Funcionalidades de segurança para ajudar a proteger backups híbridos que usam backup AzureSecurity features to help protect hybrid backups that use Azure Backup

As preocupações com questões de segurança, como malware, ransomware e intrusão, estão a aumentar.Concerns about security issues, like malware, ransomware, and intrusion, are increasing. Estas questões de segurança podem ser dispendiosas, tanto em termos de dinheiro como de dados.These security issues can be costly, in terms of both money and data. Para evitar tais ataques, o Azure Backup agora fornece funcionalidades de segurança para ajudar a proteger os backups híbridos.To guard against such attacks, Azure Backup now provides security features to help protect hybrid backups. Este artigo cobre como ativar e utilizar estas funcionalidades, utilizando um agente dos Serviços de Recuperação Azure e o Azure Backup Server.This article covers how to enable and use these features, by using an Azure Recovery Services agent and Azure Backup Server. Essas funcionalidades incluem:These features include:

  • Prevenção.Prevention. Uma camada adicional de autenticação é adicionada sempre que é realizada uma operação crítica como alterar uma palavra-passe.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Esta validação destina-se a garantir que tais operações só podem ser realizadas por utilizadores que tenham credenciais Azure válidas.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials.
  • Alertando.Alerting. Uma notificação por e-mail é enviada para o administrador de subscrição sempre que uma operação crítica como a eliminação de dados de backup é realizada.An email notification is sent to the subscription admin whenever a critical operation like deleting backup data is performed. Este e-mail garante que o utilizador é notificado rapidamente sobre tais ações.This email ensures that the user is notified quickly about such actions.
  • Recuperação.Recovery. Os dados de cópia de segurança eliminados são retidos por mais 14 dias a contar da data da eliminação.Deleted backup data is retained for an additional 14 days from the date of the deletion. Isto garante a recuperabilidade dos dados dentro de um determinado período de tempo, por isso não há perda de dados mesmo que um ataque aconteça.This ensures recoverability of the data within a given time period, so there's no data loss even if an attack happens. Além disso, um maior número de pontos mínimos de recuperação são mantidos para proteger contra dados corruptos.Also, a greater number of minimum recovery points are maintained to guard against corrupt data.

Nota

As funcionalidades de segurança não devem ser ativadas se estiver a utilizar a infraestrutura como cópia de segurança vM de serviço (IaaS).Security features shouldn't be enabled if you're using infrastructure as a service (IaaS) VM backup. Estas funcionalidades ainda não estão disponíveis para a cópia de segurança da IaaS VM, pelo que permitir-lhes não terá qualquer impacto.These features aren't yet available for IaaS VM backup, so enabling them won't have any impact. As funcionalidades de segurança só devem ser ativadas se estiver a utilizar:Security features should be enabled only if you're using:

  • Agente Azure Backup.Azure Backup agent. Agente mínimo versão 2.0.9052.Minimum agent version 2.0.9052. Depois de ter ativado estas funcionalidades, deverá atualizar para esta versão do agente para realizar operações críticas.After you've enabled these features, you should upgrade to this agent version to perform critical operations.
  • Servidor de backup Azure.Azure Backup Server. Versão 2.0.9052 do agente de backup Azure com atualização do Servidor de Backup Azure 1.Minimum Azure Backup agent version 2.0.9052 with Azure Backup Server update 1.
  • Gestor de Proteção de Dados do Centro de Sistema.System Center Data Protection Manager. Mínimo Azure Backup agente versão 2.0.9052 com Data Protection Manager 2012 R2 UR12 ou Data Protection Manager 2016 UR2.Minimum Azure Backup agent version 2.0.9052 with Data Protection Manager 2012 R2 UR12 or Data Protection Manager 2016 UR2.

Nota

Estas funcionalidades estão disponíveis apenas para o cofre dos Serviços de Recuperação.These features are available only for Recovery Services vault. Todos os recém-criados cofres dos Serviços de Recuperação têm estas funcionalidades ativadas por padrão.All the newly created Recovery Services vaults have these features enabled by default. Para os cofres dos Serviços de Recuperação existentes, os utilizadores permitem estas funcionalidades utilizando os passos mencionados na secção seguinte.For existing Recovery Services vaults, users enable these features by using the steps mentioned in the following section. Depois de as funcionalidades estarem ativadas, aplicam-se a todos os computadores do agente recovery Services, às instâncias do Servidor de Backup Azure e aos servidores do Data Protection Manager registados no cofre.After the features are enabled, they apply to all the Recovery Services agent computers, Azure Backup Server instances, and Data Protection Manager servers registered with the vault. Ativar esta definição é uma ação única e não é possível desativar estas funcionalidades depois de as ativar.Enabling this setting is a one-time action, and you can't disable these features after enabling them.

