Introducción a las características de seguridad de Azure BackupOverview of security features in Azure Backup

Una de las medidas más importantes que puede adoptar para proteger los datos es contar con una infraestructura de copia de seguridad confiable.One of the most important steps you can take to protect your data is to have a reliable backup infrastructure. Igual importancia tiene asegurarse de que la copia de seguridad de los datos se realiza de manera segura y de que las copias de seguridad están protegidas en todo momento.But it's just as important to ensure that your data is backed up in a secure fashion, and that your backups are protected at all times. Azure Backup proporciona seguridad al entorno de copia de seguridad, tanto si los datos están en tránsito como en reposo.Azure Backup provides security to your backup environment - both when your data is in transit and at rest. En este artículo se indican las funcionalidades de seguridad de Azure Backup que le ayudan a proteger los datos de copia de seguridad y a satisfacer las necesidades de seguridad de su negocio.This article lists security capabilities in Azure Backup that help you protect your backup data and meet the security needs of your business.

Administración y control de identidades y del acceso de usuariosManagement and control of identity and user access

Las cuentas de almacenamiento empleadas por los almacenes de Recovery Services están aisladas, y los usuarios no pueden acceder a ellas con fines malintencionados.Storage accounts used by Recovery Services vaults are isolated and can't be accessed by users for any malicious purposes. Solo se permite el acceso mediante operaciones de administración de Azure Backup, como la restauración.The access is only allowed through Azure Backup management operations, such as restore. Azure Backup le permite controlar las operaciones administradas mediante acceso específico con control de acceso basado en rol (RBAC) de Azure.Azure Backup enables you to control the managed operations through fine-grained access using Azure role-based access control (Azure RBAC). Azure RBAC permite repartir las tareas entre el equipo y conceder a los usuarios únicamente el nivel de acceso que necesitan para realizar su trabajo.Azure RBAC allows you to segregate duties within your team and grant only the amount of access to users necessary to do their jobs.

Azure Backup proporciona tres roles integrados para controlar las operaciones de administración de copia de seguridad:Azure Backup provides three built-in roles to control backup management operations:

  • Colaborador de copia de seguridad: crea y administra las copias de seguridad, excepto para eliminar el almacén de Recovery Services y facilitar acceso a otros usuarios.Backup Contributor - to create and manage backups, except deleting Recovery Services vault and giving access to others
  • Operador de copia de seguridad: hace todo lo que puede hacer un colaborador, excepto quitar copias de seguridad y administrar directivas de copia de seguridad.Backup Operator - everything a contributor does except removing backup and managing backup policies
  • Lector de copia de seguridad: tiene permisos para ver todas las operaciones de administración de copia de seguridad.Backup Reader - permissions to view all backup management operations

Obtenga más información sobre el control de acceso basado en roles de Azure para administrar puntos de recuperación de Azure Backup.Learn more about Azure role-based access control to manage Azure Backup.

Azure Backup tiene varios controles de seguridad integrados en el servicio para evitar, detectar y responder a los puntos vulnerables de seguridad.Azure Backup has several security controls built into the service to prevent, detect, and respond to security vulnerabilities. Obtenga más información sobre los controles de seguridad para Azure Backup.Learn more about security controls for Azure Backup.

Separación entre el invitado y Azure StorageSeparation between guest and Azure storage

Con Azure Backup, que incluye copias de seguridad de máquina virtual y copias de seguridad de SQL y SAP HANA en máquinas virtuales, los datos de copia de seguridad se almacenan en Azure Storage y el invitado no tiene acceso directo al almacenamiento de copia de seguridad ni su contenido.With Azure Backup, which includes virtual machine backup and SQL and SAP HANA in VM backup, the backup data is stored in Azure storage and the guest has no direct access to backup storage or its contents. En las copias de seguridad de máquina virtual, la creación y el almacenamiento de la instantánea de copia de seguridad se realizan mediante el tejido de Azure, donde el invitado no tiene más implicación que poner en modo inactivo la carga de trabajo para conseguir copias de seguridad coherentes.With virtual machine backup, the backup snapshot creation and storage is done by Azure fabric where the guest has no involvement other than quiescing the workload for application consistent backups. En el caso de SQL y SAP HANA, la extensión de copia de seguridad obtiene acceso temporal para escribir en blobs específicos.With SQL and SAP HANA, the backup extension gets temporary access to write to specific blobs. De esta manera, incluso en un entorno en peligro, el invitado no podrá alterar ni eliminar las copias de seguridad existentes.In this way, even in a compromised environment, existing backups can't be tampered with or deleted by the guest.

