Funcionalidades de segurança para ajudar a proteger backups híbridos que usam backup AzureSecurity features to help protect hybrid backups that use Azure Backup

As preocupações com questões de segurança, como malware, ransomware e intrusão, estão a aumentar.Concerns about security issues, like malware, ransomware, and intrusion, are increasing. Estas questões de segurança podem ser dispendiosas, tanto em termos de dinheiro como de dados.These security issues can be costly, in terms of both money and data. Para evitar tais ataques, o Azure Backup agora fornece funcionalidades de segurança para ajudar a proteger os backups híbridos.To guard against such attacks, Azure Backup now provides security features to help protect hybrid backups. Este artigo cobre como ativar e utilizar estas funcionalidades, utilizando um agente dos Serviços de Recuperação Azure e o Azure Backup Server.This article covers how to enable and use these features, by using an Azure Recovery Services agent and Azure Backup Server. As funcionalidades incluem:These features include:

  • Prevenção.Prevention. Uma camada adicional de autenticação é adicionada sempre que é realizada uma operação crítica como alterar uma palavra-passe.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Esta validação destina-se a garantir que tais operações só podem ser realizadas por utilizadores que tenham credenciais Azure válidas.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials.
  • Alertando.Alerting. Uma notificação por e-mail é enviada para o administrador de subscrição sempre que uma operação crítica como a eliminação de dados de backup é realizada.An email notification is sent to the subscription admin whenever a critical operation like deleting backup data is performed. Este e-mail garante que o utilizador é notificado rapidamente sobre tais ações.This email ensures that the user is notified quickly about such actions.
  • Recuperação.Recovery. Os dados de cópia de segurança eliminados são retidos por mais 14 dias a contar da data da eliminação.Deleted backup data is retained for an additional 14 days from the date of the deletion. Isto garante a recuperabilidade dos dados dentro de um determinado período de tempo, pelo que não há perda de dados mesmo que um ataque aconteça.This ensures recoverability of the data within a given time period, so there is no data loss even if an attack happens. Além disso, um maior número de pontos mínimos de recuperação são mantidos para proteger contra dados corruptos.Also, a greater number of minimum recovery points are maintained to guard against corrupt data.

Nota

As funcionalidades de segurança não devem ser ativadas se estiver a utilizar a infraestrutura como cópia de segurança VM de serviço (IaaS).Security features should not be enabled if you are using infrastructure as a service (IaaS) VM backup. Estas funcionalidades ainda não estão disponíveis para a cópia de segurança da IaaS VM, pelo que permitir-lhes não terá qualquer impacto.These features are not yet available for IaaS VM backup, so enabling them will not have any impact. As funcionalidades de segurança só devem ser ativadas se estiver a utilizar:Security features should be enabled only if you are using:

  • Agente Azure Backup.Azure Backup agent. Agente mínimo versão 2.0.9052.Minimum agent version 2.0.9052. Depois de ter ativado estas funcionalidades, deverá atualizar para esta versão do agente para realizar operações críticas.After you have enabled these features, you should upgrade to this agent version to perform critical operations.
  • Servidor de backup Azure.Azure Backup Server. Versão 2.0.9052 do agente de backup Azure com atualização do Servidor de Backup Azure 1.Minimum Azure Backup agent version 2.0.9052 with Azure Backup Server update 1.
  • Gestor de Proteção de Dados do Centro de Sistema.System Center Data Protection Manager. Mínimo Azure Backup agente versão 2.0.9052 com Data Protection Manager 2012 R2 UR12 ou Data Protection Manager 2016 UR2.Minimum Azure Backup agent version 2.0.9052 with Data Protection Manager 2012 R2 UR12 or Data Protection Manager 2016 UR2.

Nota

Estas funcionalidades estão disponíveis apenas para o cofre dos Serviços de Recuperação.These features are available only for Recovery Services vault. Todos os recém-criados cofres dos Serviços de Recuperação têm estas funcionalidades ativadas por padrão.All the newly created Recovery Services vaults have these features enabled by default. Para os cofres dos Serviços de Recuperação existentes, os utilizadores permitem estas funcionalidades utilizando os passos mencionados na secção seguinte.For existing Recovery Services vaults, users enable these features by using the steps mentioned in the following section. Depois de as funcionalidades estarem ativadas, aplicam-se a todos os computadores do agente recovery Services, às instâncias do Servidor de Backup Azure e aos servidores do Data Protection Manager registados no cofre.After the features are enabled, they apply to all the Recovery Services agent computers, Azure Backup Server instances, and Data Protection Manager servers registered with the vault. Ativar esta definição é uma ação única e não é possível desativar estas funcionalidades depois de as ativar.Enabling this setting is a one-time action, and you cannot disable these features after enabling them.

