Fitur keamanan untuk membantu melindungi cadangan hibrid yang menggunakan Azure Backup
Kekhawatiran tentang masalah keamanan, seperti malware, ransomware, dan intrusi, meningkat. Masalah keamanan ini dapat menjadi mahal, dalam hal uang dan data. Untuk melindungi dari serangan tersebut, Azure Backup kini menyediakan fitur keamanan untuk membantu melindungi cadangan hibrid. Artikel ini berisi tentang cara mengaktifkan dan memanfaatkan fitur-fitur ini untuk melindungi beban kerja lokal menggunakan Microsoft Azure Backup Server (MABS), Data Protection Manager (DPM), dan agen Microsoft Azure Recovery Services (MARS). Fitur ini mencakup:
- Pencegahan. Lapisan autentikasi tambahan ditambahkan setiap kali operasi penting seperti mengubah frasa sandi dilakukan. Validasi ini untuk memastikan bahwa operasi tersebut hanya dapat dilakukan oleh pengguna yang memiliki kredensial Azure yang valid.
- Memperingatkan. Pemberitahuan email dikirim ke admin langganan setiap kali operasi penting seperti menghapus data cadangan dilakukan. Email ini memastikan bahwa pengguna diberi tahu dengan cepat tentang tindakan tersebut.
- Pemulihan. Data cadangan yang dihapus disimpan selama 14 hari tambahan sejak tanggal penghapusan. Ini memastikan pemulihan data dalam periode waktu tertentu, sehingga tidak ada data yang hilang bahkan jika serangan terjadi. Juga, sejumlah besar titik pemulihan minimum dipertahankan untuk menjaga terhadap data yang rusak.
Catatan
Aktifkan Otorisasi multi-pengguna (MUA) di vault layanan pemulihan Anda untuk menambahkan lapisan perlindungan tambahan ke operasi penting penonaktifan fitur keamanan. Pelajari lebih lanjut.
Persyaratan versi minimum
Aktifkan fitur keamanan hanya jika Anda menggunakan:
- Agen Azure Backup: Versi agen minimum 2.0.9052. Setelah mengaktifkan fitur ini, tingkatkan versi agen untuk melakukan operasi penting.
- Server Azure Backup: Agen Azure Backup Minimum versi 2.0.9052 dengan Pembaruan Server Azure Backup 1.
- Manajer Perlindungan Data Pusat Sistem: Agen Azure Backup Minimum versi 2.0.9052 dengan Manajer Perlindungan Data 2012 R2 UR12/ Manajer Perlindungan Data 2016 UR2.
Catatan
Pastikan Anda tidak mengaktifkan fitur keamanan jika Anda menggunakan cadangan VM infrastruktur sebagai layanan (IaaS). Saat ini, fitur-fitur ini tidak tersedia untuk pencadangan VM infrastruktur sebagai layanan dan dengan demikian, mengaktifkannya tidak akan berdampak.
Mengaktifkan fitur keamanan
Jika Anda membuat kubah Layanan Pemulihan, Anda dapat menggunakan semua fitur keamanan. Jika Anda bekerja dengan kubah yang sudah ada, aktifkan fitur keamanan dengan mengikuti langkah-langkah berikut:
Masuk ke portal Azure dengan menggunakan kredensial Azure Anda.
Pilih Telusuri,dan ketik Layanan Pemulihan.
Daftar vault Layanan Pemulihan akan muncul. Dari daftar ini, pilih satu kubah. Dasbor vault yang dipilih terbuka.
Dari daftar item yang muncul di bawah kubah, di bawah Pengaturan , pilih Properti.
Di bawah Pengaturan Keamanan, pilih Perbarui.
Link pembaruan membuka panel Pengaturan Keamanan, yang menyediakan ringkasan fitur dan memungkinkan Anda mengaktifkannya.
Aktifkan fitur keamanan dan pilih Simpan.
Memulihkan data cadangan yang dihapus
Jika pengaturan fitur keamanan diaktifkan, Azure Backup akan menyimpan data cadangan yang dihapus selama 14 hari setelahnya, dan tidak langsung menghapusnya jika operasi Hentikan pencadangan dengan hapus data cadangan dilakukan. Untuk memulihkan data ini dalam periode 14 hari, lakukan langkah-langkah berikut, bergantung pada apa yang Anda gunakan:
Untuk pengguna Agen Layanan Pemulihan Microsoft Azure:
- Jika komputer tempat cadangan terjadi masih tersedia, proteksi kembali sumber data yang dihapus, dan gunakan Pulihkan data ke komputer yang sama di Layanan Pemulihan Azure, untuk memulihkan dari semua titik pemulihan lama.