Ativar funcionalidades de segurançaEnable security features

Se estiver a criar um cofre dos Serviços de Recuperação, pode utilizar todas as funcionalidades de segurança.If you're creating a Recovery Services vault, you can use all the security features. Se estiver a trabalhar com um cofre existente, ative as funcionalidades de segurança seguindo estes passos:If you're working with an existing vault, enable security features by following these steps:

  1. Inscreva-se no portal Azure utilizando as suas credenciais Azure.Sign in to the Azure portal by using your Azure credentials.

  2. Selecione Procurar e escrever Serviços de Recuperação.Select Browse, and type Recovery Services.

    Screenshot do portal Azure Navegue opção

    É apresentada a lista dos cofres dos Serviços de Recuperação.The list of Recovery Services vaults appears. A partir desta lista, selecione um cofre.From this list, select a vault. O dashboard do cofre selecionado é aberto.The selected vault dashboard opens.

  3. Da lista de itens que aparecem debaixo do cofre, em Definições, selecione Properties.From the list of items that appears under the vault, under Settings, select Properties.

    Screenshot das opções de cofre dos Serviços de Recuperação

  4. Em Definições de Segurança, selecione Update.Under Security Settings, select Update.

    Screenshot das propriedades do cofre dos Serviços de Recuperação

    O link de atualização abre o painel de Definições de Segurança, que fornece um resumo das funcionalidades e permite-lhe ative-las.The update link opens the Security Settings pane, which provides a summary of the features and lets you enable them.

  5. Da lista de drop-down já configuraste a autenticação multi-factor Azure AD? From the drop-down list Have you configured Azure AD Multi-Factor Authentication?, select a value to confirm if you've enabled Azure AD Multi-Factor Authentication. Se estiver ativado, é-lhe pedido que autente para autenticar a partir de outro dispositivo (por exemplo, um telemóvel) enquanto faz a sessão no portal Azure.If it's enabled, you're asked to authenticate from another device (for example, a mobile phone) while signing in to the Azure portal.

    Quando executa operações críticas em Backup, tem de introduzir um PIN de segurança, disponível no portal Azure.When you perform critical operations in Backup, you have to enter a security PIN, available on the Azure portal. Ativar a autenticação multi-factor Azure AD adiciona uma camada de segurança.Enabling Azure AD Multi-Factor Authentication adds a layer of security. Apenas os utilizadores autorizados com credenciais Azure válidas, e autenticados a partir de um segundo dispositivo, podem aceder ao portal Azure.Only authorized users with valid Azure credentials, and authenticated from a second device, can access the Azure portal.

  6. Para guardar as definições de segurança, selecione Ative e selecione Guardar.To save security settings, select Enable and select Save. Pode selecionar Ativar apenas depois de selecionar um valor da lista de autenticação multi-factor Ad Azure configurada no passo anterior?You can select Enable only after you select a value from the Have you configured Azure AD Multi-Factor Authentication? list in the previous step.

    Screenshot das definições de segurança

Recuperar dados de backup eliminadosRecover deleted backup data

A cópia de segurança retém dados de cópias de segurança eliminados por mais 14 dias e não o elimina imediatamente se for realizada a cópia de segurança stop com a operação de dados de backup.Backup retains deleted backup data for an additional 14 days, and doesn't delete it immediately if the Stop backup with delete backup data operation is performed. Para restaurar estes dados no período de 14 dias, tome os seguintes passos, dependendo do que está a usar:To restore this data in the 14-day period, take the following steps, depending on what you're using:

Para os utilizadores de agentes dos Serviços de Recuperação da Azure:For Azure Recovery Services agent users:

  1. Se o computador onde estavam a ocorrer cópias de segurança ainda estiver disponível, reproteja as fontes de dados eliminadas e utilize os dados de Recuperação para a mesma máquina nos Serviços de Recuperação do Azure, para recuperar de todos os antigos pontos de recuperação.If the computer where backups were happening is still available, reprotect the deleted data sources, and use the Recover data to the same machine in Azure Recovery Services, to recover from all the old recovery points.
  2. Se este computador não estiver disponível, utilize a Recover para uma máquina alternativa para utilizar outro computador Azure Recovery Services para obter estes dados.If this computer isn't available, use Recover to an alternate machine to use another Azure Recovery Services computer to get this data.

