Usuwanie nietrwałe dla Azure Backup

Rosną obawy dotyczące problemów z zabezpieczeniami, takich jak złośliwe oprogramowanie, oprogramowanie wymuszające okup i włamanie. Te problemy z zabezpieczeniami mogą być kosztowne, zarówno pod względem pieniędzy, jak i danych. Aby chronić przed takimi atakami, Azure Backup teraz udostępnia funkcje zabezpieczeń, które ułatwiają ochronę danych kopii zapasowej nawet po usunięciu.

Jedną z takich funkcji jest usuwanie nietrwałe. Usunięcie nietrwałe, nawet jeśli złośliwy aktor usunie kopię zapasową (lub dane kopii zapasowej zostanie przypadkowo usunięte), dane kopii zapasowej zostaną zachowane przez 14 dodatkowych dni, co pozwala na odzyskanie tego elementu kopii zapasowej bez utraty danych. Dodatkowe 14 dni przechowywania danych kopii zapasowej w stanie "usuwanie nietrwałe" nie wiąże się z żadnymi kosztami.

Ochrona przed usuwaniem nietrwałym jest dostępna dla następujących usług:

Ten wykres blokowy przedstawia różne kroki i stany elementu kopii zapasowej po włączeniu usuwania nietrwałego:

Lifecycle of soft-deleted backup item

Włączanie i wyłączanie usuwania nietrwałego

Usuwanie nietrwałe jest domyślnie włączone w nowo utworzonych magazynach, aby chronić dane kopii zapasowej przed przypadkowymi lub złośliwymi usunięciami. Wyłączenie tej funkcji nie jest zalecane. Jedyną sytuacją, w której należy rozważyć wyłączenie usuwania nietrwałego, jest to, że planujesz przeniesienie chronionych elementów do nowego magazynu i nie można poczekać 14 dni przed usunięciem i ponownym włączeniem ochrony (np. w środowisku testowym).

Aby wyłączyć usuwanie nietrwałe w magazynie, musisz mieć rolę Współautor kopii zapasowej dla tego magazynu (musisz mieć uprawnienia do wykonywania operacji Microsoft.RecoveryServices/Vaults/backupconfig/write w magazynie). Jeśli wyłączysz tę funkcję, wszystkie przyszłe usunięcia chronionych elementów spowodują natychmiastowe usunięcie bez możliwości przywrócenia. Dane kopii zapasowej, które istnieją w stanie usunięcia nietrwałego przed wyłączeniem tej funkcji, pozostaną w stanie usunięcia nietrwałego przez okres 14 dni. Jeśli chcesz trwale usunąć je natychmiast, musisz cofnąć usunięcie i usunąć je ponownie, aby trwale je usunąć.

Należy pamiętać, że po wyłączeniu usuwania nietrwałego funkcja jest wyłączona dla wszystkich typów obciążeń. Na przykład nie można wyłączyć usuwania nietrwałego tylko dla serwera SQL lub SAP HANA baz danych przy zachowaniu włączonej dla maszyn wirtualnych w tym samym magazynie. Możesz utworzyć oddzielne magazyny na potrzeby szczegółowej kontroli.

Porada

Aby otrzymywać alerty/powiadomienia, gdy użytkownik w organizacji wyłączy usuwanie nietrwałe dla magazynu, użyj alertów usługi Azure Monitor dla Azure Backup. Ponieważ wyłączenie usuwania nietrwałego jest potencjalną operacją destrukcyjną, zalecamy użycie systemu alertów dla tego scenariusza w celu monitorowania wszystkich takich operacji i wykonywania akcji w przypadku niezamierzonych operacji.

Wyłączanie usuwania nietrwałego przy użyciu Azure Portal

Aby wyłączyć usuwanie nietrwałe, wykonaj następujące kroki:

  1. W Azure Portal przejdź do magazynu, a następnie przejdź do pozycji Ustawienia ->Properties.
  2. W okienku właściwości wybierz pozycję Zabezpieczenia Ustawienia ->Update.
  3. W okienku ustawień zabezpieczeń w obszarze Usuwanie nietrwałe wybierz pozycję Wyłącz.

Disable soft delete

Wyłączanie usuwania nietrwałego przy użyciu Azure PowerShell

Ważne

Wersja Az.RecoveryServices wymagana do używania usuwania nietrwałego przy użyciu Azure PowerShell jest minimalna 2.2.0. Użyj polecenia Install-Module -Name Az.RecoveryServices -Force , aby pobrać najnowszą wersję.

Aby wyłączyć, użyj polecenia cmdlet Set-AzRecoveryServicesVaultBackupProperty programu PowerShell.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Wyłączanie usuwania nietrwałego przy użyciu interfejsu API REST

Aby wyłączyć funkcję usuwania nietrwałego przy użyciu interfejsu API REST, zapoznaj się z krokami wymienionymi tutaj.

Trwałe usuwanie nietrwale usuniętych elementów kopii zapasowej

Dane kopii zapasowej w stanie usunięcia nietrwałego przed wyłączeniem tej funkcji pozostaną w stanie usunięcia nietrwałego. Jeśli chcesz trwale usunąć te elementy natychmiast, usuń je i usuń ponownie, aby trwale je usunąć.

