Características de seguridad para proteger copias de seguridad híbridas mediante Azure BackupSecurity features to help protect hybrid backups that use Azure Backup

Cada vez es mayor la preocupación que generan problemas de seguridad como malware, ransomware e intrusión.Concerns about security issues, like malware, ransomware, and intrusion, are increasing. Estos problemas de seguridad pueden ser costosos, en términos de dinero y datos.These security issues can be costly, in terms of both money and data. Para protegerse contra dichos ataques, Azure Backup proporciona características de seguridad que protegen las copias de seguridad híbridas.To guard against such attacks, Azure Backup now provides security features to help protect hybrid backups. En este artículo se habla de cómo habilitar y usar estas características mediante un agente de Azure Recovery Services y Azure Backup Server.This article covers how to enable and use these features, by using an Azure Recovery Services agent and Azure Backup Server. Estas características son:These features include:

  • Prevención.Prevention. Se agrega una capa adicional de autenticación cada vez que se realiza una operación crítica, como cambiar la frase de contraseña.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Esta validación se realiza para asegurarse de que dichas operaciones solo pueden realizarlas usuarios que tengan credenciales de Azure válidas.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials.
  • Alertas.Alerting. Se envía una notificación por correo electrónico al administrador de suscripciones cada vez que se realiza una operación crítica, como eliminar datos de copia de seguridad.An email notification is sent to the subscription admin whenever a critical operation like deleting backup data is performed. Este correo electrónico garantiza que el usuario reciba una notificación rápidamente acerca de dichas acciones.This email ensures that the user is notified quickly about such actions.
  • Recuperación.Recovery. Los datos de copia de seguridad eliminados se conservan durante 14 días a partir de la fecha de la eliminación.Deleted backup data is retained for an additional 14 days from the date of the deletion. Esto garantiza la capacidad de recuperación de los datos en un período dado, con el fin de que no haya pérdida de datos, aunque se produzca un ataque.This ensures recoverability of the data within a given time period, so there is no data loss even if an attack happens. Además, se mantiene un mayor número de puntos de recuperación mínimos para protegerse contra datos dañados.Also, a greater number of minimum recovery points are maintained to guard against corrupt data.

Nota

Las características de seguridad no se deben habilitar si usa la copia de seguridad de VM de infraestructura como servicio (IaaS).Security features should not be enabled if you are using infrastructure as a service (IaaS) VM backup. Estas características no están aún disponibles para la copia de seguridad de VM de IaaS, por lo que su habilitación no tendrá ningún impacto.These features are not yet available for IaaS VM backup, so enabling them will not have any impact. Las características de seguridad solo se deben habilitar si se usa:Security features should be enabled only if you are using:

  • Agente de Azure Backup.Azure Backup agent. La versión mínima del agente es la 2.0.9052.Minimum agent version 2.0.9052. Cuando haya habilitado estas características, debe realizar la actualización a esta versión del agente para realizar operaciones críticas.After you have enabled these features, you should upgrade to this agent version to perform critical operations.
  • Azure Backup Server.Azure Backup Server. La versión mínima del agente de Azure Backup es la 2.0.9052 con Update 1 de Azure Backup Server.Minimum Azure Backup agent version 2.0.9052 with Azure Backup Server update 1.
  • System Center Data Protection Manager.System Center Data Protection Manager. La versión mínima del agente de Azure Backup es la 2.0.9052 con Data Protection Manager 2012 R2 UR12 o Data Protection Manager 2016 UR2.Minimum Azure Backup agent version 2.0.9052 with Data Protection Manager 2012 R2 UR12 or Data Protection Manager 2016 UR2.

Nota

Estas características solo están disponibles para el almacén de Recovery Services.These features are available only for Recovery Services vault. Todos los almacenes de Recovery Services recién creados tienen las siguientes características habilitadas de forma predeterminada.All the newly created Recovery Services vaults have these features enabled by default. En el caso de los almacenes de Recovery Services existentes, los usuarios habilitan estas características mediante los pasos mencionados en la sección siguiente.For existing Recovery Services vaults, users enable these features by using the steps mentioned in the following section. Una vez habilitadas las características, se aplican a todos los equipos agente de Recovery Services, instancias de Azure Backup Server y servidores Data Protection Manager registrados con el almacén.After the features are enabled, they apply to all the Recovery Services agent computers, Azure Backup Server instances, and Data Protection Manager servers registered with the vault. La habilitación a esta configuración es una acción única, por lo que una vez que se habiliten estas características no será posible deshabilitarlas.Enabling this setting is a one-time action, and you cannot disable these features after enabling them.

