Panoramica delle funzionalità di sicurezza in Backup di AzureOverview of security features in Azure Backup

Una delle decisioni più importanti che è possibile prendere per proteggere i dati consiste nel dotarsi di un'infrastruttura di backup affidabile.One of the most important steps you can take to protect your data is to have a reliable backup infrastructure. Tuttavia è altrettanto importante assicurarsi che i dati vengano sottoposti a backup in modo sicuro e che i backup siano sempre protetti.But it's just as important to ensure that your data is backed up in a secure fashion, and that your backups are protected at all times. Backup di Azure offre sicurezza per l'ambiente di backup, sia quando i dati sono in transito che quando sono inattivi.Azure Backup provides security to your backup environment - both when your data is in transit and at rest. In questo articolo vengono illustrate informazioni sulle funzionalità di sicurezza di Backup di Azure che consentono di proteggere i dati di backup e soddisfare le esigenze di sicurezza dell'azienda.This article lists security capabilities in Azure Backup that help you protect your backup data and meet the security needs of your business.

Gestione e controllo dell'identità e dell'accesso utenteManagement and control of identity and user access

Gli account di archiviazione usati dagli insiemi di credenziali dei servizi di ripristino sono isolati e non è possibile accedervi dagli utenti per scopi dannosi.Storage accounts used by Recovery Services vaults are isolated and can't be accessed by users for any malicious purposes. L'accesso è consentito solo tramite le operazioni di gestione di Backup di Azure, ad esempio il ripristino.The access is only allowed through Azure Backup management operations, such as restore. Backup di Azure consente di controllare le operazioni gestite tramite un accesso con granularità fine tramite il controllo degli accessi in base al ruolo di Azure (RBAC di Azure).Azure Backup enables you to control the managed operations through fine-grained access using Azure role-based access control (Azure RBAC). Il controllo degli accessi in base al ruolo di Azure consente di separare i compiti all'interno del team e concedere solo la quantità di accesso agli utenti necessari per svolgere i propri processi.Azure RBAC allows you to segregate duties within your team and grant only the amount of access to users necessary to do their jobs.

Backup di Azure offre tre ruoli predefiniti per controllare le operazioni di gestione del backup:Azure Backup provides three built-in roles to control backup management operations:

  • Collaboratore di backup: esegue le operazioni di creazione e gestione del backup, ad eccezione dell'eliminazione dell'insieme di credenziali di Servizi di ripristino e della possibilità di consentire l'accesso ad altri utentiBackup Contributor - to create and manage backups, except deleting Recovery Services vault and giving access to others
  • Operatore di backup: esegue tutte le operazioni svolte da un collaboratore, tranne la rimozione di backup e la gestione dei criteri di backupBackup Operator - everything a contributor does except removing backup and managing backup policies
  • Lettore di backup: ha le autorizzazioni per visualizzare tutte le operazioni di gestione del backupBackup Reader - permissions to view all backup management operations

Altre informazioni sul controllo degli accessi in base al ruolo di Azure per gestire backup di Azure.Learn more about Azure role-based access control to manage Azure Backup.

Backup di Azure include nel servizio diversi controlli di sicurezza predefiniti per prevenire, rilevare e rispondere alle vulnerabilità di sicurezza.Azure Backup has several security controls built into the service to prevent, detect, and respond to security vulnerabilities. Per altre informazioni, vedere Controlli di sicurezza per Backup di Azure.Learn more about security controls for Azure Backup.

Separazione tra guest e Archiviazione di AzureSeparation between guest and Azure storage

Con Backup di Azure, che include il backup della macchina virtuale e SQL e SAP HANA nel backup delle VM, i dati di backup vengono archiviati in Archiviazione di Azure e il guest non ha accesso diretto all'archiviazione di backup o al contenuto relativo.With Azure Backup, which includes virtual machine backup and SQL and SAP HANA in VM backup, the backup data is stored in Azure storage and the guest has no direct access to backup storage or its contents. Con il backup delle macchine virtuali, la creazione e l'archiviazione dello snapshot di backup vengono eseguite dall'infrastruttura di Azure, in cui il guest non ha alcun coinvolgimento oltre alla disattivazione del carico di lavoro per i backup coerenti con l'applicazione.With virtual machine backup, the backup snapshot creation and storage is done by Azure fabric where the guest has no involvement other than quiescing the workload for application consistent backups. Con SQL e SAP HANA, l'estensione del backup ottiene l'accesso temporaneo per la scrittura in BLOB specifici.With SQL and SAP HANA, the backup extension gets temporary access to write to specific blobs. In questo modo, anche in un ambiente compromesso, i backup esistenti non possono essere alterati o eliminati dal guest.In this way, even in a compromised environment, existing backups can't be tampered with or deleted by the guest.

