Vue d’ensemble des fonctionnalités de sécurité de Sauvegarde AzureOverview of security features in Azure Backup

L’une des mesures les plus importantes que vous puissiez prendre pour protéger vos données consiste à vous doter d’une infrastructure de sauvegarde fiable.One of the most important steps you can take to protect your data is to have a reliable backup infrastructure. Mais il est tout aussi important de vous assurer que vos données sont sauvegardées de façon sécurisée et que vos sauvegardes sont protégées à tout moment.But it's just as important to ensure that your data is backed up in a secure fashion, and that your backups are protected at all times. Le service Sauvegarde Azure assure la sécurité de votre environnement de sauvegarde, tant lorsque vos données sont en transit que quand elles sont au repos.Azure Backup provides security to your backup environment - both when your data is in transit and at rest. Cet article répertorie les fonctionnalités de sécurité de Sauvegarde Azure qui vous aident à protéger vos données de sauvegarde et à répondre aux besoins de votre entreprise en matière de sécurité.This article lists security capabilities in Azure Backup that help you protect your backup data and meet the security needs of your business.

Gestion et contrôle des identités et des accès utilisateurManagement and control of identity and user access

Les comptes de stockage utilisés par les coffres Recovery Services sont isolés et ne sont pas accessibles aux utilisateurs à des fins malveillantes.Storage accounts used by Recovery Services vaults are isolated and can't be accessed by users for any malicious purposes. L’accès est autorisé uniquement par le biais d’opérations de gestion de Sauvegarde Azure, telles que la restauration.The access is only allowed through Azure Backup management operations, such as restore. Le service Sauvegarde Azure vous permet de contrôler les opérations managées avec une finesse de précision au niveau des accès à l’aide de la fonctionnalité de contrôle d’accès en fonction du rôle (Azure RBAC).Azure Backup enables you to control the managed operations through fine-grained access using Azure role-based access control (Azure RBAC). Azure RBAC vous permet de séparer les tâches au sein de votre équipe, et de n’accorder aux utilisateurs que l’accès nécessaire pour accomplir leur travail.Azure RBAC allows you to segregate duties within your team and grant only the amount of access to users necessary to do their jobs.

Le service Sauvegarde Azure fournit trois rôles intégrés pour contrôler les opérations de gestion des sauvegardes :Azure Backup provides three built-in roles to control backup management operations:

  • Contributeur de sauvegarde : création et gestion de sauvegardes, à l’exception de la suppression du coffre Recovery Services et de l’octroi d’accès à d’autres personnesBackup Contributor - to create and manage backups, except deleting Recovery Services vault and giving access to others
  • Opérateur de sauvegarde : mêmes prérogatives que celles d’un contributeur, à l’exception de la suppression de sauvegardes et de la gestion des stratégies de sauvegardeBackup Operator - everything a contributor does except removing backup and managing backup policies
  • Lecteur de sauvegarde : autorisation d’afficher toutes les opérations de gestion des sauvegardesBackup Reader - permissions to view all backup management operations

Apprenez-en davantage sur le contrôle d’accès en fonction du rôle Azure pour gérer Sauvegarde Azure.Learn more about Azure role-based access control to manage Azure Backup.

Le service Sauvegarde Azure dispose de plusieurs contrôles de sécurité intégrés pour empêcher, détecter et traiter les failles de sécurité.Azure Backup has several security controls built into the service to prevent, detect, and respond to security vulnerabilities. Apprenez-en davantage sur les contrôles de sécurité pour le service Sauvegarde Azure.Learn more about security controls for Azure Backup.

Séparation entre l’invité et le service Stockage AzureSeparation between guest and Azure storage

Dans Sauvegarde Azure, qui inclut la sauvegarde de machine virtuelle et la sauvegarde SQL et SAP HANA dans une machine virtuelle, les données de sauvegarde sont stockées dans un stockage Azure et l’invité n’a pas d’accès direct au stockage de sauvegarde ou à son contenu.With Azure Backup, which includes virtual machine backup and SQL and SAP HANA in VM backup, the backup data is stored in Azure storage and the guest has no direct access to backup storage or its contents. Lors d’une sauvegarde de machine virtuelle, la création et le stockage de l’instantané de sauvegarde sont effectués par la structure Azure où l’invité n’a aucune implication autre que la suspension de la charge de travail pour les sauvegardes cohérentes d’applications.With virtual machine backup, the backup snapshot creation and storage is done by Azure fabric where the guest has no involvement other than quiescing the workload for application consistent backups. Avec SQL et SAP HANA, l’extension de sauvegarde obtient un accès temporaire pour écrire dans des blobs spécifiques.With SQL and SAP HANA, the backup extension gets temporary access to write to specific blobs. De cette façon, même dans un environnement compromis, l’invité ne peut ni falsifier ni supprimer des sauvegardes existantes.In this way, even in a compromised environment, existing backups can't be tampered with or deleted by the guest.

