Funzionalità di sicurezza per la protezione dei backup ibridi che usano Backup di AzureSecurity features to help protect hybrid backups that use Azure Backup

Le preoccupazioni riguardo ai problemi di sicurezza, come malware, ransomware e intrusioni, aumentano continuamente.Concerns about security issues, like malware, ransomware, and intrusion, are increasing. Questi problemi di sicurezza possono essere costosi in termini di denaro e di dati.These security issues can be costly, in terms of both money and data. Per evitare questi attacchi, Backup di Azure offre ora una serie di funzionalità di sicurezza per la protezione dei backup ibridi.To guard against such attacks, Azure Backup now provides security features to help protect hybrid backups. Questo articolo descrive come abilitare e usare queste funzionalità tramite un agente di Servizi di ripristino di Azure e il server di Backup di Azure.This article covers how to enable and use these features, by using an Azure Recovery Services agent and Azure Backup Server. Queste funzionalità includono:These features include:

  • Prevenzione.Prevention. Ogni volta che viene eseguita un'operazione critica, come la modifica di una passphrase, viene aggiunto un ulteriore livello di autenticazione.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Questa convalida serve a garantire che tali operazioni possano essere eseguite solo dagli utenti che hanno credenziali di Azure valide.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials.
  • Invio di avvisi.Alerting. Ogni volta che viene eseguita un'operazione critica, come l'eliminazione dei dati di backup, viene inviata una notifica tramite posta elettronica all'amministratore della sottoscrizione.An email notification is sent to the subscription admin whenever a critical operation like deleting backup data is performed. Questo messaggio di posta elettronica garantisce che l'utente venga informato rapidamente riguardo a tali azioni.This email ensures that the user is notified quickly about such actions.
  • Ripristino.Recovery. I dati di backup eliminati vengono conservati per altri 14 giorni dalla data di eliminazione.Deleted backup data is retained for an additional 14 days from the date of the deletion. In questo modo, viene garantita la possibilità di recuperare i dati entro un certo periodo di tempo, così da scongiurare la perdita di dati anche in caso di attacco.This ensures recoverability of the data within a given time period, so there is no data loss even if an attack happens. Inoltre, viene conservato un maggior numero di punti di recupero per prevenire il rischio di dati danneggiati.Also, a greater number of minimum recovery points are maintained to guard against corrupt data.

Nota

Le funzionalità di sicurezza non devono essere abilitate se si usa il backup di VM IaaS (Infrastructure as a Service, infrastruttura distribuita come servizio).Security features should not be enabled if you are using infrastructure as a service (IaaS) VM backup. Poiché queste funzionalità non sono ancora disponibili per il backup di VM IaaS, la loro abilitazione non avrà alcun impatto.These features are not yet available for IaaS VM backup, so enabling them will not have any impact. Le funzionalità di sicurezza devono essere abilitate solo se si usa:Security features should be enabled only if you are using:

  • Agente di Backup di Azure.Azure Backup agent. Versione minima dell'agente: 2.0.9052.Minimum agent version 2.0.9052. Dopo aver abilitato queste funzionalità, è necessario eseguire l'aggiornamento a questa versione dell'agente per poter eseguire operazioni critiche.After you have enabled these features, you should upgrade to this agent version to perform critical operations.
  • Server di Backup di Azure.Azure Backup Server. Versione minima dell'agente di Backup di Azure: 2.0.9052, con l'aggiornamento 1 del server di Backup di Azure.Minimum Azure Backup agent version 2.0.9052 with Azure Backup Server update 1.
  • System Center Data Protection Manager.System Center Data Protection Manager. Versione minima dell'agente di Backup di Azure: 2.0.9052, con Data Protection Manager 2012 R2 UR12 o Data Protection Manager 2016 UR2.Minimum Azure Backup agent version 2.0.9052 with Data Protection Manager 2012 R2 UR12 or Data Protection Manager 2016 UR2.

Nota

Queste funzionalità sono disponibili solo per l'insieme di credenziali dei Servizi di ripristino.These features are available only for Recovery Services vault. Tutti i nuovi insiemi di credenziali creati con i Servizi di ripristino hanno queste funzionalità abilitate per impostazione predefinita.All the newly created Recovery Services vaults have these features enabled by default. Per gli insiemi di credenziali di Servizi di ripristino esistenti, gli utenti devono abilitare queste funzionalità tramite i passaggi descritti nella sezione seguente.For existing Recovery Services vaults, users enable these features by using the steps mentioned in the following section. Una volta abilitate, le funzionalità vengono applicate a tutti i computer dell'agente di Servizi di ripristino, le istanze del server di Backup di Azure e i server Data Protection Manager registrati con l'insieme di credenziali.After the features are enabled, they apply to all the Recovery Services agent computers, Azure Backup Server instances, and Data Protection Manager servers registered with the vault. L'abilitazione di questa impostazione è un'azione eseguibile una volta sola e in seguito non sarà più possibile disabilitare le funzionalità.Enabling this setting is a one-time action, and you cannot disable these features after enabling them.

