Características de seguridad para proteger copias de seguridad híbridas mediante Azure Backup

Cada vez es mayor la preocupación que generan problemas de seguridad como malware, ransomware e intrusión. Estos problemas de seguridad pueden ser costosos, en términos de dinero y datos. Para protegerse contra dichos ataques, Azure Backup proporciona características de seguridad que protegen las copias de seguridad híbridas. En este artículo se habla de cómo habilitar y usar estas características mediante un agente de Azure Recovery Services y Azure Backup Server. Estas características son:

  • Prevención. Se agrega una capa adicional de autenticación cada vez que se realiza una operación crítica, como cambiar la frase de contraseña. Esta validación se realiza para asegurarse de que dichas operaciones solo pueden realizarlas usuarios que tengan credenciales de Azure válidas.
  • Alertas. Se envía una notificación por correo electrónico al administrador de suscripciones cada vez que se realiza una operación crítica, como eliminar datos de copia de seguridad. Este correo electrónico garantiza que el usuario reciba una notificación rápidamente acerca de dichas acciones.
  • Recuperación. Los datos de copia de seguridad eliminados se conservan durante 14 días a partir de la fecha de la eliminación. Esto garantiza la capacidad de recuperación de los datos en un período dado, con el fin de que no haya pérdida de datos aunque se produzca un ataque. Además, se mantiene un mayor número de puntos de recuperación mínimos para protegerse contra datos dañados.

Nota

Las características de seguridad no se deben habilitar si usa la copia de seguridad de máquinas virtuales de infraestructura como servicio (IaaS). Estas características no están aún disponibles para la copia de seguridad de máquinas virtuales de IaaS, por lo que habilitarlas no tiene ningún efecto. Las características de seguridad solo se deben habilitar si utiliza los siguientes componentes:

  • Agente de Azure Backup. La versión mínima del agente es la 2.0.9052. Cuando haya habilitado estas características, debe realizar la actualización a esta versión del agente para llevar a cabo operaciones críticas.
  • Azure Backup Server. La versión mínima del agente de Azure Backup es la 2.0.9052 con Update 1 de Azure Backup Server.
  • System Center Data Protection Manager. La versión mínima del agente de Azure Backup es la 2.0.9052 con Data Protection Manager 2012 R2 UR12 o Data Protection Manager 2016 UR2.

Nota

Estas características solo están disponibles para el almacén de Recovery Services. Todos los almacenes de Recovery Services recién creados tienen las siguientes características habilitadas de forma predeterminada. En el caso de los almacenes de Recovery Services existentes, los usuarios habilitan estas características mediante los pasos mencionados en la sección siguiente. Una vez habilitadas las características, se aplican a todos los equipos agente de Recovery Services, instancias de Azure Backup Server y servidores Data Protection Manager registrados con el almacén. Esta configuración se habilita una sola vez, por lo que una vez habilitada no es posible volver atrás.

Habilitar características de seguridad

Si va a crear un almacén de Recovery Services, puede usar todas las características de seguridad. Si trabaja con un almacén existente, habilite las características de seguridad siguiendo estos pasos:

  1. Inicie sesión en Azure Portal con las credenciales de Azure.

  2. Seleccione Examinar y escriba Recovery Services.

    Captura de pantalla de opción Examinar de Azure Portal

    Aparece la lista de almacenes de Recovery Services. Seleccione un almacén en ella. Se abre el panel del almacén seleccionado.

  3. En la lista de elementos que aparece en el almacén, en Configuración, seleccione Propiedades.

    Captura de pantalla de opciones del almacén de Recovery Services

  4. En Configuración de seguridad, seleccione Actualizar.

    Captura de pantalla de propiedades del almacén de Recovery Services

    El vínculo de actualización abre el panel Configuración de seguridad, que proporciona un resumen de las características y le permite habilitarlas.

  5. En el menú desplegable Have you configured Azure AD Multi-Factor Authentication? (¿Ha configurado Multi-Factor Authentication de Azure AD?), seleccione un valor para confirmar que ha habilitado Multi-Factor Authentication de Azure AD. Si está habilitado, se le pedirá que realice la autenticación desde otro dispositivo (por ejemplo, un teléfono móvil) al iniciar sesión en Azure Portal.

    Al realizar operaciones críticas en Backup, debe especificar un PIN de seguridad, disponible en Azure Portal. Al habilitar Multi-Factor Authentication de Azure AD, se agrega una capa de seguridad. Solo los usuarios autorizados con credenciales de Azure válidas y autenticados desde un segundo dispositivo pueden tener acceso a Azure Portal.

  6. Para guardar la configuración de seguridad, seleccione Habilitar y seleccione Guardar. Solo se puede seleccionar Habilitar después de seleccionar un valor en la lista Have you configured Azure AD Multi-Factor Authentication? (¿Ha configurado Multi-Factor Authentication de Azure AD?) del paso anterior.

    Captura de pantalla de configuración de seguridad

Recuperar datos de copia de seguridad eliminados

La copia de seguridad conserva los datos de copia de seguridad eliminados durante 14 días adicionales y no los elimina inmediatamente si se realiza la operación de Detener copia de seguridad con la eliminación de datos de copia de seguridad. Para restaurar estos datos dentro del período de 14 días, siga los pasos que se muestran a continuación, según el entorno que tenga:

En el caso de los usuarios del agente de Azure Recovery Services:

  1. Si el equipo en el que se realizaron las copias de seguridad aún está disponible, vuelva a proteger los orígenes de datos eliminados y use Recuperar los datos en la misma máquina en Azure Recovery Services para realizar la recuperación desde todos los puntos de recuperación antiguos.
  2. Si este equipo no está disponible, utilice Recuperar en una máquina alternativa para usar otro equipo de Azure Recovery Services para obtener estos datos.