- Jika komputer ini tidak tersedia, gunakan Pulihkan ke mesin alternatif untuk menggunakan komputer Layanan Pemulihan Azure lain untuk mendapatkan data ini.
Untuk pengguna Azure Backup Server:
- Jika server tempat cadangan terjadi masih tersedia, proteksi kembali sumber data yang dihapus, dan gunakan fitur Pulihkan Data untuk memulihkan dari semua titik pemulihan lama.
- Jika server ini tidak tersedia, gunakan Pulihkan data dari Server Azure Backup lain untuk menggunakan instans Server Azure Backup lain untuk mendapatkan data ini.
Untuk pengguna Manajer Perlindungan Data:
- Jika server tempat cadangan terjadi masih tersedia, proteksi kembali sumber data yang dihapus, dan gunakan fitur Pulihkan Data untuk memulihkan dari semua titik pemulihan lama.
- Jika server ini tidak tersedia, gunakan Tambahkan DPM Eksternal untuk menggunakan server Manajer Perlindungan Data lain untuk mendapatkan data ini.
Mencegah serangan
Pemeriksaan telah ditambahkan untuk memastikan hanya pengguna yang valid yang dapat melakukan berbagai operasi. Ini termasuk menambahkan lapisan autentikasi tambahan, dan mempertahankan rentang retensi minimum untuk tujuan pemulihan.
Autentikasi untuk melakukan operasi penting
Sebagai bagian dari menambahkan lapisan autentikasi tambahan untuk operasi penting, Anda diminta untuk memasukkan PIN keamanan saat Anda melakukan Operasi Hentikan Perlindungan dengan Hapus data dan Ubah Frasa Sandi untuk DPM, MABS, dan MARS.
Selain itu, dengan MARS versi 2.0.9262.0 dan yang lebih baru, operasi untuk menghapus volume dari cadangan file/folder MARS, menambahkan pengaturan pengecualian baru untuk volume yang ada, mengurangi durasi retensi, dan pindah ke jadwal pencadangan yang kurang sering juga dilindungi dengan pin keamanan untuk keamanan tambahan.
Catatan
Saat ini, untuk versi DPM dan MABS berikut, PIN keamanan didukung untuk Hentikan Perlindungan dengan Hapus data ke penyimpanan online:
- DPM 2016 UR9 atau yang lebih baru
- DPM 2019 UR1 atau yang lebih baru
- MABS v3 UR1 atau yang lebih baru
Untuk menerima PIN ini:
- Masuk ke portal Azure.
- Buka vault Layanan Pemulihan>Pengaturan>Properti.
- Di bawah PIN Keamanan, pilih Buat. Ini membuka panel yang berisi PIN yang akan dimasukkan di antarmuka pengguna agen Layanan Pemuliha Azure. PIN ini hanya berlaku selama lima menit, dan dibuat secara otomatis setelah periode tersebut.
Mempertahankan rentang retensi minimum
Untuk memastikan bahwa selalu ada jumlah titik pemulihan valid yang tersedia, pemeriksaan berikut telah ditambahkan:
- Untuk retensi harian, minimal tujuh hari retensi harus dilakukan.
- Untuk retensi mingguan, retensi minimal empat minggu harus dilakukan.
- Untuk retensi bulanan, retensi minimal tiga bulan harus dilakukan.
- Untuk retensi tahunan, minimal satu tahun retensi harus dilakukan.
Pemberitahuan untuk operasi penting
Biasanya, ketika operasi penting dilakukan, admin langganan dikirimi pemberitahuan email dengan detail tentang operasi. Anda dapat mengonfigurasi penerima email tambahan untuk pemberitahuan ini dengan menggunakan portal Azure.
Fitur keamanan yang disebutkan dalam artikel ini menyediakan mekanisme pertahanan terhadap serangan yang ditargetkan. Lebih penting lagi, jika serangan terjadi, fitur-fitur ini memberi Anda kemampuan untuk memulihkan data Anda.
