Visão geral dos recursos de segurança no Backup do AzureOverview of security features in Azure Backup

Um dos passos mais importantes que você pode dar para proteger seus dados é ter uma infraestrutura de backup confiável.One of the most important steps you can take to protect your data is to have a reliable backup infrastructure. Mas é igualmente importante garantir que os dados sejam submetidos a backup de maneira segura e que os backups sejam protegidos o tempo todo.But it's just as important to ensure that your data is backed up in a secure fashion, and that your backups are protected at all times. O Backup do Azure fornece segurança para seu ambiente de backup quando seus dados estão em trânsito e também quando estão em repouso.Azure Backup provides security to your backup environment - both when your data is in transit and at rest. Este artigo lista as funcionalidades de segurança no Backup do Azure que ajudam a proteger seus dados de backup e a atender às necessidades de segurança de sua empresa.This article lists security capabilities in Azure Backup that help you protect your backup data and meet the security needs of your business.

Gerenciamento e controle de identidade e acesso de usuárioManagement and control of identity and user access

As contas de armazenamento usadas pelos cofres dos serviços de recuperação são isoladas e não podem ser acessadas por usuários para fins mal-intencionados.Storage accounts used by Recovery Services vaults are isolated and can't be accessed by users for any malicious purposes. O acesso é permitido somente por meio de operações de gerenciamento do Backup do Azure, como a restauração.The access is only allowed through Azure Backup management operations, such as restore. O backup do Azure permite que você controle as operações gerenciadas por meio de acesso refinado usando o controle de acesso baseado em função do Azure (RBAC do Azure).Azure Backup enables you to control the managed operations through fine-grained access using Azure role-based access control (Azure RBAC). O RBAC do Azure permite separar as tarefas dentro de sua equipe e conceder apenas a quantidade de acesso para os usuários necessários para realizar seus trabalhos.Azure RBAC allows you to segregate duties within your team and grant only the amount of access to users necessary to do their jobs.

O Backup do Azure oferece três funções internas para controlar as operações de gerenciamento de backups:Azure Backup provides three built-in roles to control backup management operations:

  • Colaborador de Backup: para criar e gerenciar backups, exceto criar o cofre dos Serviços de Recuperação e fornecer acesso a outras pessoasBackup Contributor - to create and manage backups, except deleting Recovery Services vault and giving access to others
  • Operador de Backup: fazer tudo que um colaborador faz, exceto remover backups e gerenciar políticas de backupBackup Operator - everything a contributor does except removing backup and managing backup policies
  • Leitor de Backup: permissões para exibir todas as operações de gerenciamento de backupsBackup Reader - permissions to view all backup management operations

Saiba mais sobre o controle de acesso baseado em função do Azure para gerenciar o backup do Azure.Learn more about Azure role-based access control to manage Azure Backup.

O Backup do Azure tem vários controles de segurança incorporados ao serviço para impedir, detectar e responder a vulnerabilidades de segurança.Azure Backup has several security controls built into the service to prevent, detect, and respond to security vulnerabilities. Saiba mais sobre controles de segurança para o Backup do Azure.Learn more about security controls for Azure Backup.

Separação entre o convidado e o Armazenamento do AzureSeparation between guest and Azure storage

Com o Backup do Azure, que inclui backup de máquina virtual, bem como SQL e SAP HANA em backup de VM, os dados de backup são armazenados no Armazenamento do Azure e o convidado não tem acesso direto ao armazenamento de backup ou ao conteúdo dele.With Azure Backup, which includes virtual machine backup and SQL and SAP HANA in VM backup, the backup data is stored in Azure storage and the guest has no direct access to backup storage or its contents. Com o backup de máquina virtual, a criação e o armazenamento de instantâneos de backup são feitos pela malha do Azure, em que o único envolvimento do convidado é fazer o fechamento da carga de trabalho para backups consistentes do aplicativo.With virtual machine backup, the backup snapshot creation and storage is done by Azure fabric where the guest has no involvement other than quiescing the workload for application consistent backups. Com o SQL e o SAP HANA, a extensão de backup obtém acesso temporário para gravar em blobs específicos.With SQL and SAP HANA, the backup extension gets temporary access to write to specific blobs. Dessa forma, mesmo em um ambiente comprometido, os backups existentes não podem ser adulterados nem excluídos pelo convidado.In this way, even in a compromised environment, existing backups can't be tampered with or deleted by the guest.