Ativar funcionalidades de segurançaEnable security features

Se estiver a criar um cofre dos Serviços de Recuperação, pode utilizar todas as funcionalidades de segurança.If you are creating a Recovery Services vault, you can use all the security features. Se estiver a trabalhar com um cofre existente, ative as funcionalidades de segurança seguindo estes passos:If you are working with an existing vault, enable security features by following these steps:

  1. Inscreva-se no portal Azure utilizando as suas credenciais Azure.Sign in to the Azure portal by using your Azure credentials.

  2. Selecione Procurar e escrever Serviços de Recuperação.Select Browse, and type Recovery Services.

    Screenshot do portal Azure Navegue opção

    É apresentada a lista dos cofres dos serviços de recuperação.The list of recovery services vaults appears. A partir desta lista, selecione um cofre.From this list, select a vault. O dashboard do cofre selecionado é aberto.The selected vault dashboard opens.

  3. A partir da lista de itens que aparecem debaixo do cofre, em Definições, clique em Propriedades.From the list of items that appears under the vault, under Settings, click Properties.

    Screenshot das opções de cofre dos Serviços de Recuperação

  4. Em Definições de Segurança, clique em Atualização.Under Security Settings, click Update.

    Screenshot das propriedades do cofre dos Serviços de Recuperação

    O link de atualização abre a lâmina Definições de Segurança, que fornece um resumo das funcionalidades e permite-lhe ative-las.The update link opens the Security Settings blade, which provides a summary of the features and lets you enable them.

  5. Da lista de drop-down já configuraste a autenticação multi-factor Azure? Azure Multi-Factor AuthenticationFrom the drop-down list Have you configured Azure Multi-Factor Authentication?, select a value to confirm if you have enabled Azure Multi-Factor Authentication. Se estiver ativado, é-lhe pedido que autente para autenticar a partir de outro dispositivo (por exemplo, um telemóvel) enquanto faz a sessão no portal Azure.If it is enabled, you are asked to authenticate from another device (for example, a mobile phone) while signing in to the Azure portal.

    Quando executa operações críticas em Backup, tem de introduzir um PIN de segurança, disponível no portal Azure.When you perform critical operations in Backup, you have to enter a security PIN, available on the Azure portal. Ativar a autenticação multi-factor Azure adiciona uma camada de segurança.Enabling Azure Multi-Factor Authentication adds a layer of security. Apenas os utilizadores autorizados com credenciais Azure válidas, e autenticados a partir de um segundo dispositivo, podem aceder ao portal Azure.Only authorized users with valid Azure credentials, and authenticated from a second device, can access the Azure portal.

  6. Para guardar as definições de segurança, selecione 'Ativar e clique em Guardar ' 'Guardar'To save security settings, select Enable and click Save. Pode selecionar Ativar apenas depois de selecionar um valor da lista de autenticação multi-factor Azure configurada no passo anterior.You can select Enable only after you select a value from the Have you configured Azure Multi-Factor Authentication? list in the previous step.

    Screenshot das definições de segurança

Recuperar dados de backup eliminadosRecover deleted backup data

A cópia de segurança retém dados de cópias de segurança eliminados por mais 14 dias e não o elimina imediatamente se for realizada a cópia de segurança stop com a operação de dados de backup.Backup retains deleted backup data for an additional 14 days, and does not delete it immediately if the Stop backup with delete backup data operation is performed. Para restaurar estes dados no período de 14 dias, tome as seguintes medidas, dependendo do que estiver a utilizar:To restore this data in the 14-day period, take the following steps, depending on what you are using:

Para os utilizadores de agentes dos Serviços de Recuperação da Azure:For Azure Recovery Services agent users:

  1. Se o computador onde estavam a ocorrer cópias de segurança ainda estiver disponível, re-proteger as fontes de dados eliminadas e utilizar os dados de Recuperação para a mesma máquina nos Serviços de Recuperação do Azure, para recuperar de todos os antigos pontos de recuperação.If the computer where backups were happening is still available, re-protect the deleted data sources, and use the Recover data to the same machine in Azure Recovery Services, to recover from all the old recovery points.
  2. Se este computador não estiver disponível, utilize a Recover para uma máquina alternativa para utilizar outro computador Azure Recovery Services para obter estes dados.If this computer is not available, use Recover to an alternate machine to use another Azure Recovery Services computer to get this data.