Korzystanie z witryny Azure Portal

Wykonaj następujące kroki:

  1. Wykonaj kroki, aby wyłączyć usuwanie nietrwałe.

  2. W Azure Portal przejdź do magazynu, przejdź do pozycji Elementy kopii zapasowej i wybierz element usunięty nietrwale.

    Choose soft deleted item

  3. Wybierz opcję Cofnij usunięcie.

    Choose Undelete

  4. Zostanie wyświetlone okno. Wybierz pozycję Cofnij usunięcie.

    Select Undelete

  5. Wybierz pozycję Usuń dane kopii zapasowej , aby trwale usunąć dane kopii zapasowej.

    Choose Delete backup data

  6. Wpisz nazwę elementu kopii zapasowej, aby potwierdzić, że chcesz usunąć punkty odzyskiwania.

    Type the name of the backup item

  7. Aby usunąć dane kopii zapasowej dla elementu, wybierz pozycję Usuń. Komunikat powiadomienia informuje o usunięciu danych kopii zapasowej.

Korzystanie z programu Azure PowerShell

Jeśli elementy zostały usunięte przed wyłączeniem usuwania nietrwałego, będą one w stanie usunięcia nietrwałego. Aby natychmiast je usunąć, operacja usuwania musi zostać odwrócona, a następnie wykonana ponownie.

Zidentyfikuj elementy, które są w stanie usunięcia nietrwałego.


Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}

Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted

$myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1

Następnie odwróć operację usuwania, która została wykonana po włączeniu usuwania nietrwałego.

Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2

Ponieważ usuwanie nietrwałe jest teraz wyłączone, operacja usuwania spowoduje natychmiastowe usunięcie danych kopii zapasowej.

Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb

Korzystanie z interfejsu API REST

Jeśli elementy zostały usunięte przed wyłączeniem usuwania nietrwałego, będą one w stanie usunięcia nietrwałego. Aby natychmiast je usunąć, operacja usuwania musi zostać odwrócona, a następnie wykonana ponownie.

  1. Najpierw cofnij operacje usuwania, wykonując kroki wymienione tutaj.
  2. Następnie wyłącz funkcję usuwania nietrwałego przy użyciu interfejsu API REST, wykonując kroki opisane tutaj.
  3. Następnie usuń kopie zapasowe przy użyciu interfejsu API REST, jak wspomniano tutaj.

Często zadawane pytania

Czy muszę włączyć funkcję usuwania nietrwałego w każdym magazynie?

Nie, jest ona domyślnie wbudowana i włączona dla wszystkich magazynów usługi Recovery Services.

Czy mogę skonfigurować liczbę dni, przez które moje dane będą przechowywane w stanie usunięcia nietrwałego po zakończeniu operacji usuwania?

Nie, jest to stałe do 14 dni dodatkowego przechowywania po operacji usuwania.

Czy muszę zapłacić koszt za ten dodatkowy 14-dniowy okres przechowywania?

Nie, ten 14-dniowy dodatkowy okres przechowywania jest bezpłatny w ramach funkcji usuwania nietrwałego.

Czy mogę wykonać operację przywracania, gdy moje dane są w stanie usuwania nietrwałego?

Nie, aby przywrócić, należy cofnąć usunięcie nietrwałego zasobu. Operacja cofania spowoduje przywrócenie zasobu do stanu Zatrzymania ochrony z zachowaniem stanu danych , w którym można przywrócić do dowolnego punktu w czasie. Moduł odśmiecywania pamięci pozostaje wstrzymany w tym stanie.

Czy moje migawki będą zgodne z tym samym cyklem życia co moje punkty odzyskiwania w magazynie?

Tak.

Jak można ponownie wyzwolić zaplanowane kopie zapasowe dla nietrwale usuniętego zasobu?

Cofanie usunięcia, a następnie operacja wznawiania ponownie chroni zasób. Operacja wznawiania kojarzy zasady tworzenia kopii zapasowych w celu wyzwolenia zaplanowanych kopii zapasowych z wybranym okresem przechowywania. Ponadto moduł odśmiecenia pamięci jest uruchamiany natychmiast po zakończeniu operacji wznawiania. Jeśli chcesz wykonać przywracanie z punktu odzyskiwania, który przekroczył jego datę wygaśnięcia, zaleca się wykonanie tej czynności przed wyzwoleniem operacji wznawiania.

Czy mogę usunąć magazyn, jeśli znajdują się w nim elementy usunięte w sposób nietrwały?

Nie można usunąć magazynu usługi Recovery Services, jeśli w magazynie znajdują się elementy kopii zapasowej w stanie usunięcia nietrwałego. Elementy usunięte nietrwale są trwale usuwane 14 dni po operacji usuwania. Jeśli nie możesz poczekać 14 dni, wyłącz usuwanie nietrwałe, cofnij usuwanie nietrwałe i usuń je ponownie, aby trwale usunąć. Po upewnieniu się, że nie ma żadnych elementów chronionych i nietrwale usuniętych elementów, magazyn można usunąć.

Czy mogę usunąć dane wcześniej niż 14-dniowy okres usuwania nietrwałego po usunięciu?

Nie. Nie można wymusić usunięcia elementów usuniętych nietrwale. Są one automatycznie usuwane po 14 dniach. Ta funkcja zabezpieczeń jest włączona w celu ochrony danych kopii zapasowej przed przypadkowymi lub złośliwymi usunięciami. Przed wykonaniem jakiejkolwiek innej akcji w elemencie należy poczekać 14 dni. Nie będą naliczane opłaty za elementy usunięte nietrwale. Jeśli musisz ponownie włączyć ochronę elementów oznaczonych do usuwania nietrwałego w ciągu 14 dni w nowym magazynie, skontaktuj się z pomocą techniczną firmy Microsoft.

Czy operacje usuwania nietrwałego mogą być wykonywane w programie PowerShell lub interfejsie wiersza polecenia?

Operacje usuwania nietrwałego można wykonywać przy użyciu programu PowerShell. Obecnie interfejs wiersza polecenia nie jest obsługiwany.

Następne kroki