Omówienie funkcji zabezpieczeń w usłudze Azure Backup

Jedną z najważniejszych czynności, które można wykonać w celu ochrony danych, jest posiadanie niezawodnej infrastruktury kopii zapasowych. Jednak równie ważne jest zapewnienie, że kopie zapasowe danych są tworzone w bezpieczny sposób i że kopie zapasowe są chronione przez cały czas. Usługa Azure Backup zapewnia bezpieczeństwo środowiska kopii zapasowej danych — zarówno przesyłanych, jak i będących w spoczynku. W tym artykule wymieniono możliwości zabezpieczeń w usłudze Azure Backup, które ułatwiają ochronę danych kopii zapasowych i spełniają potrzeby firmy w zakresie zabezpieczeń.

Zarządzanie tożsamościami i dostępem użytkowników

Konta magazynu używane przez magazyny usługi Recovery Services są izolowane i nie mogą być dostępne dla żadnych złośliwych celów. Dostęp jest dozwolony tylko za pośrednictwem operacji zarządzania usługą Azure Backup, takich jak przywracanie. Usługa Azure Backup umożliwia kontrolowanie operacji zarządzanych za pomocą szczegółowego dostępu przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure. Kontrola dostępu oparta na rolach platformy Azure umożliwia segregowanie obowiązków w zespole i udzielanie użytkownikom tylko dostępu niezbędnego do wykonywania swoich zadań.

Usługa Azure Backup udostępnia trzy wbudowane role do kontrolowania operacji zarządzania kopiami zapasowymi:

• Współautor kopii zapasowej: aby tworzyć kopie zapasowe i zarządzać nimi, z wyjątkiem usuwania magazynu usługi Recovery Services i udzielania dostępu innym osobom
• Operator kopii zapasowej: wszystko, co współautor robi, z wyjątkiem usuwania zasad tworzenia kopii zapasowych i zarządzania nimi
• Czytelnik kopii zapasowych: uprawnienia do wyświetlania wszystkich operacji zarządzania kopiami zapasowymi

Dowiedz się więcej o kontroli dostępu opartej na rolach na platformie Azure w celu zarządzania usługą Azure Backup.

Usługa Azure Backup ma kilka mechanizmów kontroli zabezpieczeń wbudowanych w usługę, aby zapobiegać lukom w zabezpieczeniach, wykrywać je i reagować na nie. Dowiedz się więcej o mechanizmach kontroli zabezpieczeń dla usługi Azure Backup.

Izolacja danych za pomocą usługi Azure Backup

W usłudze Azure Backup przechowywane są dane kopii zapasowej magazynowanej w ramach subskrypcji i dzierżawy platformy Azure zarządzanej przez firmę Microsoft. Użytkownicy zewnętrzni lub goście nie mają bezpośredniego dostępu do tego magazynu kopii zapasowych ani jego zawartości, zapewniając izolację danych kopii zapasowych ze środowiska produkcyjnego, w którym znajduje się źródło danych.

Na platformie Azure wszystkie komunikaty i dane przesyłane są bezpiecznie przesyłane przy użyciu protokołów HTTPS i TLS 1.2+ . Te dane pozostają w sieci szkieletowej platformy Azure zapewniającej niezawodną i wydajną transmisję danych. Dane kopii zapasowej magazynowane są domyślnie szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Możesz również przenieść własne klucze do szyfrowania, jeśli potrzebujesz większej kontroli nad danymi. Aby zwiększyć ochronę, można użyć niezmienności, która uniemożliwia zmianę lub usunięcie danych przed okresem przechowywania. Usługa Azure Backup oferuje różne opcje, takie jak usuwanie nietrwałe, zatrzymywanie tworzenia kopii zapasowych i usuwanie danych lub zachowywanie danych, jeśli chcesz zatrzymać kopie zapasowe w dowolnym momencie. Aby chronić operacje krytyczne, możesz dodać autoryzację dla wielu użytkowników (MUA), która dodaje dodatkową warstwę ochrony przy użyciu zasobu platformy Azure o nazwie Azure Resource Guard.

