Azure Backup を使用したハイブリッド バックアップを保護するためのセキュリティ機能
マルウェア、ランサムウェア、侵入などのセキュリティ問題への懸念が高まっています。 これらのセキュリティ問題は、金銭とデータの両方の観点からコストがかかる可能性があります。 このような攻撃を防ぐために、Azure Backup にはハイブリッド バックアップを保護するセキュリティ機能が用意されています。 この記事では、これらの機能を有効にして活用し、Microsoft Azure Backup Server (MABS)、Data Protection Manager (DPM)、および Microsoft Azure Recovery Services (MARS) エージェントを使用してオンプレミスのワークロードを保護する方法について説明します。 次のような機能が該当します。
- 防止。 パスフレーズの変更など、重要な操作を実行するたびに、認証レイヤーが追加されます。 この検証により、有効な Azure 資格情報を持つユーザーのみがそのような操作を実行できるようになります。
- アラート。 バックアップ データの削除など、重要な操作を実行するたびに、サブスクリプションの管理者に電子メール通知が送信されます。 この電子メールにより、ユーザーはそのような操作に関する通知をすばやく受信できます。
- 復旧。 削除日から 14 日間は、削除されたバックアップ データが保持されます。 これにより、特定の期間内のデータの復旧性が確保され、攻撃が行われてもデータが失われることはありません。 また、保持される最小復旧ポイントの数が非常に増えたため、データの破損を防ぐことができます。
Note
Recovery Services コンテナーでマルチユーザー承認 (MUA) を有効にすると、セキュリティ機能を無効にする重要な操作に保護レイヤーを追加できます。 詳細については、こちらを参照してください。
最小バージョンの要件
次を使用している場合にのみ、セキュリティ機能を有効にしてください。
- Azure Backup エージェント: エージェントの最小バージョンは 2.0.9052 です。 これらの機能を有効にした後、重要な操作を実行するためにエージェンのバージョンをアップグレードしてください。
- Azure Backup Server: Azure Backup エージェントの最小バージョンは 2.0.9052(Azure Backup Server Update 1) です。
- System Center Data Protection Manager: Azure Backup エージェントの最小バージョンは 2.0.9052(Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2) です。
Note
サービスとしてのインフラストラクチャ (IaaS) VM バックアップを使用している場合は、セキュリティ機能を有効にしないでください。 現時点では、これらの機能は IaaS VM バックアップでは使用できないため、有効にしても効果はありません。
セキュリティ機能の有効化
Recovery Services コンテナーを作成している場合、すべてのセキュリティ機能を使用できます。 既存のコンテナーで作業している場合、次の手順に従ってセキュリティ機能を有効にします。
Azure 資格情報を使用して、Azure Portal にサインインします。
[参照] を選択し、「Recovery Services」と入力します。
Recovery Services コンテナーの一覧が表示されます。 この一覧でコンテナーを選択します。 選択したコンテナーのダッシュボードが開きます。
コンテナーの下に表示されている項目の一覧の [設定] で [プロパティ] を選択します。
[セキュリティの設定] で [更新] を選択します。
[更新] リンクから [セキュリティの設定] ウィンドウが開きます。ここで機能の概要を確認したり、機能を有効にしたりすることができます。
セキュリティ機能を [有効] にし、[保存] を選択します。
削除されたバックアップ データの復旧
セキュリティ機能の設定が有効になっている場合、Azure Backup は削除されたバックアップ データを 14 日間保持し、バックアップ データの削除操作によるバックアップの停止操作が実行された場合は直ちに削除しません。 14 日以内にこのデータを復元するには、使用しているものに応じて次の手順を実行します。
Azure Recovery Services エージェント ユーザーの場合:
- バックアップを実行したコンピューターがまだ使用可能な場合は、削除されたデータ ソースを再保護し、Azure Recovery Services の [同じコンピューターへのデータの回復] を使用して、すべての古い復旧ポイントから復旧します。
- このコンピューターを使用できない場合は、[別のコンピューターへの回復] を使用し、別の Azure Recovery Services コンピューターを使用して、このデータを取得します。
Azure Backup Server ユーザーの場合:
- バックアップを作成したサーバーがまだ使用可能な場合は、削除されたデータ ソースを再保護し、データの復旧機能を使用して、すべての古い復旧ポイントから復旧します。
- このサーバーを使用できない場合は、[別の Azure Backup Server からデータを復元する] を使用し、別の Azure Backup Server インスタンスを使用して、このデータを取得します。
Data Protection Manager ユーザーの場合:
- バックアップを作成したサーバーがまだ使用可能な場合は、削除されたデータ ソースを再保護し、データの復旧機能を使用して、すべての古い復旧ポイントから復旧します。
- このサーバーを使用できない場合は、[外部 DPM の追加] を使用し、別の Data Protection Manager サーバーを使用して、このデータを取得します。