Para os utilizadores do Servidor de Backup Azure:For Azure Backup Server users:

  1. Se o servidor onde estavam a acontecer cópias de segurança ainda estiver disponível, re-proteger as fontes de dados eliminadas e utilizar a funcionalidade 'Recuperar Dados' para recuperar de todos os antigos pontos de recuperação.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Se este servidor não estiver disponível, utilize os dados de Recuperação de outro Servidor de Backup Azure para utilizar outra instância do Servidor de Backup Azure para obter estes dados.If this server is not available, use Recover data from another Azure Backup Server to use another Azure Backup Server instance to get this data.

Para os utilizadores do Gestor de Proteção de Dados:For Data Protection Manager users:

  1. Se o servidor onde estavam a acontecer cópias de segurança ainda estiver disponível, re-proteger as fontes de dados eliminadas e utilizar a funcionalidade 'Recuperar Dados' para recuperar de todos os antigos pontos de recuperação.If the server where backups were happening is still available, re-protect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Se este servidor não estiver disponível, utilize o Add External DPM para utilizar outro servidor do Data Protection Manager para obter estes dados.If this server is not available, use Add External DPM to use another Data Protection Manager server to get this data.

Prevenir ataquesPrevent attacks

Foram adicionadas verificações para garantir que apenas utilizadores válidos podem realizar várias operações.Checks have been added to make sure only valid users can perform various operations. Estes incluem a adição de uma camada extra de autenticação, e a manutenção de um intervalo mínimo de retenção para fins de recuperação.These include adding an extra layer of authentication, and maintaining a minimum retention range for recovery purposes.

Autenticação para realização de operações críticasAuthentication to perform critical operations

Como parte da adição de uma camada extra de autenticação para operações críticas, é solicitado que introduza um PIN de segurança quando efetuar a Proteção stop com as operações de Eliminação de dados e Alteração passphrase.As part of adding an extra layer of authentication for critical operations, you are prompted to enter a security PIN when you perform Stop Protection with Delete data and Change Passphrase operations.

Nota

Atualmente, o pin de segurança não é suportado para parar a proteção com os dados de Eliminação de DPM e MABS.Currently, security pin is not supported for Stop Protection with Delete data for DPM and MABS.

Para receber este PIN:To receive this PIN:

  1. Inicie sessão no Portal do Azure.Sign in to the Azure portal.
  2. Navegue para o cofre dos serviços de recuperação > Propriedades de > configurações.Browse to Recovery Services vault > Settings > Properties.
  3. Em Pin de segurança, clique em Gerar.Under Security PIN, click Generate. Isto abre uma lâmina que contém o PIN a ser introduzido na interface de utilizador do agente Azure Recovery Services.This opens a blade that contains the PIN to be entered in the Azure Recovery Services agent user interface. Este PIN é válido por apenas cinco minutos, e é gerado automaticamente após esse período.This PIN is valid for only five minutes, and it gets generated automatically after that period.

Manter um intervalo mínimo de retençãoMaintain a minimum retention range

Para garantir que existem sempre um número válido de pontos de recuperação disponíveis, foram adicionados os seguintes controlos:To ensure that there are always a valid number of recovery points available, the following checks have been added:

  • Para a retenção diária, deve ser feito um mínimo de sete dias de retenção.For daily retention, a minimum of seven days of retention should be done.
  • Para a retenção semanal, deve ser feita uma retenção mínima de quatro semanas.For weekly retention, a minimum of four weeks of retention should be done.
  • Para a retenção mensal, deve ser feito um mínimo de três meses de retenção.For monthly retention, a minimum of three months of retention should be done.
  • Para a retenção anual, deve ser feito um mínimo de um ano de retenção.For yearly retention, a minimum of one year of retention should be done.

Notificações para operações críticasNotifications for critical operations

Normalmente, quando uma operação crítica é realizada, o administrador de subscrição é enviado uma notificação de e-mail com detalhes sobre a operação.Typically, when a critical operation is performed, the subscription admin is sent an email notification with details about the operation. Pode configurar destinatários de e-mail adicionais para estas notificações utilizando o portal Azure.You can configure additional email recipients for these notifications by using the Azure portal.

