或從主控台的保護群組移除資料來源時,選取依原則保留線上復原點的選項。
130001:Microsoft Azure 備份發生內部錯誤。
減少線上保留期間 810002:不允許在原則/保護修改期間減少保留,因為選取的保存庫不可變更。 130001:Microsoft Azure 備份發生內部錯誤。
Remove-DPMChildDatasource 命令 81001:無法刪除備份項目,因為其有作用中的復原點,而且選取的保存庫是固定保存庫。

使用新的選項 -EnableOnlineRPsPruning 搭配 -KeepOnlineData 來保留資料,僅到原則持續時間為止。

您可以使用 DPM 2022 UR2 或 MABS v4 UR1,在停止保護或從主控台的保護群組移除資料來源時,選取依原則保留線上復原點的選項。
130001:Microsoft Azure 備份發生內部錯誤。

使用 -KeepOnlineData 旗標來保留資料。

MARS 的不變性支援

下表列出在復原服務保存庫上啟用不變性時,MARS 不允許的作業。 允許其他作業,例如增加保留期和排除備份的檔案/資料夾。

不允許的作業 具有最新 MARS 代理程式的結果 使用舊 MARS 代理程式的結果
停止使用刪除系統狀態的資料來進行保護 錯誤 810001

使用者嘗試刪除備份項目或停止使用刪除備份項目具有有效 (未到期) 復原點資料的保護。
錯誤 130001

Microsoft Azure 備份發生內部錯誤。
停止使用刪除資料來進行保護 錯誤 810001

使用者嘗試刪除備份項目或停止使用刪除備份項目具有有效 (未到期) 復原點資料的保護。
錯誤 130001

Microsoft Azure 備份發生內部錯誤。

MARS 2.0.9262.0 和更新版本提供停止保護,以及根據主控台中原則保留復原點的選項。
減少線上保留期間 使用者嘗試修改原則或使用減少保留期的保護。 130001

Microsoft Azure 備份發生內部錯誤。
Remove-OBPolicy 與 -DeleteBackup 旗標 810001

使用者嘗試刪除備份項目或停止使用刪除備份項目具有有效 (未到期) 復原點資料的保護。

使用 –EnablePruning 旗標,將備份保留直到其保留期間。
130001

Microsoft Azure 備份發生內部錯誤。

請勿使用 -DeleteBackup 旗標。

MARS 2.0.9262.0 和更新版本提供停止保護,以及根據主控台中原則保留復原點的選項。

下一步