Connectivité Internet non requise pour la sauvegarde de machines virtuelles AzureInternet connectivity not required for Azure VM backup

La sauvegarde de machines virtuelles Azure nécessite un déplacement de données du disque de votre machine virtuelle vers le coffre de Recovery Services.Backup of Azure VMs requires movement of data from your virtual machine's disk to the Recovery Services vault. Toutefois, toutes les opérations de communication et de transfert de données requises se produisent uniquement sur le réseau principal Azure sans nécessité d’accéder à votre réseau virtuel.However, all the required communication and data transfer happens only on the Azure backbone network without needing to access your virtual network. Par conséquent, la sauvegarde de machines virtuelles Azure placées dans des réseaux sécurisés ne vous oblige pas à autoriser l’accès à des adresses IP ou à des noms de domaine complets.Therefore, backup of Azure VMs placed inside secured networks doesn't require you to allow access to any IPs or FQDNs.

Points de terminaison privés pour le service Sauvegarde AzurePrivate Endpoints for Azure Backup

Vous pouvez désormais utiliser des points de terminaison privés pour sauvegarder en toute sécurité les données des serveurs de votre réseau virtuel vers votre coffre Recovery Services.You can now use Private Endpoints to back up your data securely from servers inside a virtual network to your Recovery Services vault. Le point de terminaison privé utilise une adresse IP de l’espace d’adressage du réseau virtuel pour votre coffre. Vous n’avez donc pas besoin d’exposer vos réseaux virtuels à des adresses IP publiques.The private endpoint uses an IP from the VNET address space for your vault, so you don't need to expose your virtual networks to any public IPs. Les points de terminaison privés permettent de sauvegarder et de restaurer vos bases de données SQL et SAP HANA actives à l’intérieur de vos machines virtuelles Azure.Private Endpoints can be used for backing up and restoring your SQL and SAP HANA databases that run inside your Azure VMs. Ils sont également utilisables pour vos serveurs locaux à l’aide de l’agent MARS.It can also be used for your on-premises servers using the MARS agent.

Pour en savoir plus sur les points de terminaison privés pour Sauvegarde Azure, cliquez ici.Read more on private endpoints for Azure Backup here.

Chiffrement des donnéesEncryption of data

Le chiffrement protège vos données et vous aide à répondre aux engagements de votre entreprise en matière de sécurité et de conformité.Encryption protects your data and helps you to meet your organizational security and compliance commitments. Le chiffrement des données se produit à de nombreuses étapes dans la sauvegarde Azure :Data encryption occurs in many stages in Azure Backup:

Protection des données de sauvegarde contre les suppressions involontairesProtection of backup data from unintentional deletes

Le service Sauvegarde Azure fournit des fonctionnalités de sécurité pour vous aider à protéger les données de sauvegarde même après leur suppression.Azure Backup provides security features to help protect backup data even after deletion. Avec la suppression réversible, si l’utilisateur supprime la sauvegarde d’une machine virtuelle, les données de sauvegarde sont conservées pendant 14 jours supplémentaires, ce qui permet la récupération de cette sauvegarde sans perte de données.With soft delete, if user deletes the backup of a VM, the backup data is retained for 14 additional days, allowing the recovery of that backup item with no data loss. La conservation des données de sauvegarde pendant 14 jours supplémentaires dans l’état « suppression réversible » n’occasionne pas de frais pour le client.The additional 14 days retention of backup data in the "soft delete" state doesn't incur any cost to you. Apprenez-en davantage sur la suppression réversible.Learn more about soft delete.