Connettività Internet non necessaria per il backup delle VM di AzureInternet connectivity not required for Azure VM backup

Il backup delle macchine virtuali di Azure richiede lo spostamento dei dati dal disco della macchina virtuale all'insieme di credenziali di Servizi di ripristino.Backup of Azure VMs requires movement of data from your virtual machine's disk to the Recovery Services vault. Tuttavia, tutte le comunicazioni e il trasferimento dei dati necessari avvengono solo nella rete backbone di Azure senza dover accedere alla rete virtuale.However, all the required communication and data transfer happens only on the Azure backbone network without needing to access your virtual network. Per questo motivo, il backup delle VM di Azure inserite all'interno di reti protette non richiede di consentire l'accesso a qualsiasi IP o FQDN.Therefore, backup of Azure VMs placed inside secured networks doesn't require you to allow access to any IPs or FQDNs.

Endpoint privati per backup di AzurePrivate Endpoints for Azure Backup

È ora possibile usare gli endpoint privati per eseguire il backup dei dati in modo sicuro dai server all'interno di una rete virtuale nell'insieme di credenziali di Servizi di ripristino.You can now use Private Endpoints to back up your data securely from servers inside a virtual network to your Recovery Services vault. L'endpoint privato usa un IP dallo spazio di indirizzi della VNET per l'insieme di credenziali, quindi non è necessario esporre le reti virtuali a tutti gli indirizzi IP pubblici.The private endpoint uses an IP from the VNET address space for your vault, so you don't need to expose your virtual networks to any public IPs. È possibile usare gli endpoint privati per eseguire il backup e il ripristino dei database SQL e SAP HANA in esecuzione nelle macchine virtuali di Azure.Private Endpoints can be used for backing up and restoring your SQL and SAP HANA databases that run inside your Azure VMs. Possono anche essere usati per i server locali che usano l'agente MARS.It can also be used for your on-premises servers using the MARS agent.

Altre informazioni sugli endpoint privati per Backup di Azure sono disponibili qui.Read more on private endpoints for Azure Backup here.

Crittografia dei datiEncryption of data

La crittografia protegge i dati e consente di soddisfare gli obblighi di sicurezza e conformità dell'organizzazione.Encryption protects your data and helps you to meet your organizational security and compliance commitments. La crittografia dei dati viene eseguita in molte fasi di backup di Azure:Data encryption occurs in many stages in Azure Backup:

Protezione dei dati di backup da eliminazioni accidentaliProtection of backup data from unintentional deletes

Backup di Azure offre funzionalità di sicurezza che consentono di proteggere i dati di backup anche dopo l'eliminazione.Azure Backup provides security features to help protect backup data even after deletion. Con l'eliminazione temporanea, se l'utente elimina il backup di una VM, i dati di backup vengono conservati per 14 giorni aggiuntivi, consentendone il ripristino senza perdita di dati.With soft delete, if user deletes the backup of a VM, the backup data is retained for 14 additional days, allowing the recovery of that backup item with no data loss. Gli altri 14 giorni di conservazione dei dati di backup nello stato "eliminazione temporanea" non comportano alcun costo.The additional 14 days retention of backup data in the "soft delete" state doesn't incur any cost to you. Altre informazioni sull'eliminazione temporanea.Learn more about soft delete.