Abilitare le funzionalità di sicurezzaEnable security features

Se si crea un insieme di credenziali di Servizi di ripristino, è possibile usare tutte le funzionalità di sicurezza.If you are creating a Recovery Services vault, you can use all the security features. Se si usa un insieme di credenziali esistente, abilitare le funzionalità di sicurezza eseguendo questa procedura:If you are working with an existing vault, enable security features by following these steps:

  1. Accedere al portale di Azure con le credenziali di Azure.Sign in to the Azure portal by using your Azure credentials.
  2. Selezionare Sfoglia e quindi digitare Servizi di ripristino.Select Browse, and type Recovery Services.

    Screenshot dell'opzione Sfoglia del portale di Azure

    Verrà visualizzato l'elenco degli insiemi di credenziali dei servizi di ripristino.The list of recovery services vaults appears. Selezionare un insieme di credenziali dall'elenco.From this list, select a vault. Viene aperto il dashboard dell'insieme di credenziali selezionato.The selected vault dashboard opens.

  3. Nell'elenco degli elementi visualizzato sotto l'insieme di credenziali fare clic su Proprietà in Impostazioni.From the list of items that appears under the vault, under Settings, click Properties.

    Screenshot delle opzioni per l'insieme di credenziali di Servizi di ripristino

  4. Fare clic su Aggiorna in Impostazioni di sicurezza.Under Security Settings, click Update.

    Screenshot delle proprietà dell'insieme di credenziali di Servizi di ripristino

    Il collegamento Aggiorna apre il pannello Impostazioni di sicurezza, che contiene un riepilogo delle funzionalità e permette di abilitarle.The update link opens the Security Settings blade, which provides a summary of the features and lets you enable them.

  5. Nell'elenco a discesa È stata eseguita la configurazione di Azure Multi-Factor Authentication? selezionare un valore per confermare se Azure Multi-Factor Authentication è stato abilitato.From the drop-down list Have you configured Azure Multi-Factor Authentication?, select a value to confirm if you have enabled Azure Multi-Factor Authentication. Se è stata abilitato, verrà chiesto di eseguire l'autenticazione da un altro dispositivo, ad esempio uno smartphone, quando si accede al portale di Azure.If it is enabled, you are asked to authenticate from another device (for example, a mobile phone) while signing in to the Azure portal.

    Quando si eseguono operazioni critiche in Backup, è necessario immettere il PIN di sicurezza, disponibile nel portale di Azure.When you perform critical operations in Backup, you have to enter a security PIN, available on the Azure portal. L'abilitazione di Azure Multi-Factor Authentication aggiunge un livello di sicurezza.Enabling Azure Multi-Factor Authentication adds a layer of security. Solo gli utenti autorizzati con credenziali di Azure valide e autenticati da un secondo dispositivo potranno accedere al portale di Azure.Only authorized users with valid Azure credentials, and authenticated from a second device, can access the Azure portal.

  6. Per salvare le impostazioni di sicurezza, selezionare Abilita e fare clic su Salva.To save security settings, select Enable and click Save. È possibile selezionare Abilita solo dopo aver selezionato un valore nell'elenco È stata eseguita la configurazione di Azure Multi-Factor Authentication? nel passaggio precedente.You can select Enable only after you select a value from the Have you configured Azure Multi-Factor Authentication? list in the previous step.

    Screenshot delle impostazioni di sicurezza

Ripristino dei dati di backup eliminatiRecover deleted backup data

Backup conserva i dati di backup eliminati per altri 14 giorni anziché eliminarli immediatamente quando viene eseguita l'interruzione del backup con l'eliminazione dei dati di backup.Backup retains deleted backup data for an additional 14 days, and does not delete it immediately if the Stop backup with delete backup data operation is performed. Per ripristinare i dati entro i 14 giorni previsti, eseguire la procedura seguente, a seconda del componente usato:To restore this data in the 14-day period, take the following steps, depending on what you are using:

Per utenti dell'agente di Servizi di ripristino di Azure:For Azure Recovery Services agent users:

  1. Se il computer in cui sono stati eseguiti i backup è ancora disponibile, usare Ripristinare i dati nello stesso computer in Servizi di ripristino di Azure per recuperare i dati da tutti i punti di recupero precedenti.If the computer where backups were happening is still available, use Recover data to the same machine in Azure Recovery Services, to recover from all the old recovery points.
  2. Se invece il computer non è disponibile, scegliere Ripristinare in un altro computer per usare un altro computer con Servizi di ripristino di Azure per ottenere questi dati.If this computer is not available, use Recover to an alternate machine to use another Azure Recovery Services computer to get this data.

