Recursos de segurança para ajudar a proteger backups híbridos usando o Backup do AzureSecurity features to help protect hybrid backups that use Azure Backup

Preocupações sobre problemas de segurança, como malware, ransomware e invasão, estão aumentando.Concerns about security issues, like malware, ransomware, and intrusion, are increasing. Esses problemas de segurança podem ser dispendiosos em termos de dinheiro e dados.These security issues can be costly, in terms of both money and data. Para se proteger contra esses ataques, o Backup do Azure agora fornece recursos de segurança para ajudar a proteger os backups híbridos.To guard against such attacks, Azure Backup now provides security features to help protect hybrid backups. Este artigo aborda como habilitar e usar esses recursos, usando um agente dos Serviços de Recuperação do Azure e o Servidor de Backup do Azure.This article covers how to enable and use these features, by using an Azure Recovery Services agent and Azure Backup Server. Esses recursos incluem:These features include:

  • Prevenção.Prevention. Uma camada adicional de autenticação será adicionada sempre que uma operação crítica, como a alteração de senha, for executada.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Essa validação é garantir que essas operações possam ser realizadas apenas por usuários com credenciais válidas do Azure.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials.
  • Alertas.Alerting. Uma notificação por email é enviada ao administrador da assinatura sempre que uma operação crítica, como excluir dados do backup, for executada.An email notification is sent to the subscription admin whenever a critical operation like deleting backup data is performed. Este email garante que o usuário receba uma notificação rapidamente sobre tais ações.This email ensures that the user is notified quickly about such actions.
  • Recuperação.Recovery. Os dados de backup excluídos são retidos por mais 14 dias desde a data da exclusão.Deleted backup data is retained for an additional 14 days from the date of the deletion. Isso garante a capacidade de recuperação de dados em um determinado período de tempo de forma que não haja perda de dados mesmo se houver um ataque.This ensures recoverability of the data within a given time period, so there is no data loss even if an attack happens. Além disso, mais pontos de recuperação mínimos são mantidos para proteção contra dados corrompidos.Also, a greater number of minimum recovery points are maintained to guard against corrupt data.

Observação

Os recursos de segurança não devem ser habilitados se você estiver usando a infraestrutura como um serviço (IaaS) do backup da VM.Security features should not be enabled if you are using infrastructure as a service (IaaS) VM backup. Esses recursos ainda não estão disponíveis para o backup de VM do IaaS e, portanto, habilitá-los não terá qualquer impacto.These features are not yet available for IaaS VM backup, so enabling them will not have any impact. Os recursos de segurança só deverão ser habilitados se você estiver usando:Security features should be enabled only if you are using:

  • Agente de Backup do Azure.Azure Backup agent. Versão mínima do agente 2.0.9052.Minimum agent version 2.0.9052. Depois de habilitar esses recursos, você deverá atualizar para esta versão do agente para realizar operações críticas.After you have enabled these features, you should upgrade to this agent version to perform critical operations.
  • Servidor de Backup do Azure.Azure Backup Server. Versão mínima do agente de Backup do Azure 2.0.9052 com o Servidor de Backup do Azure atualização 1.Minimum Azure Backup agent version 2.0.9052 with Azure Backup Server update 1.
  • System Center Data Protection Manager.System Center Data Protection Manager. Versão mínima do agente de Backup do Azure 2.0.9052 com o Data Protection Manager 2012 R2 UR12 ou Data Protection Manager 2016 UR2.Minimum Azure Backup agent version 2.0.9052 with Data Protection Manager 2012 R2 UR12 or Data Protection Manager 2016 UR2.

Observação

Esses recursos estão disponíveis somente para o cofre dos Serviços de Recuperação.These features are available only for Recovery Services vault. Todos os cofres dos Serviços de Recuperação recém-criados têm esses recursos habilitados por padrão.All the newly created Recovery Services vaults have these features enabled by default. Para cofres dos Serviços de Recuperação existentes, os usuários habilitam esses recursos usando as etapas mencionadas na seção a seguir.For existing Recovery Services vaults, users enable these features by using the steps mentioned in the following section. Após a habilitação dos recursos, eles se aplicam a todos computadores do agente dos Serviços de Recuperação, instâncias do Servidor de Backup do Azure e servidores Data Protection Manager registrados com o cofre.After the features are enabled, they apply to all the Recovery Services agent computers, Azure Backup Server instances, and Data Protection Manager servers registered with the vault. Habilitar essa configuração é uma ação única e você não poderá desabilitar esses recursos depois de habilitá-los.Enabling this setting is a one-time action, and you cannot disable these features after enabling them.