Monitoraggio e avvisi di attività sospetteMonitoring and alerts of suspicious activity

Backup di Azure offre funzionalità di monitoraggio e avviso predefinite per visualizzare e configurare le azioni per gli eventi correlati a Backup di Azure.Azure Backup provides built-in monitoring and alerting capabilities to view and configure actions for events related to Azure Backup. I report di Backup fungono da destinazione unica per tenere traccia dell'utilizzo, controllare backup e ripristino e rilevare le tendenze principali a diversi livelli di granularità.Backup Reports serve as a one-stop destination for tracking usage, auditing of backups and restores, and identifying key trends at different levels of granularity. L'uso degli strumenti di monitoraggio e creazione di report di Backup di Azure consente di avvisare l'utente in caso di attività non autorizzate, sospette o dannose non appena si verificano.Using Azure Backup's monitoring and reporting tools can alert you to any unauthorized, suspicious, or malicious activity as soon as they occur.

Funzionalità di sicurezza per la protezione dei backup ibridiSecurity features to help protect hybrid backups

Il servizio Backup di Azure usa l'agente di Servizi di ripristino di Microsoft Azure (MARS, Microsoft Azure Recovery Services) per eseguire il backup e il ripristino di file, cartelle e dello stato del volume o del sistema da un computer locale ad Azure.Azure Backup service uses the Microsoft Azure Recovery Services (MARS) agent to back up and restore files, folders, and the volume or system state from an on-premises computer to Azure. MARS ora offre funzionalità di sicurezza per la protezione dei backup ibridi.MARS now provides security features to help protect hybrid backups. Queste funzionalità includono:These features include:

  • Ogni volta che viene eseguita un'operazione critica, come la modifica di una passphrase, viene aggiunto un ulteriore livello di autenticazione.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Questa convalida serve a garantire che tali operazioni possano essere eseguite solo dagli utenti che hanno credenziali di Azure valide.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials. Altre informazioni sulle funzionalità che impediscono gli attacchi.Learn more about the features that prevent attacks.

  • I dati di backup eliminati vengono conservati per altri 14 giorni dalla data di eliminazione.Deleted backup data is retained for an additional 14 days from the date of deletion. In questo modo, viene garantita la possibilità di recuperare i dati entro un certo periodo di tempo, così da scongiurare la perdita di dati anche in caso di attacco.This ensures recoverability of the data within a given time period, so there's no data loss even if an attack happens. Inoltre, viene conservato un maggior numero di punti di recupero per prevenire il rischio di dati danneggiati.Also, a greater number of minimum recovery points are maintained to guard against corrupt data. Altre informazioni sul ripristino dei dati di backup eliminati.Learn more about recovering deleted backup data.

  • Per i dati sottoposti a backup con l'agente di Servizi di ripristino di Microsoft Azure (MARS), viene usata una passphrase per assicurarsi che i dati vengano crittografati prima del caricamento in Backup di Azure e decrittografati solo dopo il download da Backup di Azure.For data backed up using the Microsoft Azure Recovery Services (MARS) agent, a passphrase is used to ensure data is encrypted before upload to Azure Backup and decrypted only after download from Azure Backup. I dettagli della passphrase sono disponibili solo per l'utente che ha creato la passphrase e l'agente configurato.The passphrase details are only available to the user who created the passphrase and the agent that's configured with it. Non viene trasmesso o condiviso niente con il servizio.Nothing is transmitted or shared with the service. In questo modo si garantisce la sicurezza completa dei dati, perché tutti i dati esposti inavvertitamente (ad esempio un attacco man-in-the-Middle sulla rete) non sono utilizzabili senza la passphrase e la passphrase non viene inviata in rete.This ensures complete security of your data, as any data that's exposed inadvertently (such as a man-in-the-middle attack on the network) is unusable without the passphrase, and the passphrase isn't sent over the network.

Conformità ai requisiti di sicurezza standardizzatiCompliance with standardized security requirements

Microsoft Azure e Backup di Azure offrono una gamma completa di certificazioni e attestazioni che consentono alle organizzazioni di soddisfare i requisiti nazionali, regionali e specifici del settore che regolano la raccolta e l'uso dei dati degli utenti.To help organizations comply with national, regional, and industry-specific requirements governing the collection and use of individuals' data, Microsoft Azure & Azure Backup offer a comprehensive set of certifications and attestations. Elenco di certificazioni per la conformitàSee the list of compliance certifications

Passaggi successiviNext steps