Habilitar características de seguridadEnable security features

Si va a crear un almacén de Recovery Services, puede usar todas las características de seguridad.If you are creating a Recovery Services vault, you can use all the security features. Si trabaja con un almacén existente, habilite las características de seguridad siguiendo estos pasos:If you are working with an existing vault, enable security features by following these steps:

  1. Inicie sesión en Azure Portal con las credenciales de Azure.Sign in to the Azure portal by using your Azure credentials.

  2. Seleccione Examinar y escriba Recovery Services.Select Browse, and type Recovery Services.

    Captura de pantalla de opción Examinar de Azure Portal

    Aparece la lista de almacenes de Servicios de recuperación.The list of recovery services vaults appears. Seleccione un almacén en ella.From this list, select a vault. Se abre el panel del almacén seleccionado.The selected vault dashboard opens.

  3. En la lista de elementos que aparece en el almacén, en Configuración, haga clic en Propiedades.From the list of items that appears under the vault, under Settings, click Properties.

    Captura de pantalla de opciones del almacén de Recovery Services

  4. En Configuración de seguridad, haga clic en Actualizar.Under Security Settings, click Update.

    Captura de pantalla de propiedades del almacén de Recovery Services

    El vínculo de actualización abre la hoja Configuración de seguridad, que proporciona un resumen de las características y permite habilitarlas.The update link opens the Security Settings blade, which provides a summary of the features and lets you enable them.

  5. En el menú desplegable Have you configured Azure Multi-Factor Authentication? (¿Ha configurado Azure Multi-Factor Authentication?), seleccione un valor para confirmar si ha habilitado Azure Multi-Factor Authentication.From the drop-down list Have you configured Azure Multi-Factor Authentication?, select a value to confirm if you have enabled Azure Multi-Factor Authentication. Si está habilitado, se le pedirá que realice la autenticación desde otro dispositivo (por ejemplo, un teléfono móvil) al iniciar sesión en Azure Portal.If it is enabled, you are asked to authenticate from another device (for example, a mobile phone) while signing in to the Azure portal.

    Al realizar operaciones críticas en Backup, debe especificar un PIN de seguridad, disponible en Azure Portal.When you perform critical operations in Backup, you have to enter a security PIN, available on the Azure portal. Al habilitar Azure Multi-Factor Authentication, se agrega una capa de seguridad.Enabling Azure Multi-Factor Authentication adds a layer of security. Solo los usuarios autorizados con credenciales de Azure válidas y autenticados desde un segundo dispositivo pueden tener acceso a Azure Portal.Only authorized users with valid Azure credentials, and authenticated from a second device, can access the Azure portal.

  6. Para guardar la configuración de seguridad, seleccione Habilitar y haga clic en Guardar.To save security settings, select Enable and click Save. Solo se puede seleccionar Habilitar después de seleccionar un valor en la lista Have you configured Azure Multi-Factor Authentication? (¿Ha configurado Azure Multi-Factor Authentication?) del paso anterior.You can select Enable only after you select a value from the Have you configured Azure Multi-Factor Authentication? list in the previous step.

    Captura de pantalla de configuración de seguridad

Recuperar datos de copia de seguridad eliminadosRecover deleted backup data

Backup conserva los datos de copia de seguridad eliminados durante 14 días adicionales y no los elimina inmediatamente si se realiza la operación de detener copia de seguridad con la eliminación de datos de copia de seguridad.Backup retains deleted backup data for an additional 14 days, and does not delete it immediately if the Stop backup with delete backup data operation is performed. Para restaurar estos datos dentro del período de 14 días, siga los pasos que se muestran a continuación, según lo que use:To restore this data in the 14-day period, take the following steps, depending on what you are using:

En el caso de los usuarios del agente de Azure Recovery Services:For Azure Recovery Services agent users:

  1. Si el equipo en el que se realizaron las copias de seguridad aún está disponible, vuelva a proteger los orígenes de datos eliminados y use Recuperar los datos en la misma máquina en Azure Recovery Services para realizar la recuperación desde todos los puntos de recuperación antiguos.If the computer where backups were happening is still available, re-protect the deleted data sources, and use the Recover data to the same machine in Azure Recovery Services, to recover from all the old recovery points.
  2. Si este equipo no está disponible, utilice Recuperar en una máquina alternativa para usar otro equipo de Azure Recovery Services para obtener estos datos.If this computer is not available, use Recover to an alternate machine to use another Azure Recovery Services computer to get this data.