Per gli utenti che usano il server di Backup di Azure:For Azure Backup Server users:

  1. Se il server in cui sono stati eseguiti i backup è ancora disponibile, proteggere di nuovo le origini dati eliminate e usare la funzionalità di ripristino dei dati per recuperare i dati da tutti i punti di recupero precedenti.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Se questo server non è disponibile, scegliere Ripristinare i dati da un altro server di Backup di Azure per usare un'altra istanza del server di Backup di Azure per ottenere questi dati.If this server is not available, use Recover data from another Azure Backup Server to use another Azure Backup Server instance to get this data.

Per gli utenti di Data Protection Manager:For Data Protection Manager users:

  1. Se il server in cui sono stati eseguiti i backup è ancora disponibile, proteggere di nuovo le origini dati eliminate e usare la funzionalità di ripristino dei dati per recuperare i dati da tutti i punti di recupero precedenti.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Se questo server non è disponibile, usare Aggiungi DPM esterno per usare un altro server Data Protection Manager per ottenere questi dati.If this server is not available, use Add External DPM to use another Data Protection Manager server to get this data.

Prevenire gli attacchiPrevent attacks

Sono stati aggiunti alcuni controlli per garantire che solo gli utenti validi possano eseguire diverse operazioni.Checks have been added to make sure only valid users can perform various operations. Questi controlli includono l'aggiunta di un ulteriore livello di autenticazione e il mantenimento di un intervallo minimo di conservazione per scopi di ripristino.These include adding an extra layer of authentication, and maintaining a minimum retention range for recovery purposes.

Autenticazione per eseguire operazioni criticheAuthentication to perform critical operations

Come parte dell'aggiunta di un ulteriore livello di autenticazione per le operazioni critiche, viene chiesto di immettere un PIN di sicurezza quando si eseguono le operazioni Arresta protezione dei dati con eliminazione dei dati e Modifica passphrase.As part of adding an extra layer of authentication for critical operations, you are prompted to enter a security PIN when you perform Stop Protection with Delete data and Change Passphrase operations.

Per ricevere questo PIN:To receive this PIN:

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Passare a Insiemi di credenziali dei servizi di ripristino > Impostazioni > Proprietà.Browse to Recovery Services vault > Settings > Properties.
  3. Fare clic su Genera in PIN di sicurezza.Under Security PIN, click Generate. Verrà visualizzato un pannello contenente il PIN da immettere nell'interfaccia utente dell'agente di Servizi di ripristino di Azure.This opens a blade that contains the PIN to be entered in the Azure Recovery Services agent user interface. Questo PIN è valido solo per cinque minuti e viene generato automaticamente dopo questo periodo.This PIN is valid for only five minutes, and it gets generated automatically after that period.

Mantenimento di un intervallo minimo di conservazioneMaintain a minimum retention range

Per garantire che sia sempre disponibile un numero valido di punti di recupero, sono stati aggiunti i controlli seguenti:To ensure that there are always a valid number of recovery points available, the following checks have been added:

  • Per la conservazione giornaliera, è necessario garantire almeno sette giorni.For daily retention, a minimum of seven days of retention should be done.
  • Per la conservazione settimanale, è necessario garantire almeno quattro settimane.For weekly retention, a minimum of four weeks of retention should be done.
  • Per la conservazione mensile, è necessario garantire almeno tre mesi.For monthly retention, a minimum of three months of retention should be done.
  • Per la conservazione annuale, è necessario garantire almeno un anno.For yearly retention, a minimum of one year of retention should be done.

Notifiche relative alle operazioni criticheNotifications for critical operations

In genere, quando viene eseguita un'operazione critica, l'amministratore della sottoscrizione riceve una notifica tramite posta elettronica con i dettagli dell'operazione.Typically, when a critical operation is performed, the subscription admin is sent an email notification with details about the operation. È possibile configurare altri destinatari di posta elettronica per queste notifiche usando il portale di Azure.You can configure additional email recipients for these notifications by using the Azure portal.