Habilitar recursos de segurançaEnable security features

Se você estiver criando um cofre dos Serviços de Recuperação, você pode usar todos os recursos de segurança.If you are creating a Recovery Services vault, you can use all the security features. Se você estiver trabalhando com um cofre existente, habilite os recursos de segurança executando estas etapas:If you are working with an existing vault, enable security features by following these steps:

  1. Entre no portal do Azure usando suas credenciais do Azure.Sign in to the Azure portal by using your Azure credentials.

  2. Selecione Procurar e digite Serviços de Recuperação.Select Browse, and type Recovery Services.

    Captura de tela da opção Procurar no portal do Azure

    A lista de cofres de Serviços de Recuperação aparecerá.The list of recovery services vaults appears. Nesta lista, selecione um cofre.From this list, select a vault. O painel de cofres selecionados será aberto.The selected vault dashboard opens.

  3. Na lista de itens que aparece sob o cofre, em Configurações, clique em Propriedades.From the list of items that appears under the vault, under Settings, click Properties.

    Captura de tela das opções do cofre dos Serviços de Recuperação

  4. Em Configurações de Segurança, clique em Atualizar.Under Security Settings, click Update.

    Captura de tela das propriedades do cofre dos Serviços de Recuperação

    O link de atualização abre a folha Configurações de Segurança, que fornece um resumo dos recursos e permite que você os habilite.The update link opens the Security Settings blade, which provides a summary of the features and lets you enable them.

  5. Na lista suspensa Você configurou a Autenticação Multifator do Azure? , selecione um valor para confirmar se você habilitou a Autenticação Multifator do Azure.From the drop-down list Have you configured Azure Multi-Factor Authentication?, select a value to confirm if you have enabled Azure Multi-Factor Authentication. Se estiver habilitada, você deverá autenticar de outro dispositivo (por exemplo, telefone celular) ao fazer logon no portal do Azure.If it is enabled, you are asked to authenticate from another device (for example, a mobile phone) while signing in to the Azure portal.

    Ao realizar operações críticas no Backup, você poderá inserir um PIN de segurança, disponível no portal do Azure.When you perform critical operations in Backup, you have to enter a security PIN, available on the Azure portal. A habilitação da Autenticação Multifator do Azure adiciona uma camada de segurança.Enabling Azure Multi-Factor Authentication adds a layer of security. Apenas usuários autorizados com credenciais válidas do Azure, e autenticados de um segundo dispositivo, podem acessar o portal do Azure.Only authorized users with valid Azure credentials, and authenticated from a second device, can access the Azure portal.

  6. Para salvar as configurações de segurança, selecione Habilitar e clique em Salvar.To save security settings, select Enable and click Save. Você só poderá selecionar Habilitar depois de selecionar um valor da lista Você configurou a Autenticação Multifator do Azure na etapa anterior.You can select Enable only after you select a value from the Have you configured Azure Multi-Factor Authentication? list in the previous step.

    Captura de tela das configurações de segurança

Recuperar dados de backup excluídosRecover deleted backup data

O backup retém dados de backup excluídos por mais de 14 dias e não os exclui imediatamente se Parar backup coma operação excluir dados de backup for executado.Backup retains deleted backup data for an additional 14 days, and does not delete it immediately if the Stop backup with delete backup data operation is performed. Para restaurar esses dados no período de 14 dias, execute as seguintes etapas, dependendo do que você está usando:To restore this data in the 14-day period, take the following steps, depending on what you are using:

Para usuários do Agente de Serviços de Recuperação do Azure:For Azure Recovery Services agent users:

  1. Se o computador em que os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use Recuperar dados para o mesmo computador nos Serviços de Recuperação do Azure para recuperar todos os pontos de recuperação antigos.If the computer where backups were happening is still available, re-protect the deleted data sources, and use the Recover data to the same machine in Azure Recovery Services, to recover from all the old recovery points.
  2. Se esse computador não estiver disponível, use Recuperar em um computador alternativo para usar outro computador dos Serviços de Recuperação do Azure para obter esses dados.If this computer is not available, use Recover to an alternate machine to use another Azure Recovery Services computer to get this data.