攻撃の防止
有効なユーザーのみが各種操作を実行できるようにするためのチェックが追加されました。 たとえば、認証レイヤーの追加や、回復を行うための最小リテンション期間の維持などが含まれています。
重要な操作を実行するための認証
重要な操作のための新たな認証レイヤー追加の一環として、DPM、MABS、MARS に対する保護の停止とデータの削除操作やパスフレーズの変更操作の実行時に、セキュリティ PIN の入力が求められます。
さらに、MARS バージョン 2.0.9262.0 以降では、MARS ファイル/フォルダー バックアップからのボリュームの削除、既存のボリュームの新しい除外設定の追加、リテンション期間の短縮、頻度の低いバックアップ スケジュールへの移行のための操作もセキュリティ強化のためにセキュリティ PIN で保護されます。
Note
現在、次の DPM および MABS バージョンでは、オンライン ストレージへの [データを削除して保護を停止] に対してセキュリティ PIN がサポートされています。
- DPM 2016 UR9 以降
- DPM 2019 UR1 以降
- MABS v3 UR1 以降
この PIN を受け取るには次のようにします。
- Azure portal にサインインします。
- [Recovery Services コンテナー]>[設定]>[プロパティ] の順に参照します。
- [セキュリティ PIN] の下にある [生成] を選択します。 これにより、Azure Recovery Services エージェントのユーザー インターフェイスに入力する PIN が含まれたウィンドウが開きます。 この PIN が有効なのは 5 分間のみであり、その期間が過ぎると別のものが自動生成されます。
リテンション期間の最小範囲の維持
有効な数の復旧ポイントを常に使用可能な状態にしておくために、次のチェック機能が追加されました。
- 日単位のリテンション期間の場合、実行されるリテンション期間の最小値は 7 日間です。
- 週単位のリテンション期間の場合、実行されるリテンション期間の最小値は 4 週間です。
- 月単位のリテンション期間の場合、実行されるリテンション期間の最小値は 3 か月です。
- 年単位のリテンション期間の場合、実行されるリテンション期間の最小値は 1 年です。
重要な操作の通知
通常、重要な操作が実行されると、操作の詳細が含まれた電子メール通知がサブスクリプションの管理者に送信されます。 Azure Portal を使用して、これらの通知の電子メール受信者を追加構成できます。
この記事で説明するセキュリティ機能には、対象を絞った攻撃を防ぐための防御機構が用意されています。 さらに重要なことは、攻撃が行われても、これらの機能を使用してデータを回復できるということです。
エラーをトラブルシューティングする
| 操作 | エラーの詳細 | 解像度 |
|---|---|---|
| ポリシーの変更 | バックアップ ポリシーを変更できませんでした。 エラー:サービスの内部エラー [0x29834] が発生したため、現在の操作を実行できませんでした。 しばらくしてから、操作をやり直してください。 問題が解決しない場合は、Microsoft サポートにお問い合わせください。 | 原因: このエラーは、セキュリティ設定が有効になっており、リテンション範囲を上記の最小値を下回るように減らそうとしたものの、サポートされていないバージョンを使用している場合に発生します (サポート対象のバージョンは、この記事の最初の「注意」に記載されています)。 推奨される操作: このケースでは、指定した最小リテンション期間 (日次の場合は 7 日間、週次の場合は 4 週間、月次の場合は 3 か月、年次の場合は 1 年) を上回るようにリテンション期間を設定し、ポリシー関連の更新を進めます。 必要に応じて、バックアップ エージェント、Azure Backup Server、または DPM UR を更新して、すべてのセキュリティ更新プログラムを適用する方法もお勧めです。 |
| パスフレーズの変更 | 入力されたセキュリティ PIN が正しくありません。 (ID: 100130) この操作を完了するには、正しいセキュリティ PIN を指定してください。 | 原因: このエラーは、重大な操作 (パスフレーズの変更など) を実行している間に、無効または有効期限の切れたセキュリティ PIN を入力すると発生します。 推奨される操作: 操作を完了するには、有効なセキュリティ PIN を入力する必要があります。 PIN を取得するには、Azure portal にサインインし、Recovery Services コンテナー > [設定] > [プロパティ] > [セキュリティ PIN の生成] の順に移動します。 パスフレーズの変更にはこの PIN を使用します。 |
| パスフレーズの変更 | 操作に失敗しました。 ID: 120002 | 原因: このエラーは、セキュリティ設定が有効になっており、パスフレーズを変更しようとしたものの、サポートされていないバージョンを使用している場合に発生します (サポート対象のバージョンは、この記事の最初の「注意」に記載されています)。 推奨される操作: パスフレーズを変更するには、まず Backup エージェントをバージョン 2.0.9052 以上に、Azure Backup Server を Update 1 以上に、DPM を DPM 2012 R2 UR12 または DPM 2016 UR2 (以下のダウンロード リンク) 以上に更新してから、有効なセキュリティ PIN を入力する必要があります。 PIN を取得するには、Azure portal にサインインし、Recovery Services コンテナー > [設定] > [プロパティ] > [セキュリティ PIN の生成] の順に移動します。 パスフレーズの変更にはこの PIN を使用します。 |
