Configuración de la autorización multiusuario mediante Resource Guard en Azure Backup

En este artículo se explica cómo configurar la autorización multiusuario (MUA) para Azure Backup a fin de agregar una capa adicional de protección a las operaciones críticas en los almacenes de Recovery Services

En este documento se incluye lo siguiente:

  • Antes de comenzar
  • Escenarios de pruebas
  • Creación de una instancia de Resource Guard
  • Habilitación de MUA en un almacén de Recovery Services
  • Protección frente a operaciones no autorizadas en un almacén
  • Autorización de operaciones críticas en un almacén
  • Deshabilitación de MUA en un almacén de Recovery Services

Nota:

La autorización multiusuario para Azure Backup está disponible en todas las regiones públicas de Azure.

Antes de comenzar

  • Asegúrese de que Resource Guard y el almacén de Recovery Services estén en la misma región de Azure.
  • Asegúrese de que el administrador de Backup no tenga permisos de Colaborador en Resource Guard. Puede optar por tener Resource Guard en otra suscripción del mismo directorio, o en otro directorio para garantizar el aislamiento máximo.
  • Asegúrese de que las suscripciones que contienen el almacén de Recovery Services, así como la Protección de recursos (en diferentes suscripciones o inquilinos) están registradas para usar el proveedor Microsoft.RecoveryServices. Para más información, consulte Tipos y proveedores de recursos de Azure.

Obtenga información sobre distintos escenarios de uso de MUA.

Creación de una instancia de Resource Guard

El administrador de seguridad crea la instancia de Resource Guard. Se recomienda crearlo en una suscripción diferente o en un inquilino diferente que el almacén. Sin embargo, debe estar en la misma región que el almacén. El administrador de copia de seguridad NO debe tener acceso de Colaborador en Resource Guard ni en la suscripción que lo contiene.

En el ejemplo siguiente, cree la instancia de Resource Guard en un inquilino distinto del inquilino del almacén.

  1. En Azure Portal, vaya al directorio en el que quiere crear la instancia de Resource Guard.

    Screenshot showing the portal settings.

  2. Busque Resource Guards en la barra de búsqueda y seleccione el elemento correspondiente en la lista desplegable.

    Screenshot showing resource guards.

    • Haga clic en Crear para comenzar a crear una instancia de Resource Guard.
    • En la hoja Crear, rellene los detalles necesarios para esta instancia de Resource Guard.
      • Asegúrese de que Resource Guard esté en las mismas regiones de Azure que el almacén de Recovery Services.
      • Además, resulta útil agregar una descripción de cómo obtener o solicitar acceso para realizar acciones en almacenes asociados cuando sea necesario. Esta descripción también aparecería en los almacenes asociados para guiar al administrador de copia de seguridad sobre cómo obtener los permisos necesarios. Puede editar la descripción más adelante si es necesario, pero se recomienda tener una descripción bien definida en todo momento.
  3. En la pestaña Operaciones protegidas, seleccione las operaciones que necesita proteger mediante esta instancia de Resource Guard.

    También puede seleccionar las operaciones que se van a proteger después de crear la instancia de Resource Guard.

  4. De manera opcional, agregue las etiquetas a Resource Guard según los requisitos.

  5. Haga clic en Revisar + crear.

  6. Siga las notificaciones sobre el estado y la creación correcta de la instancia de Resource Guard.

Selección de las operaciones que se protegerán mediante Resource Guard

Entre todas las operaciones críticas admitidas, elija aquellas que quiere proteger mediante Resource Guard. De manera predeterminada, todas las operaciones críticas admitidas están habilitadas. Sin embargo, puede excluir determinadas operaciones para que no se incluyan en el ámbito de MUA mediante Resource Guard. El administrador de seguridad puede realizar los pasos siguientes:

  1. En la instancia de Resource Guard creada anteriormente, vaya a Propiedades.

  2. Seleccione Deshabilitar para las operaciones que desea excluir de la autorización mediante Resource Guard. Tenga en cuenta que las operaciones Deshabilitar la eliminación temporal y Deshabilitar la protección de MUA no se pueden deshabilitar.

  3. De manera opcional, también puede actualizar la descripción de Resource Guard mediante esta hoja.

  4. Haga clic en Save(Guardar).

    Screenshot showing demo resource guard properties.