Para os utilizadores do Servidor de Backup Azure:For Azure Backup Server users:

  1. Se o servidor onde estavam a acontecer cópias de segurança ainda estiver disponível, reprotete as fontes de dados eliminadas e utilize a funcionalidade 'Recuperar Dados' para recuperar de todos os antigos pontos de recuperação.If the server where backups were happening is still available, reprotect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Se este servidor não estiver disponível, utilize os dados de Recuperação de outro Servidor de Backup Azure para utilizar outra instância do Azure Backup Server para obter estes dados.If this server isn't available, use Recover data from another Azure Backup Server to use another Azure Backup Server instance to get this data.

Para os utilizadores do Gestor de Proteção de Dados:For Data Protection Manager users:

  1. Se o servidor onde estavam a acontecer cópias de segurança ainda estiver disponível, reprotete as fontes de dados eliminadas e utilize a funcionalidade 'Recuperar Dados' para recuperar de todos os antigos pontos de recuperação.If the server where backups were happening is still available, reprotect the deleted data sources, and use the Recover Data feature to recover from all the old recovery points.
  2. Se este servidor não estiver disponível, utilize o Add External DPM para utilizar outro servidor do Data Protection Manager para obter estes dados.If this server isn't available, use Add External DPM to use another Data Protection Manager server to get this data.

Prevenir ataquesPrevent attacks

Foram adicionadas verificações para garantir que apenas utilizadores válidos podem realizar várias operações.Checks have been added to make sure only valid users can perform various operations. Estes incluem a adição de uma camada extra de autenticação, e a manutenção de um intervalo mínimo de retenção para fins de recuperação.These include adding an extra layer of authentication, and maintaining a minimum retention range for recovery purposes.

Autenticação para realização de operações críticasAuthentication to perform critical operations

Como parte da adição de uma camada extra de autenticação para operações críticas, é solicitado que introduza um PIN de segurança quando efetuar a Proteção stop com as operações de Eliminação de dados e Alteração Passphrase.As part of adding an extra layer of authentication for critical operations, you're prompted to enter a security PIN when you perform Stop Protection with Delete data and Change Passphrase operations.

Nota

Atualmente, o pin de segurança não é suportado para parar a proteção com os dados de Eliminação de DPM e MABS.Currently, security pin isn't supported for Stop Protection with Delete data for DPM and MABS.

Para receber este PIN:To receive this PIN:

  1. Inicie sessão no portal do Azure.Sign in to the Azure portal.
  2. Navegue para o cofre dos serviços de recuperação > Propriedades de > configurações.Browse to Recovery Services vault > Settings > Properties.
  3. Em Pin de segurança, selecione Gerar.Under Security PIN, select Generate. Isto abre um painel que contém o PIN a ser introduzido na interface de utilizador do agente Azure Recovery Services.This opens a pane that contains the PIN to be entered in the Azure Recovery Services agent user interface. Este PIN é válido por apenas cinco minutos, e é gerado automaticamente após esse período.This PIN is valid for only five minutes, and it gets generated automatically after that period.

Manter um intervalo mínimo de retençãoMaintain a minimum retention range

Para garantir que existem sempre um número válido de pontos de recuperação disponíveis, foram adicionados os seguintes controlos:To ensure that there are always a valid number of recovery points available, the following checks have been added:

  • Para a retenção diária, deve ser feito um mínimo de sete dias de retenção.For daily retention, a minimum of seven days of retention should be done.
  • Para a retenção semanal, deve ser feita uma retenção mínima de quatro semanas.For weekly retention, a minimum of four weeks of retention should be done.
  • Para a retenção mensal, deve ser feito um mínimo de três meses de retenção.For monthly retention, a minimum of three months of retention should be done.
  • Para a retenção anual, deve ser feito um mínimo de um ano de retenção.For yearly retention, a minimum of one year of retention should be done.

Notificações para operações críticasNotifications for critical operations

Normalmente, quando uma operação crítica é realizada, o administrador de subscrição é enviado uma notificação de e-mail com detalhes sobre a operação.Typically, when a critical operation is performed, the subscription admin is sent an email notification with details about the operation. Pode configurar destinatários de e-mail adicionais para estas notificações utilizando o portal Azure.You can configure additional email recipients for these notifications by using the Azure portal.