Os recursos de segurança mencionados neste artigo fornecem mecanismos de defesa contra ataques direcionados.The security features mentioned in this article provide defense mechanisms against targeted attacks. Mais importante ainda, se um ataque acontecer, estas funcionalidades dão-lhe a capacidade de recuperar os seus dados.More importantly, if an attack happens, these features give you the ability to recover your data.

Resolução de errosTroubleshooting errors

OperaçãoOperation Detalhes do erroError details ResoluçãoResolution
Mudança de políticaPolicy change A política de apoio não pôde ser modificada.The backup policy could not be modified. Erro: A operação atual falhou devido a um erro de serviço interno [0x29834].Error: The current operation failed due to an internal service error [0x29834]. Por favor, recaia a operação depois de algum tempo.Please retry the operation after sometime. Se o problema persistir, contacte o Suporte da Microsoft.If the issue persists, please contact Microsoft support. Causa:Cause:
Este erro ocorre quando as definições de segurança estão ativadas, tenta reduzir o intervalo de retenção abaixo dos valores mínimos acima especificados e está na versão não suportada (as versões suportadas são especificadas na primeira nota deste artigo).This error comes when security settings are enabled, you try to reduce retention range below the minimum values specified above and you are on unsupported version (supported versions are specified in first note of this article).
Ação recomendada:Recommended Action:
Neste caso, deverá definir o período de retenção acima do período mínimo de retenção especificado (sete dias para o dia-a-dia, quatro semanas para semanalmente, três semanas para mensal ou um ano para o ano) para proceder com atualizações relacionadas com a política.In this case, you should set retention period above the minimum retention period specified (seven days for daily, four weeks for weekly, three weeks for monthly or one year for yearly) to proceed with policy-related updates. Opcionalmente, a abordagem preferida seria atualizar o agente de backup, o Azure Backup Server e/ou DPM UR para alavancar todas as atualizações de segurança.Optionally, preferred approach would be to update backup agent, Azure Backup Server and/or DPM UR to leverage all the security updates.
Alterar a frase de passeChange Passphrase PIN de segurança introduzido está incorreto.Security PIN entered is incorrect. (ID: 100130) Forneça o PIN de segurança correto para completar esta operação.(ID: 100130) Provide the correct Security PIN to complete this operation. Causa:Cause:
Este erro ocorre quando introduz PIN de segurança inválido ou expirado durante a operação crítica (como alterar a palavra-passe).This error comes when you enter invalid or expired Security PIN while performing critical operation (like change passphrase).
Ação recomendada:Recommended Action:
Para completar a operação, tem de introduzir PIN de segurança válido.To complete the operation, you must enter valid Security PIN. Para obter o PIN, inscreva-se no portal Azure e navegue para o cofre dos Serviços de Recuperação > Definições > Propriedades > Gerar PIN de Segurança.To get the PIN, sign in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Utilize este PIN para alterar a palavra-passe.Use this PIN to change passphrase.
Alterar a frase de passeChange Passphrase A operação falhou.Operation failed. ID: 120002ID: 120002 Causa:Cause:
Este erro surge quando as definições de segurança estão ativadas, tenta alterar a palavra-passe e está na versão não suportada (versões válidas especificadas na primeira nota deste artigo).This error comes when security settings are enabled, you try to change passphrase and you are on unsupported version (valid versions specified in first note of this article).
Ação recomendada:Recommended Action:
Para alterar a palavra-passe, tem primeiro de atualizar o agente de backup para a versão mínima 2.0.9052, servidor Azure Backup para atualização mínima 1 e/ou DPM para o mínimo DPM 2012 R2 UR12 ou DPM 2016 UR2 (links de descarregamento abaixo), então introduza PIN de segurança válido.To change passphrase, you must first update backup agent to minimum version minimum 2.0.9052, Azure Backup server to minimum update 1, and/or DPM to minimum DPM 2012 R2 UR12 or DPM 2016 UR2 (download links below), then enter valid Security PIN. Para obter o PIN, inscreva-se no portal Azure e navegue para o cofre dos Serviços de Recuperação > Definições > Propriedades > Gerar PIN de Segurança.To get the PIN, sign in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Utilize este PIN para alterar a palavra-passe.Use this PIN to change passphrase.

Passos seguintesNext steps