Takie niezawodne podejście gwarantuje, że nawet w środowisku, w których naruszono zabezpieczenia, istniejące kopie zapasowe nie mogą zostać naruszone ani usunięte przez nieautoryzowanych użytkowników.

Łączność z Internetem nie jest wymagana na potrzeby tworzenia kopii zapasowych maszyn wirtualnych platformy Azure

Tworzenie kopii zapasowych maszyn wirtualnych platformy Azure wymaga przenoszenia danych z dysku maszyny wirtualnej do magazynu usługi Recovery Services. Jednak cała wymagana komunikacja i transfer danych odbywa się tylko w sieci szkieletowej platformy Azure bez konieczności uzyskiwania dostępu do sieci wirtualnej. W związku z tym tworzenie kopii zapasowych maszyn wirtualnych platformy Azure umieszczonych wewnątrz zabezpieczonych sieci nie wymaga zezwolenia na dostęp do żadnych adresów IP ani nazw FQDN.

Prywatne punkty końcowe dla usługi Azure Backup

Teraz możesz używać prywatnych punktów końcowych do bezpiecznego tworzenia kopii zapasowych danych z serwerów wewnątrz sieci wirtualnej do magazynu usługi Recovery Services. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej dla magazynu, więc nie musisz ujawniać sieci wirtualnych żadnym publicznym adresom IP. Prywatne punkty końcowe mogą służyć do tworzenia kopii zapasowych i przywracania baz danych SQL i SAP HANA uruchamianych wewnątrz maszyn wirtualnych platformy Azure. Można go również używać dla serwerów lokalnych przy użyciu agenta MARS.

Przeczytaj więcej na temat prywatnych punktów końcowych dla usługi Azure Backup tutaj.

Szyfrowanie danych

Szyfrowanie chroni dane i pomaga spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności. Szyfrowanie danych odbywa się na wielu etapach w usłudze Azure Backup:

• Na platformie Azure dane przesyłane między usługą Azure Storage i magazynem są chronione przez protokół HTTPS. Te dane pozostają w sieci szkieletowej platformy Azure.

• Dane kopii zapasowej są automatycznie szyfrowane przy użyciu kluczy zarządzanych przez platformę i nie trzeba wykonywać żadnych jawnych działań w celu ich włączenia. Możesz również zaszyfrować dane kopii zapasowej przy użyciu kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault. Dotyczy to wszystkich obciążeń, których kopia zapasowa jest wykonywana w magazynie usługi Recovery Services.

• Usługa Azure Backup obsługuje tworzenie kopii zapasowych i przywracanie maszyn wirtualnych platformy Azure, które mają swoje dyski systemu operacyjnego/danych zaszyfrowane za pomocą usługi Azure Disk Encryption (ADE) i maszyn wirtualnych z zaszyfrowanymi dyskami CMK. Aby uzyskać więcej informacji, dowiedz się więcej o zaszyfrowanych maszynach wirtualnych platformy Azure i usłudze Azure Backup.

• Po utworzeniu kopii zapasowej danych z serwerów lokalnych za pomocą agenta MARS dane są szyfrowane przy użyciu hasła przed przekazaniem do usługi Azure Backup i odszyfrowywane dopiero po pobraniu ich z usługi Azure Backup. Dowiedz się więcej o funkcjach zabezpieczeń, które ułatwiają ochronę hybrydowych kopii zapasowych.

Usuwanie nietrwałe

Usługa Azure Backup udostępnia funkcje zabezpieczeń, które ułatwiają ochronę danych kopii zapasowej nawet po usunięciu. W przypadku usuwania nietrwałego, jeśli usuniesz kopię zapasową maszyny wirtualnej, dane kopii zapasowej są przechowywane przez 14 dodatkowych dni, co pozwala na odzyskiwanie tego elementu kopii zapasowej bez utraty danych. Dodatkowe 14-dniowe przechowywanie danych kopii zapasowej w stanie usuwania nietrwałego nie wiąże się z żadnymi kosztami. Dowiedz się więcej na temat usuwania nietrwałego.