Para los usuarios de Azure Backup Server:For Azure Backup Server users:

  1. Si el servidor en el que se realizaron las copias de seguridad está aún disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para realizar la recuperación desde todos los puntos de recuperación antiguos.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Si este servidor no está disponible, utilice Recuperación de datos de otra instancia de Azure Backup Server para usar otra instancia de Azure Backup Server para obtener estos datos.If this server is not available, use Recover data from another Azure Backup Server to use another Azure Backup Server instance to get this data.

En el caso de los usuarios de Data Protection Manager:For Data Protection Manager users:

  1. Si el servidor en el que se realizaron las copias de seguridad está aún disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para realizar la recuperación desde todos los puntos de recuperación antiguos.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Si este servidor no está disponible, utilice Agregar DPM externo para usar otro servidor Data Protection Manager para obtener estos datos.If this server is not available, use Add External DPM to use another Data Protection Manager server to get this data.

Prevenir ataquesPrevent attacks

Se han agregado comprobaciones para asegurarse de que los usuarios válidos son los únicos que pueden realizar varias operaciones.Checks have been added to make sure only valid users can perform various operations. Entre estas se incluyen la adición de una capa de autenticación adicional y el mantenimiento de una duración de retención mínima con fines de recuperación.These include adding an extra layer of authentication, and maintaining a minimum retention range for recovery purposes.

Autenticación para realizar operaciones críticasAuthentication to perform critical operations

Como parte de la adición de una capa de autenticación adicional para las operaciones críticas, se le solicita que escriba un PIN se seguridad al realizar las operaciones Detener la protección con eliminación de datos y Cambio de la frase de contraseña.As part of adding an extra layer of authentication for critical operations, you are prompted to enter a security PIN when you perform Stop Protection with Delete data and Change Passphrase operations.

Nota

Actualmente, no se admite el pin de seguridad para Detener la protección con eliminación de datos para DPM y MABS.Currently, security pin is not supported for Stop Protection with Delete data for DPM and MABS.

Para recibir este PIN:To receive this PIN:

  1. Inicie sesión en Azure Portal.Sign in to the Azure portal.
  2. Vaya al almacén de Recovery Services > Configuración > Propiedades.Browse to Recovery Services vault > Settings > Properties.
  3. En PIN de seguridad, haga clic en Generar.Under Security PIN, click Generate. Se abrirá una hoja que contiene el PIN que se va a escribir en la interfaz de usuario del agente de Azure Recovery Services.This opens a blade that contains the PIN to be entered in the Azure Recovery Services agent user interface. Este PIN solo es válido durante cinco minutos y se genera automáticamente después de ese período.This PIN is valid for only five minutes, and it gets generated automatically after that period.

Mantener una duración de retención mínimaMaintain a minimum retention range

Para asegurarse de que siempre hay un número válido de puntos de recuperación disponibles, se han agregado las siguientes comprobaciones:To ensure that there are always a valid number of recovery points available, the following checks have been added:

  • Para la retención diaria, se deben realizar un mínimo de siete días de retención.For daily retention, a minimum of seven days of retention should be done.
  • Para la retención semanal, se deben realizar un mínimo de cuatro semanas de retención.For weekly retention, a minimum of four weeks of retention should be done.
  • Para la retención mensual, se deben realizar un mínimo de tres meses de retención.For monthly retention, a minimum of three months of retention should be done.
  • Para la retención anual, se debe realizar un mínimo de un año de retención.For yearly retention, a minimum of one year of retention should be done.

Notificaciones de operaciones críticasNotifications for critical operations

Normalmente, al realizarse una operación crítica, se envía una notificación por correo electrónico al administrador de suscripciones con detalles sobre la operación.Typically, when a critical operation is performed, the subscription admin is sent an email notification with details about the operation. Puede configurar destinatarios de correo electrónico adicionales para estas notificaciones con Azure Portal.You can configure additional email recipients for these notifications by using the Azure portal.