A conectividade com a Internet não necessária para o backup de VM do AzureInternet connectivity not required for Azure VM backup

O backup de VMs do Azure requer a movimentação de dados do disco da máquina virtual para o cofre dos Serviços de Recuperação.Backup of Azure VMs requires movement of data from your virtual machine's disk to the Recovery Services vault. No entanto, toda a comunicação necessária e a transferência de dados acontecem apenas na rede de backbone do Azure, sem a necessidade de acessar sua rede virtual.However, all the required communication and data transfer happens only on the Azure backbone network without needing to access your virtual network. Portanto, o backup de VMs do Azure colocado dentro de redes seguras não exige que você permita o acesso a nenhum IP nem FQDN.Therefore, backup of Azure VMs placed inside secured networks doesn't require you to allow access to any IPs or FQDNs.

Pontos de extremidade privados para o backup do AzurePrivate Endpoints for Azure Backup

Agora, você pode usar Pontos de Extremidade Privados para fazer backup de dados de maneira segura de servidores dentro de uma rede virtual para seu cofre dos Serviços de Recuperação.You can now use Private Endpoints to back up your data securely from servers inside a virtual network to your Recovery Services vault. O ponto de extremidade privado usa um IP do espaço de endereço de VNET para seu cofre, de modo que você não precisa expor suas redes virtuais para qualquer IPs público.The private endpoint uses an IP from the VNET address space for your vault, so you don't need to expose your virtual networks to any public IPs. Os Pontos de Extremidade Privados podem ser usados para fazer backup e restaurar os bancos de dados SQL e SAP HANA executados dentro de suas VMs do Azure.Private Endpoints can be used for backing up and restoring your SQL and SAP HANA databases that run inside your Azure VMs. Eles também podem ser usados para servidores locais que usam o agente MARS.It can also be used for your on-premises servers using the MARS agent.

Leia mais sobre pontos de extremidade privados para o Backup do Azure aqui.Read more on private endpoints for Azure Backup here.

Criptografia de dadosEncryption of data

A criptografia protege seus dados e ajuda a atender aos compromissos de conformidade e segurança de sua organização.Encryption protects your data and helps you to meet your organizational security and compliance commitments. A criptografia de dados ocorre em muitos estágios no backup do Azure:Data encryption occurs in many stages in Azure Backup:

Proteção de dados de backup de exclusões não intencionaisProtection of backup data from unintentional deletes

O Backup do Azure fornece recursos de segurança para ajudar a proteger os dados de backup mesmo após a exclusão.Azure Backup provides security features to help protect backup data even after deletion. Com a exclusão reversível, se o usuário excluir o backup de uma VM, os dados de backup serão mantidos por 14 dias adicionais, permitindo a recuperação desse item de backup sem perda de dados.With soft delete, if user deletes the backup of a VM, the backup data is retained for 14 additional days, allowing the recovery of that backup item with no data loss. A retenção adicional de 14 dias dos dados de backup no estado de "exclusão reversível" não incorre em nenhum custo para você.The additional 14 days retention of backup data in the "soft delete" state doesn't incur any cost to you. Saiba mais sobre a exclusão temporária.Learn more about soft delete.

