Características de seguridad para proteger copias de seguridad híbridas mediante Azure Backup

Cada vez es mayor la preocupación que generan problemas de seguridad como malware, ransomware e intrusión. Estos problemas de seguridad pueden ser costosos, en términos de dinero y datos. Para protegerse contra dichos ataques, Azure Backup proporciona características de seguridad que protegen las copias de seguridad híbridas. En este artículo, se explica cómo habilitar estas características y aprovecharlas para proteger cargas de trabajo locales mediante Microsoft Azure Backup Server (MABS), Data Protection Manager (DPM) y el agente de Microsoft Azure Recovery Services (MARS). Estas características son:

  • Prevención. Se agrega una capa adicional de autenticación cada vez que se realiza una operación crítica, como cambiar la frase de contraseña. Esta validación se realiza para asegurarse de que dichas operaciones solo pueden realizarlas usuarios que tengan credenciales de Azure válidas.
  • Alertas. Se envía una notificación por correo electrónico al administrador de suscripciones cada vez que se realiza una operación crítica, como eliminar datos de copia de seguridad. Este correo electrónico garantiza que el usuario reciba una notificación rápidamente acerca de dichas acciones.
  • Recuperación. Los datos de copia de seguridad eliminados se conservan durante 14 días a partir de la fecha de la eliminación. Esto garantiza la capacidad de recuperación de los datos en un período dado, con el fin de que no haya pérdida de datos aunque se produzca un ataque. Además, se mantiene un mayor número de puntos de recuperación mínimos para protegerse contra datos dañados.

Nota:

Habilite la autorización de varios usuarios (MUA) en el almacén de Recovery Services para agregar una capa adicional de protección a la operación crítica de deshabilitar las características de seguridad. Más información.

Requisitos mínimos de versión

Habilite las características de seguridad solo si usa:

  • Agente de Azure Backup: la versión mínima del agente es la 2.0.9052. Después de habilitar estas características, actualice la versión del agente para realizar operaciones críticas.
  • Azure Backup Server: la versión mínima del agente de Azure Backup es la 2.0.9052 con la actualización 1 de Azure Backup Server.
  • System Center Data Protection Manager: la versión mínima del agente de Azure Backup es la 2.0.9052 con Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.

Nota:

Asegúrese de no habilitar las características de seguridad si usa la copia de seguridad de máquinas virtuales de Infraestructura como servicio (IaaS). Actualmente, estas características no están disponibles para la copia de seguridad de máquinas virtuales de IaaS y, por tanto, habilitarlas no tendrá efecto.

Habilitar características de seguridad

Si va a crear un almacén de Recovery Services, puede usar todas las características de seguridad. Si trabaja con un almacén existente, habilite las características de seguridad siguiendo estos pasos:

  1. Inicie sesión en Azure Portal con las credenciales de Azure.

  2. Seleccione Examinar y escriba Recovery Services.

    Screenshot of Azure portal Browse option

    Aparece la lista de almacenes de Recovery Services. Seleccione un almacén en ella. Se abre el panel del almacén seleccionado.

  3. En la lista de elementos que aparece en el almacén, en Configuración, seleccione Propiedades.

    Screenshot of Recovery Services vault options

  4. En Configuración de seguridad, seleccione Actualizar.

    Screenshot of Recovery Services vault properties

    El vínculo de actualización abre el panel Configuración de seguridad, que proporciona un resumen de las características y le permite habilitarlas.

  5. Habilite las características de seguridad y seleccione Guardar.

    Screenshot of security settings

Recuperar datos de copia de seguridad eliminados

Si la configuración de características de seguridad está habilitada, Azure Backup conserva los datos de copia de seguridad eliminados durante 14 días adicionales y no los elimina inmediatamente si se realiza la operación de Detener copia de seguridad con la eliminación de datos de copia de seguridad. Para restaurar estos datos dentro del período de 14 días, siga los pasos que se muestran a continuación, según el entorno que tenga:

En el caso de los usuarios del agente de Azure Recovery Services:

  1. Si el equipo en el que se realizaron las copias de seguridad aún está disponible, vuelva a proteger los orígenes de datos eliminados y use Recuperar los datos en la misma máquina en Azure Recovery Services para realizar la recuperación desde todos los puntos de recuperación antiguos.
  2. Si este equipo no está disponible, utilice Recuperar en una máquina alternativa para usar otro equipo de Azure Recovery Services para obtener estos datos.

Para los usuarios de Azure Backup Server:

  1. Si el servidor en el que se realizaron las copias de seguridad está aún disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para realizar la recuperación desde todos los puntos de recuperación antiguos.
  2. Si este servidor no está disponible, utilice Recuperación de datos de otra instancia de Azure Backup Server para usar otra instancia de Azure Backup Server para obtener estos datos.