Asignación de permisos al administrador de copia de seguridad en Resource Guard para habilitar MUA

Para habilitar MUA en un almacén, el administrador del almacén debe tener el rol Lector en la instancia de Resource Guard o en la suscripción que contiene la instancia de Resource Guard. Para asignar el rol Lector en Resource Guard:

  1. En la instancia de Resource Guard creada anteriormente, vaya a la hoja Access Control (IAM) y luego a Agregar asignación de roles.

    Screenshot showing demo resource guard-access control.

  2. Seleccione Lector en la lista de roles integrados y haga clic en Siguiente al final de la pantalla.

    Screenshot showing demo resource guard-add role assignment.

  3. Haga clic en Seleccionar miembros y agregue el identificador de correo electrónico del administrador de copia de seguridad para agregarlos como Lector. Puesto que, en este caso, el administrador de Backup está en otro inquilino, se agregará como invitado al inquilino que contiene la instancia de Resource Guard.

  4. Haga clic en Seleccionar y vaya a Review + assign (Revisar y asignar) para finalizar la asignación de roles.

    Screenshot showing demo resource guard-select members.

Habilitación de MUA en un almacén de Recovery Services

Ahora que el administrador de copia de seguridad tiene el rol Lector en Resource Guard, puede habilitar fácilmente la autorización multiusuario en almacenes administrados por él. El administrador de copia de seguridad se encarga de los pasos siguientes.

  1. Vaya al almacén de Recovery Services. Vaya a Propiedades en el panel de navegación izquierdo, luego a Autorización multiusuario y haga clic en Actualizar.

    Screenshot showing the Recovery services vault properties.

  2. Ahora se le presenta la opción para habilitar MUA y elegir una instancia de Resource Guard mediante una de las siguientes maneras:

    1. Puede especificar el URI de Resource Guard, asegúrese de especificar el URI de una instancia de Resource Guard a la que tenga acceso de Lector y que esté en las mismas regiones que el almacén. Puede encontrar el URI (id. de Resource Guard) de Resource Guard en su pantalla Información general:

      Screenshot showing the Resource Guard.

    2. O bien, puede seleccionar la instancia de Resource Guard en la lista de instancias de Resource Guard en las que tiene acceso de Lector y que estén disponibles en la región.

      1. Haga clic en Seleccionar Protección de recursos.
      2. Haga clic en la lista desplegable y seleccione el directorio en el que se encuentra la instancia de Resource Guard.
      3. Haga clic en Autenticar para validar la identidad y el acceso.
      4. Después de la autenticación, elija Resource Guard en la lista que aparece.

      Screenshot showing multi-user authorization.

  3. Cuando haya terminado, haga clic en Guardar para habilitar MUA.

    Screenshot showing how to enable Multi-user authentication.

Protección frente a operaciones no autorizadas (protegidas)

Una vez que haya habilitado MUA, las operaciones abarcadas por el ámbito se restringirán en el almacén, si el administrador de copia de seguridad intenta realizarlas sin tener el rol necesario (es decir, el rol Colaborador) en la instancia de Resource Guard.

Nota:

Se recomienda encarecidamente probar la configuración después de habilitar MUA para asegurarse de que las operaciones protegidas se bloqueen según lo previsto, y para asegurarse de que MUA esté configurada correctamente.

A continuación se ilustra lo que sucede cuando el administrador de la copia de seguridad intenta realizar una operación protegida de este tipo (por ejemplo, aquí se muestra la deshabilitación de la eliminación temporal. Con otras operaciones protegidas ocurre algo parecido). Un administrador de copia de seguridad realiza los pasos siguientes sin los permisos necesarios.

  1. Para deshabilitar la eliminación temporal, vaya a Almacén de Recovery Services > Propiedades > Configuración de seguridad y haga clic en Actualizar, lo que abre la configuración de seguridad.

  2. Deshabilite la eliminación temporal con el control deslizante. Se le informa de que se trata de una operación protegida, y debe comprobar su acceso a la instancia de Resource Guard.

  3. Seleccione el directorio que contiene la instancia de Resource Guard y autentíquese. Es posible que este paso no sea necesario si la instancia de Resource Guard está en el mismo directorio que el almacén.