Monitoramento e alertas de atividade suspeitaMonitoring and alerts of suspicious activity

O Backup do Azure fornece funcionalidades internas de monitoramento e alerta para exibir e configurar ações para eventos relacionados ao Backup do Azure.Azure Backup provides built-in monitoring and alerting capabilities to view and configure actions for events related to Azure Backup. Os Relatórios de Backup funcionam como um destino único para controlar o uso, auditar backups e restaurações e identificar as principais tendências em níveis diferentes de granularidade.Backup Reports serve as a one-stop destination for tracking usage, auditing of backups and restores, and identifying key trends at different levels of granularity. Usar as ferramentas de monitoramento e relatório do Backup do Azure pode alertá-lo sobre qualquer atividade não autorizada, suspeita ou mal-intencionada assim que ela ocorrer.Using Azure Backup's monitoring and reporting tools can alert you to any unauthorized, suspicious, or malicious activity as soon as they occur.

Recursos de segurança para ajudar a proteger backups híbridosSecurity features to help protect hybrid backups

O serviço de Backup do Azure usa o agente de MARS (Serviços de Recuperação do Microsoft Azure) para fazer backup e restaurar arquivos, pastas e o estado do volume ou do sistema de um computador local para o Azure.Azure Backup service uses the Microsoft Azure Recovery Services (MARS) agent to back up and restore files, folders, and the volume or system state from an on-premises computer to Azure. O MARS agora fornece recursos de segurança para ajudar a proteger backups híbridos.MARS now provides security features to help protect hybrid backups. Esses recursos incluem:These features include:

  • Uma camada adicional de autenticação será adicionada sempre que uma operação crítica, como a alteração de senha, for executada.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Essa validação é garantir que essas operações possam ser realizadas apenas por usuários com credenciais válidas do Azure.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials. Saiba mais sobre os recursos que impedem ataques.Learn more about the features that prevent attacks.

  • Os dados de backup excluídos são retidos por mais 14 dias desde a data da exclusão.Deleted backup data is retained for an additional 14 days from the date of deletion. Isso garante a capacidade de recuperação de dados em um determinado período de tempo de maneira que não haja perda de dados mesmo se houver um ataque.This ensures recoverability of the data within a given time period, so there's no data loss even if an attack happens. Além disso, mais pontos de recuperação mínimos são mantidos para proteção contra dados corrompidos.Also, a greater number of minimum recovery points are maintained to guard against corrupt data. Saiba mais sobre a recuperação de dados de backup excluídos.Learn more about recovering deleted backup data.

  • Para backup de dados usando o agente de MARS (Serviços de Recuperação do Microsoft Azure), uma frase secreta é usada para garantir que os dados sejam criptografados antes do carregamento para o Backup do Azure e descriptografados somente após o download do Backup do Azure.For data backed up using the Microsoft Azure Recovery Services (MARS) agent, a passphrase is used to ensure data is encrypted before upload to Azure Backup and decrypted only after download from Azure Backup. Os detalhes da frase secreta estão disponíveis somente para o usuário que criou a senha e o agente que está configurado com ele.The passphrase details are only available to the user who created the passphrase and the agent that's configured with it. Nada é transmitido nem compartilhado com o serviço.Nothing is transmitted or shared with the service. Isso garante a segurança total de seus dados, pois todos os dados expostos inadvertidamente (como um ataque man-in-the-Middle na rede) são inutilizáveis sem a frase secreta e a senha não é enviada pela rede.This ensures complete security of your data, as any data that's exposed inadvertently (such as a man-in-the-middle attack on the network) is unusable without the passphrase, and the passphrase isn't sent over the network.

Conformidade com requisitos de segurança padronizadosCompliance with standardized security requirements

Para ajudar as organizações a atenderem aos requisitos nacionais, regionais e específicos do setor que controlam a coleta e o uso de dados de indivíduos, o Microsoft Azure e o Backup do Azure oferecem um conjunto mais abrangente de certificações e atestados.To help organizations comply with national, regional, and industry-specific requirements governing the collection and use of individuals' data, Microsoft Azure & Azure Backup offer a comprehensive set of certifications and attestations. Confira a lista de certificações de conformidadeSee the list of compliance certifications

Próximas etapasNext steps