Para los usuarios de Azure Backup Server:

  1. Si el servidor en el que se realizaron las copias de seguridad está aún disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para realizar la recuperación desde todos los puntos de recuperación antiguos.
  2. Si este servidor no está disponible, utilice Recuperación de datos de otra instancia de Azure Backup Server para usar otra instancia de Azure Backup Server para obtener estos datos.

En el caso de los usuarios de Data Protection Manager:

  1. Si el servidor en el que se realizaron las copias de seguridad está aún disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para realizar la recuperación desde todos los puntos de recuperación antiguos.
  2. Si este servidor no está disponible, utilice Agregar DPM externo para usar otro servidor de Administrador de protección de datos para obtener estos datos.

Prevenir ataques

Se han agregado comprobaciones para asegurarse de que los usuarios válidos son los únicos que pueden realizar varias operaciones. Entre estas se incluyen la adición de una capa de autenticación adicional y el mantenimiento de una duración de retención mínima con fines de recuperación.

Autenticación para realizar operaciones críticas

Como parte de la adición de una capa de autenticación adicional para las operaciones críticas, se le solicita que escriba un PIN se seguridad al realizar las operaciones Detener la protección con eliminación de datos y Cambio de la frase de contraseña.

Nota

Actualmente, en el caso de las siguientes versiones de DPM y MABS, se admite el PIN de seguridad para Detener la protección con eliminación de datos en el almacenamiento en línea:

  • DPM 2016 UR9 o versiones posteriores
  • DPM 2019 UR1 o versiones posteriores
  • MABS v3 UR1 o versiones posteriores

Para recibir este PIN:

  1. Inicie sesión en Azure Portal.
  2. Vaya al almacén de Recovery Services > Configuración > Propiedades.
  3. En PIN de seguridad, seleccione Generar. Se abrirá un panel que contiene el PIN que se va a escribir en la interfaz de usuario del agente de Azure Recovery Services. Este PIN solo es válido durante cinco minutos y se genera automáticamente después de ese período.

Mantener una duración de retención mínima

Para asegurarse de que siempre hay un número válido de puntos de recuperación disponibles, se han agregado las siguientes comprobaciones:

  • Para la retención diaria, se deben realizar un mínimo de siete días de retención.
  • Para la retención semanal, se deben realizar un mínimo de cuatro semanas de retención.
  • Para la retención mensual, se deben realizar un mínimo de tres meses de retención.
  • Para la retención anual, se debe realizar un mínimo de un año de retención.

Notificaciones de operaciones críticas

Normalmente, al realizarse una operación crítica, se envía una notificación por correo electrónico al administrador de suscripciones con detalles sobre la operación. Puede configurar destinatarios de correo electrónico adicionales para estas notificaciones con Azure Portal.

Las características de seguridad que se mencionan en este artículo proporcionan mecanismos de defensa contra ataques dirigidos. Lo que es más importante, en caso de producirse un ataque, es que estas características permiten recuperar los datos.

Solucionar errores

Operación Detalles del error Solución
Cambio de directiva No se ha podido modificar la directiva de copia de seguridad. Error: no se pudo realizar la operación actual debido a un error de servicio interno [0x29834]. Vuelva a intentar la operación más tarde. Si el problema persiste, póngase en contacto con el servicio de soporte técnico de Microsoft. Causa:
Este error aparece cuando está habilitada la configuración de seguridad, se intenta reducir la duración de retención por debajo de los valores mínimos especificados anteriormente y se utiliza una versión no admitida (las versiones admitidas se especifican en la primera nota de este artículo).
Acción recomendada:
En este caso, debe establecer el período de retención por encima del período de retención mínimo especificado (siete días para un valor diario, cuatro semanas para uno semanal, tres semanas para mensual o un año para la copia anual) para continuar con las actualizaciones relacionadas con la directiva. Si lo desea, el enfoque preferido sería actualizar el agente de copia de seguridad y Azure Backup Server o DPM UR para aprovechar todas las actualizaciones de seguridad.
Cambiar la frase de contraseña El PIN de seguridad escrito no es correcto. (ID: 100130) Proporcione el PIN de seguridad correcto para completar esta operación. Causa:
Este error se genera cuando se escribe un PIN de seguridad no válido o caducado mientras se realiza una operación crítica (por ejemplo, cambiar la frase de contraseña).
Acción recomendada:
Para completar la operación, debe escribir un PIN de seguridad válido. Para obtener el PIN, inicie sesión en Azure Portal y navegue hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad. Use este código PIN para cambiar la frase de contraseña.
Cambiar la frase de contraseña No se pudo realizar la operación. ID: 120002 Causa:
Este error aparece cuando está habilitada la configuración de seguridad, se intenta cambiar la frase de contraseña y se utiliza una versión no compatible (las versiones válidas se especifican en la primera nota de esta artículo).
Acción recomendada:
Para cambiar la frase de contraseña, primero debe actualizar el agente de copia de seguridad a la versión mínima 2.0.9052, Azure Backup Server a la actualización mínima 1, o DPM a la actualización mínima DMP 2012 R2 UR12 o a DPM 2016 UR2 (los enlaces de descarga están disponibles más abajo). A continuación, escriba un PIN de seguridad válido. Para obtener el PIN, inicie sesión en Azure Portal y desplácese hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad. Use este código PIN para cambiar la frase de contraseña.

Pasos siguientes