  4. Haga clic en Guardar. Se produce un error en la solicitud, que le informa de que no tiene permisos suficientes en Resource Guard para poder realizar esta operación.

    Screenshot showing the Test Vault properties security settings.

Autorización de operaciones críticas (protegidas) mediante Azure AD Privileged Identity Management

En los apartados siguientes se describe la autorización de estas solicitudes mediante PIM. Hay casos en los que es posible que tenga que realizar operaciones críticas en las copias de seguridad, y MUA puede ayudarle a asegurarse de que se realicen solo cuando existan las aprobaciones o permisos correctos. Como se ha mencionado anteriormente, el administrador de copia de seguridad debe tener un rol de Colaborador en la instancia de Resource Guard para realizar operaciones críticas que se encuentren en el ámbito de Resource Guard. Una de las maneras de permitir Just-In-Time para estas operaciones es mediante el uso de Azure Active Directory (Azure AD) Privileged Identity Management.

Nota:

Si bien Azure AD PIM es el enfoque recomendado, puede usar métodos manuales o personalizados para administrar el acceso del administrador de copia de seguridad en Resource Guard. Para administrar manualmente el acceso a Resource Guard, use la opción "Control de acceso (IAM)" en la barra de navegación izquierda de Resource Guard y conceda el rol Colaborador al administrador de copia de seguridad.

Creación de una asignación apta para el administrador de copia de seguridad (si usa Azure AD Privileged Identity Management)

El administrador de seguridad puede usar PIM para crear una asignación apta para el administrador de Backup como Colaborador en Resource Guard. Esto permite al administrador de copia de seguridad generar una solicitud (para el rol Colaborador) cuando tenga que realizar una operación protegida. Para ello, el administrador de seguridad realiza lo siguiente:

  1. En el inquilino de seguridad (que contiene la instancia de Resource Guard), vaya a Privileged Identity Management (busque esto en la barra de búsqueda de Azure Portal) y luego vaya a Recursos de Azure (en Administrar, en el menú izquierdo).

  2. Seleccione el recurso (Resource Guard o la suscripción que lo contiene) al que desea asignar el rol Colaborador.

    1. Si no ve el recurso correspondiente en la lista de recursos, asegúrese de agregar la suscripción correspondiente que va a administrar PIM.
  3. En el recurso seleccionado, vaya a Asignaciones (en Administrar, en el menú izquierdo) y luego a Agregar asignaciones.

    Screenshot showing how to add assignments.

  4. En Agregar asignaciones:

    1. Seleccione el rol como Colaborador.
    2. Vaya a Seleccionar miembros y agregue el nombre de usuario (o identificadores de correo electrónico) del administrador de copia de seguridad.
    3. Haga clic en Next (Siguiente).

    Screenshot showing how to add assignments-membership.

  5. En la pantalla siguiente:

    1. En Tipo de asignación, elija Elegible.
    2. Especifique el plazo durante el cual el permiso apto será válido.
    3. Haga clic en Asignar para finalizar la creación de la asignación apta.

    Screenshot showing how to add assignments-setting.

Configuración de aprobadores para la activación del rol Colaborador

De manera predeterminada, es posible que la configuración anterior no tenga un aprobador (y un requisito de flujo de aprobación) configurado en PIM. Para asegurarse de que se exijan aprobadores para permitir que solo avancen las solicitudes autorizadas, el administrador de seguridad debe realizar los pasos siguientes. Tenga en cuenta que si esto no se configura, las solicitudes se aprobarán automáticamente sin pasar por los administradores de seguridad ni por la revisión de un aprobador designado. Puede encontrar más detalles sobre esto aquí.

  1. En Azure AD PIM, seleccione Recursos de Azure en la barra de navegación izquierda y seleccione la instancia de Resource Guard.

  2. Vaya a Configuración y luego al rol Colaborador.

    Screenshot showing how to add contributor.

  3. Si en el valor denominado Aprobadores se muestra Ninguno o se muestran aprobadores incorrectos, haga clic en Editar para agregar los revisores que tendrían que revisar y aprobar la solicitud de activación para el rol Colaborador.

  4. En la pestaña Activación, seleccione Se requiere aprobación para activar y agregue los aprobadores que tienen que aprobar cada solicitud. También puede seleccionar otras opciones de seguridad, como usar MFA y exigir opciones de vale para activar el rol Colaborador. De manera opcional, seleccione la configuración pertinente en las pestañas Asignación y Notificación según sus requisitos.