Usługa Azure Backup ma teraz również ulepszone usuwanie nietrwałe, aby zwiększyć prawdopodobieństwo odzyskania danych po usunięciu. Dowiedz się więcej.

Niezmienne magazyny

Niezmienny magazyn może pomóc w ochronie danych kopii zapasowej, blokując wszelkie operacje, które mogą prowadzić do utraty punktów odzyskiwania. Ponadto można zablokować niezmienne ustawienie magazynu, aby uczynić je nieodwracalnym, które może uniemożliwić wszystkim złośliwym podmiotom wyłączenie niezmienności i usuwanie kopii zapasowych. Dowiedz się więcej o magazynach niezmiennych.

Autoryzacja dla wielu użytkowników

Autoryzacja wielu użytkowników (MUA) dla usługi Azure Backup umożliwia dodanie dodatkowej warstwy ochrony do krytycznych operacji na magazynach usługi Recovery Services i magazynach usługi Backup. W przypadku usługi MUA usługa Azure Backup używa innego zasobu platformy Azure o nazwie Resource Guard, aby upewnić się, że operacje krytyczne są wykonywane tylko z odpowiednią autoryzacją. Dowiedz się więcej o autoryzacji wielu użytkowników dla usługi Azure Backup.

Ulepszone usuwanie nietrwałe

Ulepszone usuwanie nietrwałe zapewnia możliwość odzyskiwania danych nawet po ich usunięciu, przypadkowo lub złośliwie. Działa przez opóźnienie stałego usuwania danych przez określony czas trwania, zapewniając możliwość ich pobrania. Można również zawsze włączać usuwanie nietrwałe, aby zapobiec jego wyłączeniu. Dowiedz się więcej na temat rozszerzonego usuwania nietrwałego dla kopii zapasowej.

Monitorowanie i alerty dotyczące podejrzanych działań

Usługa Azure Backup udostępnia wbudowane funkcje monitorowania i alertów umożliwiające wyświetlanie i konfigurowanie akcji dla zdarzeń związanych z usługą Azure Backup. Raporty kopii zapasowych służą jako miejsce docelowe jednorazowe do śledzenia użycia, inspekcji kopii zapasowych i przywracania oraz identyfikowania kluczowych trendów na różnych poziomach szczegółowości. Za pomocą narzędzi do monitorowania i raportowania usługi Azure Backup możesz otrzymywać alerty o wszelkich nieautoryzowanych, podejrzanych lub złośliwych działaniach natychmiast po ich wystąpieniu.

Funkcje zabezpieczeń, które ułatwiają ochronę hybrydowych kopii zapasowych

Usługa Azure Backup używa agenta usług Microsoft Azure Recovery Services (MARS) do tworzenia kopii zapasowych i przywracania plików, folderów oraz stanu woluminu lub systemu z komputera lokalnego na platformę Azure. Usługa MARS udostępnia teraz funkcje zabezpieczeń ułatwiające ochronę hybrydowych kopii zapasowych. Do tych funkcji należą:

• Dodatkowa warstwa uwierzytelniania jest dodawana za każdym razem, gdy wykonywana jest operacja krytyczna, taka jak zmiana hasła. Ta weryfikacja polega na upewnieniu się, że takie operacje mogą być wykonywane tylko przez użytkowników, którzy mają prawidłowe poświadczenia platformy Azure. Dowiedz się więcej o funkcjach, które uniemożliwiają ataki.

• Usunięte dane kopii zapasowej są przechowywane przez dodatkowe 14 dni od daty usunięcia. Zapewnia to możliwość odzyskania danych w danym okresie, więc nie ma utraty danych, nawet jeśli wystąpi atak. Ponadto większa liczba minimalnych punktów odzyskiwania jest utrzymywana w celu ochrony przed uszkodzonymi danymi. Dowiedz się więcej o odzyskiwaniu usuniętych danych kopii zapasowej.