No se requiere conectividad a Internet para la copia de seguridad de máquinas virtuales de AzureInternet connectivity not required for Azure VM backup

La copia de seguridad de las máquinas virtuales de Azure precisa que se muevan los datos del disco de la máquina virtual al almacén de Recovery Services.Backup of Azure VMs requires movement of data from your virtual machine's disk to the Recovery Services vault. Sin embargo, todas las comunicaciones y transferencias de datos necesarias solo se producen en la red troncal de Azure, sin necesidad de acceder a la red virtual.However, all the required communication and data transfer happens only on the Azure backbone network without needing to access your virtual network. Por lo tanto, la copia de seguridad de las máquinas virtuales de Azure colocadas dentro de redes protegidas no requiere que permita el acceso a direcciones IP ni nombres de dominio completo.Therefore, backup of Azure VMs placed inside secured networks doesn't require you to allow access to any IPs or FQDNs.

Puntos de conexión privados para Azure BackupPrivate Endpoints for Azure Backup

Ahora puede usar puntos de conexión privados para realizar copias de seguridad de los datos de forma segura desde los servidores de una red virtual al almacén de Recovery Services.You can now use Private Endpoints to back up your data securely from servers inside a virtual network to your Recovery Services vault. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual para el almacén, por lo que no es necesario exponer las redes virtuales a ninguna dirección IP pública.The private endpoint uses an IP from the VNET address space for your vault, so you don't need to expose your virtual networks to any public IPs. Los puntos de conexión privados se pueden usar para realizar copias de seguridad y restaurar las bases de datos de SQL y SAP HANA que se ejecutan dentro de las máquinas virtuales de Azure.Private Endpoints can be used for backing up and restoring your SQL and SAP HANA databases that run inside your Azure VMs. También se puede usar para los servidores locales mediante el agente de MARS.It can also be used for your on-premises servers using the MARS agent.

Obtenga más información sobre los puntos de conexión privados para Azure Backup aquí.Read more on private endpoints for Azure Backup here.

Cifrado de datosEncryption of data

Mediante el cifrado, se protegen los datos y es más fácil cumplir los compromisos de cumplimiento y seguridad de la organización.Encryption protects your data and helps you to meet your organizational security and compliance commitments. El cifrado de datos se produce en muchas fases en Azure Backup:Data encryption occurs in many stages in Azure Backup:

Protección de los datos de copia de seguridad ante eliminaciones accidentalesProtection of backup data from unintentional deletes

Azure Backup proporciona características de seguridad que ayudan a proteger los datos de copia de seguridad incluso después de su eliminación.Azure Backup provides security features to help protect backup data even after deletion. Con la eliminación temporal, si un usuario elimina la copia de seguridad de una máquina virtual, los datos de copia de seguridad se conservan durante 14 días más, lo que permite la recuperación de ese elemento de copia de seguridad sin pérdida de datos.With soft delete, if user deletes the backup of a VM, the backup data is retained for 14 additional days, allowing the recovery of that backup item with no data loss. Esta retención adicional de 14 días de los datos de copia de seguridad en el estado de "eliminación temporal" no le supone ningún costo.The additional 14 days retention of backup data in the "soft delete" state doesn't incur any cost to you. Más información sobre la eliminación temporal.Learn more about soft delete.