Os recursos de segurança mencionados neste artigo fornecem mecanismos de defesa contra ataques direcionados.The security features mentioned in this article provide defense mechanisms against targeted attacks. Mais importante ainda, se um ataque acontecer, estas funcionalidades dão-lhe a capacidade de recuperar os seus dados.More importantly, if an attack happens, these features give you the ability to recover your data.

Resolução de errosTroubleshooting errors

OperaçãoOperation Detalhes do erroError details ResoluçãoResolution
Mudança de políticaPolicy change A política de apoio não pôde ser modificada.The backup policy could not be modified. Erro: A operação atual falhou devido a um erro de serviço interno [0x29834].Error: The current operation failed due to an internal service error [0x29834]. Por favor, recaia a operação depois de algum tempo.Please retry the operation after sometime. Se o problema persistir, contacte o Suporte da Microsoft.If the issue persists, please contact Microsoft support. Causa:Cause:
Este erro aparece quando as definições de segurança estão ativadas, tenta reduzir o intervalo de retenção abaixo dos valores mínimos acima especificados e está numa versão não suportada (as versões suportadas são especificadas na primeira nota deste artigo).This error appears when security settings are enabled, you try to reduce retention range below the minimum values specified above and you're on an unsupported version (supported versions are specified in first note of this article).
Ação Recomendada:Recommended Action:
Neste caso, deverá definir o período de retenção acima do período mínimo de retenção especificado (sete dias para o dia-a-dia, quatro semanas para semanalmente, três semanas para mensal ou um ano para o ano) para proceder com atualizações relacionadas com a política.In this case, you should set retention period above the minimum retention period specified (seven days for daily, four weeks for weekly, three weeks for monthly or one year for yearly) to proceed with policy-related updates. Opcionalmente, uma abordagem preferida seria atualizar o agente de backup, O Azure Backup Server e/ou DPM UR para alavancar todas as atualizações de segurança.Optionally, a preferred approach would be to update the backup agent, Azure Backup Server and/or DPM UR to leverage all the security updates.
Alterar a frase de passeChange Passphrase PIN de segurança introduzido está incorreto.Security PIN entered is incorrect. (ID: 100130) Forneça o PIN de segurança correto para completar esta operação.(ID: 100130) Provide the correct Security PIN to complete this operation. Causa:Cause:
Este erro ocorre quando introduz PIN de segurança inválido ou expirado durante a operação crítica (como alterar a palavra-passe).This error comes when you enter invalid or expired Security PIN while performing critical operation (like change passphrase).
Ação Recomendada:Recommended Action:
Para completar a operação, tem de introduzir PIN de segurança válido.To complete the operation, you must enter valid Security PIN. Para obter o PIN, inscreva-se no portal Azure e navegue para o cofre dos Serviços de Recuperação > Definições > Propriedades > Gerar PIN de Segurança.To get the PIN, sign in to Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Utilize este PIN para alterar a palavra-passe.Use this PIN to change passphrase.
Alterar a frase de passeChange Passphrase A operação falhou.Operation failed. ID: 120002ID: 120002 Causa:Cause:
Este erro aparece quando as definições de segurança estão ativadas, tenta alterar a palavra-passe e está numa versão não suportada (versões válidas especificadas na primeira nota deste artigo).This error appears when security settings are enabled, you try to change the passphrase and you're on an unsupported version (valid versions specified in first note of this article).
Ação Recomendada:Recommended Action:
Para alterar a palavra-passe, tem primeiro de atualizar o agente de backup para a versão mínima 2.0.9052, Azure Backup Server para atualização mínima 1 e/ou DPM para o mínimo DPM 2012 R2 UR12 ou DPM 2016 UR2 (links de descarregamento abaixo), e depois introduzir um PIN de segurança válido.To change the passphrase, you must first update the backup agent to minimum version 2.0.9052, Azure Backup Server to minimum update 1, and/or DPM to minimum DPM 2012 R2 UR12 or DPM 2016 UR2 (download links below), then enter a valid Security PIN. Para obter o PIN, inscreva-se no portal Azure e navegue para o cofre dos Serviços de Recuperação > Definições > Propriedades > Gerar PIN de Segurança.To get the PIN, sign in to the Azure portal and navigate to Recovery Services vault > Settings > Properties > Generate Security PIN. Utilize este PIN para alterar a palavra-passe.Use this PIN to change passphrase.

Passos seguintesNext steps