Le funzionalità di sicurezza descritte in questo articolo offrono meccanismi di difesa da attacchi mirati.The security features mentioned in this article provide defense mechanisms against targeted attacks. Un aspetto ancora più importante è che se si verifica un attacco, queste funzionalità permettono di ripristinare i dati.More importantly, if an attack happens, these features give you the ability to recover your data.

Risoluzione dei problemiTroubleshooting errors

OperazioneOperation Dettagli erroreError details RisoluzioneResolution
Modifica dei criteriPolicy change Non è possibile modificare i criteri di backup.The backup policy could not be modified. Errore: impossibile eseguire l'operazione corrente a causa di un errore di servizio interno [0x29834].Error: The current operation failed due to an internal service error [0x29834]. Ripetere l'operazione in un secondo momento.Please retry the operation after sometime. Se il problema persiste, contattare il supporto tecnico Microsoft.If the issue persists, please contact Microsoft support. Causa:Cause:
Questo errore si verifica quando sono abilitate le impostazioni di sicurezza, si tenta di ridurre il periodo di mantenimento dati al sotto dei valori minimi specificati in precedenza e si usa una versione non supportata. Le versioni supportate sono specificate nella prima nota di questo articolo.This error comes when security settings are enabled, you try to reduce retention range below the minimum values specified above and you are on unsupported version (supported versions are specified in first note of this article).
Azione consigliataRecommended Action:
In questo caso, per procedere con gli aggiornamenti relativi ai criteri è necessario impostare il periodo di mantenimento dati al di sopra del valore minimo specificato (sette giorni per il backup giornaliero, quattro settimane per il backup settimanale, tre settimane per il backup mensile o un anno per il backup annuale).In this case, you should set retention period above the minimum retention period specified (seven days for daily, four weeks for weekly, three weeks for monthly or one year for yearly) to proceed with policy related udpates. Facoltativamente, per sfruttare tutti gli aggiornamenti della sicurezza un approccio consigliato è l'aggiornamento dell'agente di backup, del server di Backup di Azure e/o di DPM UR.Optionally, preferred approach would be to update backup agent, Azure Backup Server and/or DPM UR to leverage all the security updates.
Modifica della passphraseChange Passphrase Il PIN di sicurezza immesso non è corretto.Security PIN entered is incorrect. (ID: 100130) Specificare il PIN di sicurezza corretto per completare questa operazione.(ID: 100130) Provide the correct Security PIN to complete this operation. Causa:Cause:
Questo errore si verifica quando si immette un PIN di sicurezza non valido o scaduto durante l'esecuzione di operazioni critiche, ad esempio la modifica della passphrase.This error comes when you enter invalid or expired Security PIN while performing critical operation (like change passphrase).
Azione consigliata:Recommended Action:
Per completare l'operazione, è necessario immettere un PIN di sicurezza valido.To complete the operation, you must enter valid Security PIN. Per ottenere il PIN, accedere al portale di Azure e passare a Insieme di credenziali di Servizi di ripristino > Impostazioni > Proprietà > Genera PIN di sicurezza.To get the PIN, log in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Usare questo PIN per modificare la passphrase.Use this PIN to change passphrase.
Modificare la passphraseChange Passphrase Operazione non riuscita.Operation failed. ID: 120002ID: 120002 Causa:Cause:
Questo errore si verifica quando sono abilitate impostazioni di sicurezza, si tenta di modificare la passphrase e si usa una versione non supportata. Le versioni valide sono specificate nella prima nota di questo articolo.This error comes when security settings are enabled, you try to change passphrase and you are on unsupported version (valid versions specified in first note of this article).
Azione consigliataRecommended Action:
Per modificare la passphrase, è prima necessario aggiornare l'agente di backup almeno alla versione 2.0.9052, il server di Backup di Azure almeno all'Update 1 e/o DPM almeno a DPM 2012 R2 UR12 o a DPM 2016 UR2 (collegamenti per il download riportati più avanti). Immettere quindi un PIN di sicurezza valido.To change passphrase, you must first update backup agent to minimum version minimum 2.0.9052, Azure Backup server to minimum update 1, and/or DPM to minimum DPM 2012 R2 UR12 or DPM 2016 UR2 (download links below), then enter valid Security PIN. Per ottenere il PIN, accedere al Portale di Azure e passare a Insieme di credenziali di Servizi di ripristino > Impostazioni > Proprietà > Genera PIN di sicurezza.To get the PIN, log in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Usare questo PIN per modificare la passphrase.Use this PIN to change passphrase.

Passaggi successiviNext steps