Surveillance et alertes d’activité suspecteMonitoring and alerts of suspicious activity

le service Sauvegarde Azure intègre des fonctionnalités de surveillance et d’alerte permettant d’afficher et de configurer des actions pour des événements liés au service Sauvegarde Azure.Azure Backup provides built-in monitoring and alerting capabilities to view and configure actions for events related to Azure Backup. Les Rapports de sauvegarde font office de destination unique pour le suivi de l’utilisation, l’audit des sauvegardes et des restaurations, ainsi que l’identification de tendances clés à différents niveaux de précision.Backup Reports serve as a one-stop destination for tracking usage, auditing of backups and restores, and identifying key trends at different levels of granularity. Les outils de surveillance et signalement de Sauvegarde Azure peuvent vous avertir d’activités non autorisées, suspectes ou malveillantes dès qu’elles se produisent.Using Azure Backup's monitoring and reporting tools can alert you to any unauthorized, suspicious, or malicious activity as soon as they occur.

Fonctionnalités de sécurité pour la protection de sauvegardes hybridesSecurity features to help protect hybrid backups

Le service Sauvegarde Azure utilise l’agent Microsoft Azure Recovery Services (MARS) pour sauvegarder et restaurer des fichiers, des dossiers ainsi que le volume ou l’état du système d’un ordinateur local sur Azure.Azure Backup service uses the Microsoft Azure Recovery Services (MARS) agent to back up and restore files, folders, and the volume or system state from an on-premises computer to Azure. L’agent MARS offre désormais des fonctionnalités de sécurité pour vous aider à protéger des sauvegardes hybrides.MARS now provides security features to help protect hybrid backups. Voici quelques fonctionnalités :These features include:

  • Une couche supplémentaire d’authentification est ajoutée à chaque fois qu’une opération critique (par exemple, Modifier la phrase secrète) est effectuée.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Cette validation permet de garantir que ces opérations ne peuvent être effectuées que par les utilisateurs ayant des informations d’identification Azure valides.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials. Apprenez-en davantage sur les fonctionnalités qui empêchent les attaques.Learn more about the features that prevent attacks.

  • Les données de sauvegarde supprimées sont conservées pendant 14 jours à compter de la date de suppression.Deleted backup data is retained for an additional 14 days from the date of deletion. Cela garantit la possibilité de les récupérer dans un délai donné afin d’éviter toute perte, même en cas d’attaque.This ensures recoverability of the data within a given time period, so there's no data loss even if an attack happens. En outre, les points de récupération minimum sont conservés en plus grand nombre pour offrir une protection contre les données corrompues.Also, a greater number of minimum recovery points are maintained to guard against corrupt data. Apprenez-en davantage sur la récupération des données de sauvegarde supprimées.Learn more about recovering deleted backup data.

  • Pour les données sauvegardées à l’aide de l’agent Microsoft Azure Recovery Services (MARS), une phrase secrète est utilisée pour garantir que les données sont chiffrées avant leur chargement vers Sauvegarde Azure et déchiffrées uniquement après leur téléchargement à partir du service.For data backed up using the Microsoft Azure Recovery Services (MARS) agent, a passphrase is used to ensure data is encrypted before upload to Azure Backup and decrypted only after download from Azure Backup. Les détails de la phrase secrète ne sont accessibles qu’à l’utilisateur qui l’a créée et à l’agent associé configuré.The passphrase details are only available to the user who created the passphrase and the agent that's configured with it. Rien n’est transmis ou partagé avec le service.Nothing is transmitted or shared with the service. Cela garantit une sécurité totale de vos données, car toutes les données exposées par inadvertance (par exemple, une attaque de l’intercepteur sur le réseau) sont inutilisables sans la phrase secrète, et celle-ci n’est pas envoyée sur le réseau.This ensures complete security of your data, as any data that's exposed inadvertently (such as a man-in-the-middle attack on the network) is unusable without the passphrase, and the passphrase isn't sent over the network.

Conformité aux exigences de sécurité standardiséesCompliance with standardized security requirements

Pour aider les entreprises à répondre aux exigences nationales, régionales et sectorielles régissant la collecte et l’utilisation des données des personnes, Microsoft Azure et le service Stockage Azure offrent un ensemble complet de certifications et d’attestations.To help organizations comply with national, regional, and industry-specific requirements governing the collection and use of individuals' data, Microsoft Azure & Azure Backup offer a comprehensive set of certifications and attestations. Consultez la liste des certifications de conformitéSee the list of compliance certifications

Étapes suivantesNext steps