Supervisión y alertas por actividad sospechosaMonitoring and alerts of suspicious activity

Azure Backup proporciona funcionalidades de supervisión y alertas integradas para ver y configurar acciones en eventos relacionados con Azure Backup.Azure Backup provides built-in monitoring and alerting capabilities to view and configure actions for events related to Azure Backup. La solución Informes de Backup sirve como destino único para realizar el seguimiento del uso, para llevar a cabo la auditoría de copias de seguridad y restauraciones, y para identificar las tendencias clave en diferentes niveles de granularidad.Backup Reports serve as a one-stop destination for tracking usage, auditing of backups and restores, and identifying key trends at different levels of granularity. El uso de las herramientas de supervisión e informes de Azure Backup puede avisarle de cualquier actividad no autorizada, sospechosa o malintencionada en cuanto se produzca.Using Azure Backup's monitoring and reporting tools can alert you to any unauthorized, suspicious, or malicious activity as soon as they occur.

Características de seguridad que ayudan a proteger las copias de seguridad híbridasSecurity features to help protect hybrid backups

El servicio Azure Backup usa el agente de Microsoft Azure Recovery Services (MARS) para crear copias de seguridad y restaurar archivos y carpetas, así como el estado del volumen o el sistema desde un equipo local en Azure.Azure Backup service uses the Microsoft Azure Recovery Services (MARS) agent to back up and restore files, folders, and the volume or system state from an on-premises computer to Azure. Ahora MARS ofrece características de seguridad para ayudar a proteger las copias de seguridad híbridas.MARS now provides security features to help protect hybrid backups. Estas características son:These features include:

  • Se agrega una capa adicional de autenticación cada vez que se realiza una operación crítica, como cambiar la frase de contraseña.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Esta validación se realiza para asegurarse de que dichas operaciones solo pueden realizarlas usuarios que tengan credenciales de Azure válidas.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials. Más información sobre las características que impiden ataques.Learn more about the features that prevent attacks.

  • Los datos de copia de seguridad eliminados se conservan durante 14 días a partir de la fecha de la eliminación.Deleted backup data is retained for an additional 14 days from the date of deletion. Esto garantiza la capacidad de recuperación de los datos en un período dado, con el fin de que no haya pérdida de datos aunque se produzca un ataque.This ensures recoverability of the data within a given time period, so there's no data loss even if an attack happens. Además, se mantiene un mayor número de puntos de recuperación mínimos para protegerse contra datos dañados.Also, a greater number of minimum recovery points are maintained to guard against corrupt data. Más información sobre la recuperación de datos de copia de seguridad eliminados.Learn more about recovering deleted backup data.

  • En el caso de los datos cuya copia de seguridad se ha realizado mediante el agente de Microsoft Azure Recovery Services (MARS), se usa una frase de contraseña para asegurarse de que los datos se cifran antes de la carga en Azure Backup y se descifran solo después de la descarga desde Azure Backup.For data backed up using the Microsoft Azure Recovery Services (MARS) agent, a passphrase is used to ensure data is encrypted before upload to Azure Backup and decrypted only after download from Azure Backup. Los detalles de la frase de contraseña solo están disponibles para el usuario que creó dicha frase y para el agente que se configura con ella.The passphrase details are only available to the user who created the passphrase and the agent that's configured with it. No se transmite ni se comparte nada con el servicio.Nothing is transmitted or shared with the service. Esto garantiza la seguridad completa de los datos, ya que cualquier dato que se exponga involuntariamente (por ejemplo, en un ataque de tipo "Man in the Middle" en la red) no se podrá usar sin la frase de contraseña y esta no se envía a través de la red.This ensures complete security of your data, as any data that's exposed inadvertently (such as a man-in-the-middle attack on the network) is unusable without the passphrase, and the passphrase isn't sent over the network.

Cumplimiento de los requisitos de seguridad estandarizadosCompliance with standardized security requirements

Para ayudar a las organizaciones a cumplir los requisitos nacionales, regionales y específicos del sector que rigen la recopilación y el uso de los datos de las personas, Microsoft Azure y Azure Backup ofrecen un completo conjunto de certificaciones y testimonios.To help organizations comply with national, regional, and industry-specific requirements governing the collection and use of individuals' data, Microsoft Azure & Azure Backup offer a comprehensive set of certifications and attestations. Consulte la lista de certificaciones de cumplimiento.See the list of compliance certifications

Pasos siguientesNext steps