Visão geral dos recursos de segurança no Backup do Azure

Um dos passos mais importantes que você pode dar para proteger seus dados é ter uma infraestrutura de backup confiável. Mas é igualmente importante garantir que os dados sejam submetidos a backup de maneira segura e que os backups sejam protegidos o tempo todo. O Backup do Azure fornece segurança para seu ambiente de backup quando seus dados estão em trânsito e também quando estão em repouso. Este artigo lista as funcionalidades de segurança no Backup do Azure que ajudam a proteger seus dados de backup e a atender às necessidades de segurança de sua empresa.

Gerenciamento e controle de identidade e acesso de usuário

As contas de armazenamento usadas pelos cofres dos Serviços de Recuperação são isoladas e não podem ser acessadas por usuários para fins mal-intencionados. O acesso é permitido somente por meio de operações de gerenciamento do Backup do Azure, como a restauração. O Backup do Azure permite que você controle as operações gerenciadas por meio de acesso refinado usando o RBAC (controle de acesso baseado em função) do Azure. O RBAC do Azure permite a você separar as tarefas dentro de sua equipe e conceder somente o nível de acesso de que os membros dela precisam para realizar os respectivos trabalhos.

O Backup do Azure oferece três funções internas para controlar as operações de gerenciamento de backups:

  • Colaborador de Backup: para criar e gerenciar backups, exceto criar o cofre dos Serviços de Recuperação e fornecer acesso a outras pessoas
  • Operador de Backup: fazer tudo que um colaborador faz, exceto remover backups e gerenciar políticas de backup
  • Leitor de Backup: permissões para exibir todas as operações de gerenciamento de backups

Saiba mais sobre o controle de acesso baseado em função para gerenciar o Backup do Azure.

O Backup do Azure tem vários controles de segurança incorporados ao serviço para impedir, detectar e responder a vulnerabilidades de segurança. Saiba mais sobre controles de segurança para o Backup do Azure.

Separação entre o convidado e o Armazenamento do Azure

Com o Backup do Azure, que inclui backup de máquina virtual, bem como SQL e SAP HANA em backup de VM, os dados de backup são armazenados no Armazenamento do Azure e o convidado não tem acesso direto ao armazenamento de backup ou ao conteúdo dele. Com o backup de máquina virtual, a criação e o armazenamento de instantâneos de backup são feitos pela malha do Azure, em que o único envolvimento do convidado é fazer o fechamento da carga de trabalho para backups consistentes do aplicativo. Com o SQL e o SAP HANA, a extensão de backup obtém acesso temporário para gravar em blobs específicos. Dessa forma, mesmo em um ambiente comprometido, os backups existentes não podem ser adulterados nem excluídos pelo convidado.

A conectividade com a Internet não necessária para o backup de VM do Azure

O backup de VMs do Azure requer a movimentação de dados do disco da máquina virtual para o cofre dos Serviços de Recuperação. No entanto, toda a comunicação necessária e a transferência de dados acontecem apenas na rede de backbone do Azure, sem a necessidade de acessar sua rede virtual. Portanto, o backup de VMs do Azure colocado dentro de redes seguras não exige que você permita o acesso a nenhum IP nem FQDN.

Pontos de extremidade privados para o Backup do Azure

Agora, você pode usar Pontos de Extremidade Privados para fazer backup de dados de maneira segura de servidores dentro de uma rede virtual para seu cofre dos Serviços de Recuperação. O ponto de extremidade privado usa um IP do espaço de endereço de VNET para seu cofre, portanto, você não precisa expor suas redes virtuais para nenhum IP público. Os Pontos de Extremidade Privados podem ser usados para fazer backup e restaurar os bancos de dados SQL e SAP HANA executados dentro de suas VMs do Azure. Eles também podem ser usados para servidores locais que usam o agente MARS.

Leia mais sobre pontos de extremidade privados para o Backup do Azure aqui.

Criptografia de dados

A criptografia protege seus dados e ajuda a atender aos compromissos de conformidade e segurança de sua organização. A criptografia de dados ocorre em muitos estágios no Backup do Azure:

Proteção de dados de backup de exclusões não intencionais

O Backup do Azure fornece recursos de segurança para ajudar a proteger os dados de backup mesmo após a exclusão. Com a exclusão reversível, se o usuário excluir o backup de uma VM, os dados de backup serão mantidos por 14 dias adicionais, permitindo a recuperação desse item de backup sem perda de dados. A retenção de mais 14 dias dos dados de backup no estado de "exclusão reversível" não incorre em custos para você. Saiba mais sobre a exclusão temporária.

Monitoramento e alertas de atividade suspeita

O Backup do Azure fornece funcionalidades internas de monitoramento e alerta para exibir e configurar ações para eventos relacionados ao Backup do Azure. Os Relatórios de Backup funcionam como um destino único para controlar o uso, auditar backups e restaurações e identificar as principais tendências em níveis diferentes de granularidade. Usar as ferramentas de monitoramento e relatório do Backup do Azure pode alertá-lo sobre qualquer atividade não autorizada, suspeita ou mal-intencionada assim que ela ocorrer.

Recursos de segurança para ajudar a proteger backups híbridos

O serviço de Backup do Azure usa o agente de MARS (Serviços de Recuperação do Microsoft Azure) para fazer backup e restaurar arquivos, pastas e o estado do volume ou do sistema de um computador local para o Azure. O MARS agora fornece recursos de segurança para ajudar a proteger backups híbridos. Esses recursos incluem:

  • Uma camada adicional de autenticação será adicionada sempre que uma operação crítica, como a alteração de senha, for executada. Essa validação é garantir que essas operações possam ser realizadas apenas por usuários com credenciais válidas do Azure. Saiba mais sobre os recursos que impedem ataques.

  • Os dados de backup excluídos são retidos por mais 14 dias desde a data da exclusão. Isso garante a capacidade de recuperação de dados em um determinado período de tempo de maneira que não haja perda de dados mesmo se houver um ataque. Além disso, mais pontos de recuperação mínimos são mantidos para proteção contra dados corrompidos. Saiba mais sobre a recuperação de dados de backup excluídos.

  • Para backup de dados usando o agente de MARS (Serviços de Recuperação do Microsoft Azure), uma frase secreta é usada para garantir que os dados sejam criptografados antes do carregamento para o Backup do Azure e descriptografados somente após o download do Backup do Azure. Os detalhes da frase secreta estão disponíveis somente para o usuário que criou a senha e o agente que está configurado com ele. Nada é transmitido nem compartilhado com o serviço. Isso garante a segurança total de seus dados, pois todos os dados expostos inadvertidamente (como um ataque man-in-the-middle na rede) não são utilizáveis sem a frase secreta, que não é enviada na rede.

Conformidade com requisitos de segurança padronizados

Para ajudar as organizações a atenderem aos requisitos nacionais, regionais e específicos do setor que controlam a coleta e o uso de dados de indivíduos, o Microsoft Azure e o Backup do Azure oferecem um conjunto mais abrangente de certificações e atestados. Confira a lista de certificações de conformidade

Próximas etapas