• W przypadku danych kopii zapasowych przy użyciu agenta usług Microsoft Azure Recovery Services (MARS) hasło jest używane do zapewnienia, że dane są szyfrowane przed przekazaniem do usługi Azure Backup i odszyfrowane dopiero po pobraniu z usługi Azure Backup. Szczegóły hasła są dostępne tylko dla użytkownika, który utworzył hasło i agenta, który go skonfigurował. Nic nie jest przesyłane ani udostępniane usłudze. Zapewnia to pełne bezpieczeństwo danych, ponieważ wszelkie ujawnione przypadkowo dane (takie jak atak typu man-in-the-middle w sieci) są bezużyteczne bez hasła, a hasło nie jest wysyłane przez sieć.

Poziom zabezpieczeń i poziom zabezpieczeń

Usługa Azure Backup zapewnia funkcje zabezpieczeń na poziomie magazynu w celu ochrony przechowywanych w nim danych kopii zapasowych. Te środki zabezpieczeń obejmują ustawienia skojarzone z rozwiązaniem Azure Backup dla magazynów oraz chronione źródła danych zawarte w magazynach.

Poziomy zabezpieczeń dla magazynów usługi Azure Backup są klasyfikowane w następujący sposób:

• Doskonały (maksimum): ten poziom reprezentuje najwyższe bezpieczeństwo, co zapewnia kompleksową ochronę. Można to osiągnąć, gdy wszystkie dane kopii zapasowej są chronione przed przypadkowym usunięciem i chronią przed atakami wymuszającym okup. Aby osiągnąć ten wysoki poziom zabezpieczeń, należy spełnić następujące warunki:

  • Ustawienie Niezmienność lub usuwanie nietrwałe magazynu musi być włączone i nieodwracalne (zablokowane/zawsze włączone).
  • Autoryzacja wielu użytkowników (MUA) musi być włączona w magazynie.

• Dobre (odpowiednie): oznacza to niezawodny poziom zabezpieczeń, który zapewnia niezawodną ochronę danych. Chroni istniejące kopie zapasowe przed niezamierzonym usunięciem i zwiększa potencjał odzyskiwania danych. Aby uzyskać ten poziom zabezpieczeń, należy włączyć niezmienność za pomocą blokady lub usuwania nietrwałego.

• Sprawiedliwe (minimum/średnia): reprezentuje podstawowy poziom zabezpieczeń, odpowiedni dla standardowych wymagań dotyczących ochrony. Podstawowe operacje tworzenia kopii zapasowych korzystają z dodatkowej warstwy ochrony. Aby uzyskać minimalne zabezpieczenia, należy włączyć autoryzację dla wielu użytkowników (MUA) w magazynie.

• Słabe (zły/brak): wskazuje to na niedobór środków bezpieczeństwa, co jest mniej odpowiednie do ochrony danych. Na tym poziomie nie istnieją ani zaawansowane funkcje ochronne, ani wyłącznie odwracalne możliwości. Zabezpieczenia na poziomie Brak dają ochronę przede wszystkim przed przypadkowymi usunięciami.

Możesz wyświetlać poziomy zabezpieczeń we wszystkich źródłach danych w odpowiednich magazynach i zarządzać nimi za pośrednictwem centrum ciągłości działania platformy Azure.

Zgodność ze standardowymi wymaganiami dotyczącymi zabezpieczeń

Aby pomóc organizacjom w przestrzeganiu krajowych/regionalnych i branżowych wymagań dotyczących zbierania i używania danych poszczególnych osób, platforma Microsoft Azure i usługa Azure Backup oferują kompleksowy zestaw certyfikatów i zaświadczeń. Zobacz listę certyfikatów zgodności

Następne kroki

• Funkcje zabezpieczeń ułatwiające ochronę obciążeń w chmurze korzystających z usługi Azure Backup
• Funkcje zabezpieczeń ułatwiające ochronę hybrydowych kopii zapasowych korzystających z usługi Azure Backup