En el caso de los usuarios de Data Protection Manager:

  1. Si el servidor en el que se realizaron las copias de seguridad está aún disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para realizar la recuperación desde todos los puntos de recuperación antiguos.
  2. Si este servidor no está disponible, utilice Agregar DPM externo para usar otro servidor de Administrador de protección de datos para obtener estos datos.

Prevenir ataques

Se han agregado comprobaciones para asegurarse de que los usuarios válidos son los únicos que pueden realizar varias operaciones. Entre estas se incluyen la adición de una capa de autenticación adicional y el mantenimiento de una duración de retención mínima con fines de recuperación.

Autenticación para realizar operaciones críticas

Como parte de la adición de una capa de autenticación adicional para las operaciones críticas, se le solicita que escriba un PIN se seguridad al realizar las operaciones Detener la protección con eliminación de datos y Cambio de la frase de contraseña.

Nota:

Actualmente, en el caso de las siguientes versiones de DPM y MABS, se admite el PIN de seguridad para Detener la protección con eliminación de datos en el almacenamiento en línea:

  • DPM 2016 UR9 o versiones posteriores
  • DPM 2019 UR1 o versiones posteriores
  • MABS v3 UR1 o versiones posteriores

Para recibir este PIN:

  1. Inicie sesión en Azure Portal.
  2. Vaya al almacén de Recovery Services>Configuración>Propiedades.
  3. En PIN de seguridad, seleccione Generar. Se abrirá un panel que contiene el PIN que se va a escribir en la interfaz de usuario del agente de Azure Recovery Services. Este PIN solo es válido durante cinco minutos y se genera automáticamente después de ese período.

Mantener una duración de retención mínima

Para asegurarse de que siempre hay un número válido de puntos de recuperación disponibles, se han agregado las siguientes comprobaciones:

  • Para la retención diaria, se deben realizar un mínimo de siete días de retención.
  • Para la retención semanal, se deben realizar un mínimo de cuatro semanas de retención.
  • Para la retención mensual, se deben realizar un mínimo de tres meses de retención.
  • Para la retención anual, se debe realizar un mínimo de un año de retención.

Notificaciones de operaciones críticas

Normalmente, al realizarse una operación crítica, se envía una notificación por correo electrónico al administrador de suscripciones con detalles sobre la operación. Puede configurar destinatarios de correo electrónico adicionales para estas notificaciones con Azure Portal.

Las características de seguridad que se mencionan en este artículo proporcionan mecanismos de defensa contra ataques dirigidos. Lo que es más importante, en caso de producirse un ataque, es que estas características permiten recuperar los datos.

Solucionar errores

Operación Detalles del error Solución
Cambio de directiva No se ha podido modificar la directiva de copia de seguridad. Error: no se pudo realizar la operación actual debido a un error de servicio interno [0x29834]. Vuelva a intentar la operación más tarde. Si el problema persiste, póngase en contacto con el servicio de soporte técnico de Microsoft. Causa:
Este error aparece cuando está habilitada la configuración de seguridad, se intenta reducir la duración de retención por debajo de los valores mínimos especificados anteriormente y se utiliza una versión no admitida (las versiones admitidas se especifican en la primera nota de este artículo).
Acción recomendada:
En este caso, debe establecer el período de retención por encima del período de retención mínimo especificado (siete días para un valor diario, cuatro semanas para uno semanal, tres semanas para mensual o un año para la copia anual) para continuar con las actualizaciones relacionadas con la directiva. Si lo desea, el enfoque preferido sería actualizar el agente de copia de seguridad y Azure Backup Server o DPM UR para aprovechar todas las actualizaciones de seguridad.
Cambiar la frase de contraseña El PIN de seguridad escrito no es correcto. (ID: 100130) Proporcione el PIN de seguridad correcto para completar esta operación. Causa:
Este error se genera cuando se escribe un PIN de seguridad no válido o caducado mientras se realiza una operación crítica (por ejemplo, cambiar la frase de contraseña).
Acción recomendada:
Para completar la operación, debe escribir un PIN de seguridad válido. Para obtener el PIN, inicie sesión en Azure Portal y navegue hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad. Use este código PIN para cambiar la frase de contraseña.
Cambiar la frase de contraseña No se pudo realizar la operación. ID: 120002 Causa:
Este error aparece cuando está habilitada la configuración de seguridad, se intenta cambiar la frase de contraseña y se utiliza una versión no compatible (las versiones válidas se especifican en la primera nota de esta artículo).
Acción recomendada:
Para cambiar la frase de contraseña, primero debe actualizar el agente de copia de seguridad a la versión mínima 2.0.9052, Azure Backup Server a la actualización mínima 1, o DPM a la actualización mínima DMP 2012 R2 UR12 o a DPM 2016 UR2 (los enlaces de descarga están disponibles más abajo). A continuación, escriba un PIN de seguridad válido. Para obtener el PIN, inicie sesión en Azure Portal y desplácese hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad. Use este código PIN para cambiar la frase de contraseña.

Pasos siguientes