Memecahkan masalah kesalahan
| Operasi | Detail kesalahan | Resolusi |
|---|---|---|
| Perubahan kebijakan | Kebijakan pencadangan tidak dapat dimodifikasi. Kesalahan: Operasi saat ini gagal karena kesalahan layanan internal [0x29834]. Coba lagi operasi setelah beberapa saat. Jika masalah berlanjut, hubungi dukungan Microsoft. | Penyebab: Kesalahan ini muncul saat pengaturan keamanan diaktifkan, Anda mencoba mengurangi rentang penyimpanan di bawah nilai minimum yang ditentukan di atas dan Anda menggunakan versi yang tidak didukung (versi yang didukung ditentukan dalam catatan pertama artikel ini). Tindakan yang Disarankan: Dalam hal ini, Anda harus menetapkan periode retensi di atas periode retensi minimum yang ditentukan (tujuh hari untuk harian, empat minggu untuk mingguan, tiga minggu untuk bulanan atau satu tahun untuk tahunan) untuk melanjutkan pembaruan terkait kebijakan. Secara opsional, pendekatan yang disukai adalah pembaruan agen cadangan, Server Azure Backup dan/atau DPM UR untuk memanfaatkan semua pembaruan keamanan. |
| Ubah Frasa sandi | PIN keamanan yang dimasukkan keliru. (ID: 100130) Sediakan PIN Keamanan yang benar untuk menyelesaikan operasi ini. | Penyebab: Kesalahan ini muncul ketika Anda memasukkan PIN Keamanan yang tidak valid atau kedaluwarsa saat melakukan operasi kritis (seperti ubah frasa sandi). Tindakan yang Disarankan: Untuk menyelesaikan operasi ini, masukkan PIN keamanan yang valid. Untuk mendapatkan PIN, masuk ke portal Microsoft Azure dan navigasikan ke vault Layanan Pemulihan > Aturan > Properti > Buat PIN Keamanan. Gunakan PIN ini untuk mengubah frasa sandi. |
| Ubah Frasa sandi | Operasi gagal. ID: 120002 | Penyebab: Kesalahan ini muncul saat pengaturan keamanan diaktifkan, Anda mencoba mengubah frasa sandi dan Anda berada di versi yang tidak didukung (versi valid yang ditentukan dalam catatan pertama artikel ini). Tindakan yang Disarankan: Untuk mengubah frasa sandi, Anda harus terlebih dahulu memperbarui agen cadangan ke versi minimum 2.0.9052, Azure Backup Server minimum ke pembaruan 1, dan/atau DPM ke minimum DPM 2012 R2 UR12 atau DPM 2016 UR2 (tautan unduhan di bawah), lalu masukkan PIN Keamanan yang valid. Untuk mendapatkan PIN, masuk ke portal Microsoft Azure dan navigasikan ke vault Layanan Pemulihan > Aturan > Properti > Buat PIN Keamanan. Gunakan PIN ini untuk mengubah frasa sandi. |
Dukungan kekekalan
Saat kekekalan untuk vault Layanan Pemulihan Anda diaktifkan, operasi yang mengurangi retensi cadangan cloud atau menghapus cadangan cloud untuk sumber data lokal diblokir.
Dukungan imutabilitas untuk DPM dan MABS
Fitur ini didukung dengan agen MARS versi 2.0.9250.0 dan yang lebih tinggi dari DPM 2022 UR1 dan MABS v4.