Las características de seguridad que se mencionan en este artículo proporcionan mecanismos de defensa contra ataques dirigidos.The security features mentioned in this article provide defense mechanisms against targeted attacks. Lo que es más importante, en caso de producirse un ataque, es que estas características permiten recuperar los datos.More importantly, if an attack happens, these features give you the ability to recover your data.

Solucionar erroresTroubleshooting errors

OperaciónOperation Detalles del errorError details SoluciónResolution
Cambio de directivaPolicy change No se ha podido modificar la directiva de copia de seguridad.The backup policy could not be modified. Error: no se pudo realizar la operación actual debido a un error de servicio interno [0x29834].Error: The current operation failed due to an internal service error [0x29834]. Vuelva a intentar la operación más tarde.Please retry the operation after sometime. Si el problema persiste, póngase en contacto con el servicio de soporte técnico de Microsoft.If the issue persists, please contact Microsoft support. Causa:Cause:
Este error se genera cuando está habilitada la configuración de seguridad, intenta reducir la duración de retención por debajo de los valores mínimos especificados anteriormente y se encuentra en una versión no admitida (las versiones admitidas se especifican en la primera nota de este artículo).This error comes when security settings are enabled, you try to reduce retention range below the minimum values specified above and you are on unsupported version (supported versions are specified in first note of this article).
Acción recomendada:Recommended Action:
En este caso, debe establecer el período de retención por encima del período de retención mínimo especificado (siete días para un valor diario, cuatro semanas para uno semanal, tres semanas para mensual o un año para la copia anual) para continuar con las actualizaciones relacionadas con la directiva.In this case, you should set retention period above the minimum retention period specified (seven days for daily, four weeks for weekly, three weeks for monthly or one year for yearly) to proceed with policy-related updates. Si lo desea, el enfoque preferido sería actualizar el agente de copia de seguridad y Azure Backup Server o DPM UR para aprovechar todas las actualizaciones de seguridad.Optionally, preferred approach would be to update backup agent, Azure Backup Server and/or DPM UR to leverage all the security updates.
Cambiar la frase de contraseñaChange Passphrase El PIN de seguridad escrito no es correcto.Security PIN entered is incorrect. (ID: 100130) Proporcione el PIN de seguridad correcto para completar esta operación.(ID: 100130) Provide the correct Security PIN to complete this operation. Causa:Cause:
Este error se genera cuando se escribe un PIN de seguridad no válido o caducado mientras se realiza una operación crítica (por ejemplo, cambiar la frase de contraseña).This error comes when you enter invalid or expired Security PIN while performing critical operation (like change passphrase).
Acción recomendada:Recommended Action:
Para completar la operación, debe escribir un PIN de seguridad válido.To complete the operation, you must enter valid Security PIN. Para obtener el PIN, inicie sesión en Azure Portal y navegue hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad.To get the PIN, sign in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Use este código PIN para cambiar la frase de contraseña.Use this PIN to change passphrase.
Cambiar la frase de contraseñaChange Passphrase No se pudo realizar la operación.Operation failed. ID: 120002ID: 120002 Causa:Cause:
Este error se genera cuando está habilitada la configuración de seguridad, intenta cambiar la frase de contraseña y se encuentra en una versión no compatible (las versiones válidas se especifican en la primera nota de esta artículo).This error comes when security settings are enabled, you try to change passphrase and you are on unsupported version (valid versions specified in first note of this article).
Acción recomendada:Recommended Action:
Para cambiar la frase de contraseña, primero debe actualizar el agente de copia de seguridad a la versión mínima 2.0.9052, Azure Backup Server a la actualización mínima 1 o DPM a la actualización mínima DPM 2012 R2 UR12 o DPM 2016 UR2 (los enlaces de descarga se encuentran después) y, finalmente escriba el PIN de seguridad válido.To change passphrase, you must first update backup agent to minimum version minimum 2.0.9052, Azure Backup server to minimum update 1, and/or DPM to minimum DPM 2012 R2 UR12 or DPM 2016 UR2 (download links below), then enter valid Security PIN. Para obtener el PIN, inicie sesión en Azure Portal y navegue hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad.To get the PIN, sign in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Use este código PIN para cambiar la frase de contraseña.Use this PIN to change passphrase.

Pasos siguientesNext steps