Para usuários do Servidor de Backup do Azure:For Azure Backup Server users:

  1. Se o servidor onde os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso de Recuperar Dados para recuperar todos os pontos de recuperação antigos.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Se esse computador não estiver disponível, use Recuperar dados de outro Servidor de Backup do Azure para usar outra instância do Servidor de Backup do Azure para obter esses dados.If this server is not available, use Recover data from another Azure Backup Server to use another Azure Backup Server instance to get this data.

Para usuários do Data Protection Manager:For Data Protection Manager users:

  1. Se o servidor onde os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso de Recuperar Dados para recuperar todos os pontos de recuperação antigos.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Se esse servidor não estiver disponível, use Adicionar DPM Externo para usar outro servidor do Data Protection Manager para obter esses dados.If this server is not available, use Add External DPM to use another Data Protection Manager server to get this data.

Impedir ataquesPrevent attacks

Foram adicionadas verificações para garantir que somente os usuários válidos possam executar várias operações.Checks have been added to make sure only valid users can perform various operations. Isso inclui a adição de uma camada extra de autenticação, e a manutenção de um período de retenção mínimo para fins de recuperação.These include adding an extra layer of authentication, and maintaining a minimum retention range for recovery purposes.

Autenticação para realizar operações críticasAuthentication to perform critical operations

Como parte da adição de uma camada extra de autenticação para operações críticas, você recebe uma solicitação para inserir o PIN de segurança ao executar operações Parar Proteção com as Excluir dados e Alterar Senha.As part of adding an extra layer of authentication for critical operations, you are prompted to enter a security PIN when you perform Stop Protection with Delete data and Change Passphrase operations.

Observação

Atualmente, o PIN de segurança não tem suporte para Interromper a proteção com Excluir dados para DPM e MABS.Currently, security pin is not supported for Stop Protection with Delete data for DPM and MABS.

Para receber esse PIN:To receive this PIN:

  1. Entre no Portal do Azure.Sign in to the Azure portal.
  2. Navegue até Cofre dos Serviços de Recuperação > Configurações > Propriedades.Browse to Recovery Services vault > Settings > Properties.
  3. Em PIN de Segurança, clique em Gerar.Under Security PIN, click Generate. Isso abre uma folha que contém o PIN a ser inserido na interface do usuário agente dos Serviços de Recuperação do Azure.This opens a blade that contains the PIN to be entered in the Azure Recovery Services agent user interface. Esse PIN é válido somente por cinco minutos e é gerado automaticamente após esse período.This PIN is valid for only five minutes, and it gets generated automatically after that period.

Manter um intervalo de retenção mínimoMaintain a minimum retention range

Para garantir que sempre haja um número válido de pontos de recuperação disponíveis, as verificações a seguir foram adicionadas:To ensure that there are always a valid number of recovery points available, the following checks have been added:

  • Para a retenção diária, é necessário no mínimo sete dias de retenção.For daily retention, a minimum of seven days of retention should be done.
  • Para a retenção semanal, é necessário no mínimo quatro semanas de retenção.For weekly retention, a minimum of four weeks of retention should be done.
  • Para a retenção mensal, é necessário no mínimo três meses de retenção.For monthly retention, a minimum of three months of retention should be done.
  • Para a retenção anual, é necessário no mínimo um ano de retenção.For yearly retention, a minimum of one year of retention should be done.

Notificações para operações críticasNotifications for critical operations

Normalmente, quando uma operação crítica for executada, o administrador de assinatura receberá uma notificação por email com detalhes sobre a operação.Typically, when a critical operation is performed, the subscription admin is sent an email notification with details about the operation. Você pode configurar outros destinatários de email para essas notificações usando o portal do Azure.You can configure additional email recipients for these notifications by using the Azure portal.