Tabel berikut mencantumkan operasi yang tidak diizinkan pada DPM yang tersambung ke Pemulihan yang tidak dapat diubah:
| Operasi pada vault yang tidak dapat diubah | Hasil dengan DPM 2022 UR1, MABS v4, dan agen MARS terbaru. Dengan DPM 2022 UR2 atau MABS v4 UR1, Anda dapat memilih opsi untuk mempertahankan titik pemulihan online berdasarkan kebijakan saat menghentikan perlindungan atau menghapus sumber data dari grup perlindungan dari konsol. |
Hasil dengan agen DPM/MABS dan atau MARS yang lebih lama |
|---|---|---|
| Hapus Sumber Data dari grup perlindungan yang dikonfigurasi untuk pencadangan online | 81001: Item cadangan tidak dapat dihapus karena memiliki titik pemulihan aktif, dan vault yang dipilih adalah vault yang tidak dapat diubah. | 130001: Microsoft Azure Backup mengalami kesalahan internal. |
| Menghentikan perlindungan dengan menghapus data | 81001: Item cadangan tidak dapat dihapus karena memiliki titik pemulihan aktif, dan vault yang dipilih adalah vault yang tidak dapat diubah. Dengan DPM 2022 UR2 atau MABS v4 UR1, Anda dapat memilih opsi untuk mempertahankan titik pemulihan online berdasarkan kebijakan saat menghentikan perlindungan atau menghapus sumber data dari grup perlindungan dari konsol. |
130001: Microsoft Azure Backup mengalami kesalahan internal. |
| Mengurangi periode retensi online | 810002: Pengurangan retensi selama modifikasi Kebijakan/Perlindungan tidak diizinkan karena vault yang dipilih tidak dapat diubah. | 130001: Microsoft Azure Backup mengalami kesalahan internal. |
| Perintah Remove-DPMChildDatasource | 81001: Item cadangan tidak dapat dihapus karena memiliki titik pemulihan aktif, dan vault yang dipilih adalah vault yang tidak dapat diubah. Gunakan opsi baru -EnableOnlineRPsPruning dengan -KeepOnlineData untuk menyimpan data hanya hingga durasi kebijakan. Dengan DPM 2022 UR2 atau MABS v4 UR1, Anda dapat memilih opsi untuk mempertahankan titik pemulihan online berdasarkan kebijakan saat menghentikan perlindungan atau menghapus sumber data dari grup perlindungan dari konsol. |
130001: Microsoft Azure Backup mengalami kesalahan internal. Gunakan bendera -KeepOnlineData untuk menyimpan data. |
Dukungan imutabilitas untuk MARS
Tabel berikut mencantumkan operasi yang tidak diizinkan untuk MARS saat imutabilitas diaktifkan pada vault Layanan Pemulihan. Operasi lain, seperti meningkatkan retensi dan tidak termasuk file/folder dari cadangan diizinkan.
| Operasi tidak diizinkan | Hasil dengan agen MARS terbaru | Hasil dengan agen MARS lama |
|---|---|---|
| Menghentikan perlindungan dengan menghapus data untuk status sistem | Kesalahan 810001 Pengguna mencoba menghapus item cadangan atau menghentikan perlindungan dengan menghapus data di mana item cadangan memiliki titik pemulihan yang valid (tidak kedaluwarsa). |
Kesalahan 130001 Microsoft Azure Backup menemui kesalahan internal. |
| Menghentikan perlindungan dengan menghapus data | Kesalahan 810001 Pengguna mencoba menghapus item cadangan atau menghentikan perlindungan dengan menghapus data di mana item cadangan memiliki titik pemulihan yang valid (tidak kedaluwarsa). |
Kesalahan 130001 Microsoft Azure Backup menemui kesalahan internal. MARS 2.0.9262.0 dan yang lebih baru memberikan opsi untuk menghentikan perlindungan dan mempertahankan titik pemulihan sesuai dengan kebijakan di konsol. |
| Mengurangi periode retensi online | Pengguna mencoba mengubah kebijakan atau perlindungan dengan pengurangan retensi. | 130001 Microsoft Azure Backup menemui kesalahan internal. |
| Hapus-OBPolicy dengan bendera -DeleteBackup | 810001 Pengguna mencoba menghapus item cadangan atau menghentikan perlindungan dengan menghapus data di mana item cadangan memiliki titik pemulihan yang valid (tidak kedaluwarsa). Gunakan bendera –EnablePruning untuk menyimpan cadangan hingga periode retensi mereka. |
130001 Microsoft Azure Backup menemui kesalahan internal. Jangan gunakan bendera -DeleteBackup . MARS 2.0.9262.0 dan yang lebih baru memberikan opsi untuk menghentikan perlindungan dan mempertahankan titik pemulihan sesuai dengan kebijakan di konsol. |
Langkah berikutnya
- Mulai gunakan kubah Layanan Pemulihan Azure untuk mengaktifkan fitur ini.
- Unduh agen Layanan Pemulihan Azure terbaru untuk membantu melindungi komputer Windows dan menjaga data cadangan Anda dari serangan.