不変性のサポート
Recovery Services コンテナーの不変性が有効になっている場合、クラウド バックアップの保有期間を短縮したり、オンプレミス データ ソースのクラウド バックアップを削除したりする操作はブロックされます。
DPM と MABS の不変性サポート
この機能は、DPM 2022 UR1 と MABS v4 から MARS エージェント バージョン 2.0.9250.0 以降でサポートされています。
次の表に、不変 Recovery に接続されている DPM に対して許可されていない操作を示します。
| 不変コンテナーに対する操作 | DPM 2022 UR1、MABS v4、および最新の MARS エージェントでの結果。 DPM 2022 UR2 または MABS v4 UR1 では、コンソールから保護を停止するとき、または保護グループからデータ ソースを削除するときに、ポリシーによってオンライン回復ポイントを保持するオプションを選択できます。 |
DPM、MABS、MARS エージェントのいずれかが古い (またはいずれも古い) 場合の結果 |
|---|---|---|
| オンライン バックアップ用に構成された保護グループからデータ ソースを削除する | 81001: バックアップ項目にはアクティブな回復ポイントがあり、選択したコンテナーは不変コンテナーであるため、削除できません。 | 130001: Microsoft Azure Backup で内部エラーが発生しました。 |
| データを削除して保護を停止 | 81001: バックアップ項目にはアクティブな回復ポイントがあり、選択したコンテナーは不変コンテナーであるため、削除できません。 DPM 2022 UR2 または MABS v4 UR1 では、コンソールから保護を停止するとき、または保護グループからデータ ソースを削除するときに、ポリシーによってオンライン回復ポイントを保持するオプションを選択できます。 |
130001: Microsoft Azure Backup で内部エラーが発生しました。 |
| オンライン保有期間を短縮する | 810002: 選択したコンテナーは不変であるため、ポリシー/保護の変更中に保有期間を短縮することは許可されていません。 | 130001: Microsoft Azure Backup で内部エラーが発生しました。 |
| Remove-DPMChildDatasource コマンド | 81001: バックアップ項目にはアクティブな回復ポイントがあり、選択したコンテナーは不変コンテナーであるため、削除できません。 新しいオプション -EnableOnlineRPsPruning と -KeepOnlineData を使用して、ポリシー期間までに限定してデータを保持します。 DPM 2022 UR2 または MABS v4 UR1 では、コンソールから保護を停止するとき、または保護グループからデータ ソースを削除するときに、ポリシーによってオンライン回復ポイントを保持するオプションを選択できます。 |
130001: Microsoft Azure Backup で内部エラーが発生しました。 -KeepOnlineData フラグを使用して、データを保持します。 |
MARS の不変性サポート
次の表に、Recovery Services コンテナーで不変性が有効になっている場合に MARS に対して許可されていない操作を示します。 その他の操作 (保有期間の延長、バックアップからのファイル/フォルダーの除外など) は許可されます。
| 許可されていない操作 | 最新の MARS エージェントを使用した結果 | 古い MARS エージェントを使用した結果 |
|---|---|---|
| システム状態のデータを削除して保護を停止する | エラー 810001 ユーザーがバックアップ項目を削除しようとしているか、データを削除して保護を停止しようとしているが、バックアップ項目には有効な (期限切れではない) 回復ポイントがある。 |
エラー 130001 Microsoft Azure Backup で内部エラーが発生しました。 |
| データを削除して保護を停止 | エラー 810001 ユーザーがバックアップ項目を削除しようとしているか、データを削除して保護を停止しようとしているが、バックアップ項目には有効な (期限切れではない) 回復ポイントがある。 |
エラー 130001 Microsoft Azure Backup で内部エラーが発生しました。 MARS 2.0.9262.0 以降では、コンソールで保護を停止し、ポリシーに従って回復ポイントを保持するオプションが用意されています。 |
| オンライン保有期間を短縮する | ユーザーが保有期間を短縮してポリシーまたは保護を変更しようとしている。 | 130001 Microsoft Azure Backup で内部エラーが発生しました。 |
| Remove-OBPolicy と -DeleteBackup フラグ | 810001 ユーザーがバックアップ項目を削除しようとしているか、データを削除して保護を停止しようとしているが、バックアップ項目には有効な (期限切れではない) 回復ポイントがある。 –EnablePruning フラグを使用して、保有期間までバックアップを保持します。 |
130001 Microsoft Azure Backup で内部エラーが発生しました。 -DeleteBackup フラグは使用しないでください。 MARS 2.0.9262.0 以降では、コンソールで保護を停止し、ポリシーに従って回復ポイントを保持するオプションが用意されています。 |
次のステップ
- Azure Recovery Services コンテナーの使用を開始して、これらの機能を有効にします。
- 最新の Azure Recovery Services Agent をダウンロードして、Windows コンピューターを保護し、バックアップ データに対する攻撃を防ぎます。