Os recursos de Segurança mencionados neste artigo fornecem mecanismos de defesa contra ataques direcionados.The security features mentioned in this article provide defense mechanisms against targeted attacks. Mais importante, se ocorrer um ataque, esses recursos oferecerão a capacidade de recuperar seus dados.More importantly, if an attack happens, these features give you the ability to recover your data.

Solucionar errosTroubleshooting errors

OperaçãoOperation Detalhes do erroError details ResoluçãoResolution
Alteração da políticaPolicy change Não foi possível modificar a política de backup.The backup policy could not be modified. Erro: a operação atual falhou devido a um erro de serviço interno [0x29834].Error: The current operation failed due to an internal service error [0x29834]. Repita a operação após algum tempo.Please retry the operation after sometime. Se o problema persistir, contate o suporte da Microsoft.If the issue persists, please contact Microsoft support. Causa:Cause:
Esse erro ocorre quando as configurações de segurança estão habilitadas. Tente reduzir o intervalo de retenção para abaixo dos valores mínimos especificados acima e verifique se você está usando uma versão sem suporte (as versões com suporte são especificadas na primeira observação deste artigo).This error comes when security settings are enabled, you try to reduce retention range below the minimum values specified above and you are on unsupported version (supported versions are specified in first note of this article).
Ação recomendada:Recommended Action:
Nesse caso, você deve definir o período de retenção acima do período de retenção mínimo especificado (sete dias para diário, quatro semanas para semanal, três semanas para mensal ou um ano para anual) para continuar com as atualizações relacionadas à política.In this case, you should set retention period above the minimum retention period specified (seven days for daily, four weeks for weekly, three weeks for monthly or one year for yearly) to proceed with policy-related updates. Opcionalmente, a abordagem preferencial será atualizar o agente de backup, o Servidor de Backup do Azure e/ou o UR do DPM para utilizar todas as atualizações de segurança.Optionally, preferred approach would be to update backup agent, Azure Backup Server and/or DPM UR to leverage all the security updates.
Alterar frase secretaChange Passphrase O PIN de Segurança inserido está incorreto.Security PIN entered is incorrect. (ID: 100130) Forneça o PIN de Segurança correto para concluir esta operação.(ID: 100130) Provide the correct Security PIN to complete this operation. Causa:Cause:
Esse erro ocorre quando você insere um PIN de Segurança inválido ou expirado ao executar uma operação crítica (como alteração da frase secreta).This error comes when you enter invalid or expired Security PIN while performing critical operation (like change passphrase).
Ação recomendada:Recommended Action:
Para concluir a operação, você deve inserir um PIN de Segurança válido.To complete the operation, you must enter valid Security PIN. Para obter o PIN, entre no portal do Azure e navegue até o cofre dos serviços de recuperação > Configurações > Propriedades > gerar PIN de segurança.To get the PIN, sign in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Use esse PIN para alterar a frase secreta.Use this PIN to change passphrase.
Alterar frase secretaChange Passphrase Falha na operação.Operation failed. ID: 120002ID: 120002 Causa:Cause:
Esse erro ocorre quando as configurações de segurança estão habilitadas. Tente alterar a frase secreta e verifique se você está usando uma versão sem suporte (as versões válidas são especificadas na primeira observação deste artigo).This error comes when security settings are enabled, you try to change passphrase and you are on unsupported version (valid versions specified in first note of this article).
Ação recomendada:Recommended Action:
Para alterar a frase secreta, primeiro você deve atualizar o agente de backup para a versão mínima 2.0.9052, o servidor de Backup do Azure para a atualização mínima 1 e/ou o DPM para, no mínimo, DPM 2012 R2 UR12 ou DPM 2016 UR2 (links de download abaixo) e, em seguida, inserir um PIN de Segurança válido.To change passphrase, you must first update backup agent to minimum version minimum 2.0.9052, Azure Backup server to minimum update 1, and/or DPM to minimum DPM 2012 R2 UR12 or DPM 2016 UR2 (download links below), then enter valid Security PIN. Para obter o PIN, entre no portal do Azure e navegue até o cofre dos serviços de recuperação > Configurações > Propriedades > gerar PIN de segurança.To get the PIN, sign in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Use esse PIN para alterar a frase secreta.Use this PIN to change passphrase.

Próximas etapasNext steps