    Screenshot showing how to edit role setting.

  5. Haga clic en Actualizar cuando esté listo.

Solicitud de activación de una asignación apta para realizar operaciones críticas

Una vez que el administrador de seguridad crea una asignación apta, el administrador de copia de seguridad debe activar la asignación del rol Colaborador para poder realizar acciones protegidas. El administrador de copia de seguridad realiza las siguientes acciones para activar la asignación de roles.

  1. Vaya a Azure AD Privileged Identity Management. Si la instancia de Resource Guard está en otro directorio, cambie a ese directorio y vaya a Azure AD Privileged Identity Management.

  2. Vaya a Mis roles > Recursos de Azure, en el menú izquierdo.

  3. El administrador de copia de seguridad puede ver una asignación apta para el rol Colaborador. Haga clic en Activar para activarla.

  4. El administrador de copia de seguridad recibe una notificación en el portal acerca de que la solicitud se envía para su aprobación.

    Screenshot showing to activate eligible assignments.

Aprobación de la activación de solicitudes para realizar operaciones críticas

Una vez que el administrador de copia de seguridad genera una solicitud para activar el rol Colaborador, el administrador de seguridad revisará y aprobará la solicitud.

  1. En el inquilino de seguridad, vaya a Azure AD Privileged Identity Management.
  2. Vaya a Aprobar solicitudes.
  3. En Recursos de Azure, se puede ver la solicitud generada por el administrador de copia de seguridad, que solicita la activación como Colaborador.
  4. Revise la solicitud. Si es genuina, seleccione la solicitud y haga clic en Aprobar para aprobarla.
  5. El administrador de correo electrónico recibe una notificación por correo electrónico (u otros mecanismos de alerta de la organización) de que su solicitud ya está aprobada.
  6. Una vez aprobada, el administrador de copia de seguridad puede realizar operaciones protegidas durante el período solicitado.

Realización de una operación protegida tras su aprobación

Una vez aprobada la solicitud del administrador de copia de seguridad para el rol Colaborador en la instancia de Resource Guard, este puede realizar operaciones protegidas en el almacén asociado. Si la instancia de Resource Guard está en otro directorio, el administrador de copia de seguridad tendría que autenticarse.

Nota:

Si el acceso se asignó mediante un mecanismo JIT, el rol Colaborador se retirará al final del período aprobado. De lo contrario, el administrador de seguridad quita manualmente el rol Colaborador asignado al administrador de copia de seguridad para realizar la operación crítica.

La siguiente captura de pantalla muestra un ejemplo de deshabilitar la eliminación temporal para un almacén habilitado para MUA.

Screenshot showing to disable soft delete.

Deshabilitación de MUA en un almacén de Recovery Services

Deshabilitar MUA es una operación protegida y, por lo tanto, se protege mediante MUA. Es decir, el administrador de copia de seguridad debe tener el rol Colaborador necesario en la instancia de Resource Guard. Aquí se describen los detalles sobre cómo obtener este rol. A continuación encontrará un resumen de los pasos para deshabilitar MUA en un almacén.

  1. El administrador de copia de seguridad solicita al administrador de seguridad el rol Colaborador en la instancia de Resource Guard. Puede solicitarlo para usar los métodos aprobados por la organización, como los procedimientos JIT, por ejemplo, Azure AD Privileged Identity Management, u otros procedimientos y herramientas internos.

  2. El administrador de seguridad aprueba la solicitud (si decide que merece ser aprobada) e informa al administrador de copia de seguridad. Ahora, el administrador de copia de seguridad tiene el rol "Colaborador" en la instancia de Resource Guard.

  3. El administrador de Backup va al almacén ->Propiedades ->Autorización multiusuario.

  4. Haga clic en Update (Actualizar).

    1. Desactive la casilla Proteger con Protección de recursos.
    2. Elija el directorio que contiene la instancia de Resource Guard y compruebe el acceso mediante el botón Autenticar (si procede).
    3. Después de autenticación, haga clic en Guardar. Con el acceso correcto, la solicitud debería completarse correctamente.

    Screenshot showing to disable multi-user authentication.