Visão geral das funcionalidades de segurança no Azure BackupOverview of security features in Azure Backup

Um dos passos mais importantes que pode tomar para proteger os seus dados é ter uma infraestrutura de backup fiável.One of the most important steps you can take to protect your data is to have a reliable backup infrastructure. Mas é igualmente importante garantir que os seus dados são apoiados de forma segura, e que os seus backups estão sempre protegidos.But it's just as important to ensure that your data is backed up in a secure fashion, and that your backups are protected at all times. O Azure Backup fornece segurança ao seu ambiente de backup - tanto quando os seus dados estão em trânsito como em repouso.Azure Backup provides security to your backup environment - both when your data is in transit and at rest. Este artigo lista as capacidades de segurança no Azure Backup que o ajudam a proteger os seus dados de backup e a satisfazer as necessidades de segurança do seu negócio.This article lists security capabilities in Azure Backup that help you protect your backup data and meet the security needs of your business.

Gestão e controlo da identidade e do acesso ao utilizadorManagement and control of identity and user access

As contas de armazenamento utilizadas pelos cofres dos Serviços de Recuperação estão isoladas e não podem ser acedidas pelos utilizadores para fins maliciosos.Storage accounts used by Recovery Services vaults are isolated and can't be accessed by users for any malicious purposes. O acesso só é permitido através de operações de gestão de Backup Azure, como a restauração.The access is only allowed through Azure Backup management operations, such as restore. O Azure Backup permite-lhe controlar as operações geridas através de um acesso fino utilizando o controlo de acesso baseado em funções Azure (Azure RBAC).Azure Backup enables you to control the managed operations through fine-grained access using Azure role-based access control (Azure RBAC). O Azure RBAC permite-lhe segregar funções dentro da sua equipa e conceder apenas a quantidade de acesso aos utilizadores necessário para fazer o seu trabalho.Azure RBAC allows you to segregate duties within your team and grant only the amount of access to users necessary to do their jobs.

A Azure Backup fornece três funções incorporadas para controlar as operações de gestão de backup:Azure Backup provides three built-in roles to control backup management operations:

  • Backup Contributor - para criar e gerir backups, exceto eliminar o cofre dos Serviços de Recuperação e dar acesso a outrosBackup Contributor - to create and manage backups, except deleting Recovery Services vault and giving access to others
  • Backup Operator - tudo o que um contribuinte faz exceto remover backup e gerir políticas de backupBackup Operator - everything a contributor does except removing backup and managing backup policies
  • Backup Reader - permissões para visualizar todas as operações de gestão de backupBackup Reader - permissions to view all backup management operations

Saiba mais sobre o controlo de acesso baseado em funções da Azure para gerir o Azure Backup.Learn more about Azure role-based access control to manage Azure Backup.

O Azure Backup tem vários controlos de segurança incorporados no serviço para prevenir, detetar e responder a vulnerabilidades de segurança.Azure Backup has several security controls built into the service to prevent, detect, and respond to security vulnerabilities. Saiba mais sobre os controlos de segurança para a Azure Backup.Learn more about security controls for Azure Backup.

Separação entre o hóspede e o armazenamento AzureSeparation between guest and Azure storage

Com a Azure Backup, que inclui cópia de segurança virtual da máquina e SQL e SAP HANA na cópia de segurança VM, os dados de backup são armazenados no armazenamento Azure e o hóspede não tem acesso direto ao armazenamento de backup ou ao seu conteúdo.With Azure Backup, which includes virtual machine backup and SQL and SAP HANA in VM backup, the backup data is stored in Azure storage and the guest has no direct access to backup storage or its contents. Com a cópia de segurança da máquina virtual, a criação e armazenamento de imagens de backup é feita por tecido Azure, onde o hóspede não tem outro envolvimento que não seja a desemaçar a carga de trabalho para backups consistentes da aplicação.With virtual machine backup, the backup snapshot creation and storage is done by Azure fabric where the guest has no involvement other than quiescing the workload for application consistent backups. Com SQL e SAP HANA, a extensão de backup obtém acesso temporário para escrever para bolhas específicas.With SQL and SAP HANA, the backup extension gets temporary access to write to specific blobs. Desta forma, mesmo num ambiente comprometido, as cópias de segurança existentes não podem ser adulteradas ou eliminadas pelo hóspede.In this way, even in a compromised environment, existing backups can't be tampered with or deleted by the guest.

Conectividade na Internet não é necessária para cópia de segurança Azure VMInternet connectivity not required for Azure VM backup

A cópia de segurança dos VMs Azure requer o movimento de dados do disco da sua máquina virtual para o cofre dos Serviços de Recuperação.Backup of Azure VMs requires movement of data from your virtual machine's disk to the Recovery Services vault. No entanto, toda a comunicação e transferência de dados necessárias ocorre apenas na rede de espinha dorsal Azure sem precisar de aceder à sua rede virtual.However, all the required communication and data transfer happens only on the Azure backbone network without needing to access your virtual network. Portanto, a cópia de segurança dos VMs Azure colocados dentro de redes seguras não requer que você permita o acesso a quaisquer IPs ou FQDNs.Therefore, backup of Azure VMs placed inside secured networks doesn't require you to allow access to any IPs or FQDNs.

Pontos finais privados para backup AzurePrivate Endpoints for Azure Backup

Agora pode utilizar o Private Endpoints para fazer o back up de segurança dos seus dados de servidores dentro de uma rede virtual até ao cofre dos Serviços de Recuperação.You can now use Private Endpoints to back up your data securely from servers inside a virtual network to your Recovery Services vault. O ponto final privado utiliza um IP do espaço de endereço VNET para o seu cofre, por isso não precisa de expor as suas redes virtuais a quaisquer IPs públicos.The private endpoint uses an IP from the VNET address space for your vault, so you don't need to expose your virtual networks to any public IPs. Os pontos finais privados podem ser utilizados para fazer o backup e restaurar as bases de dados SQL e SAP HANA que funcionam dentro dos seus VMs Azure.Private Endpoints can be used for backing up and restoring your SQL and SAP HANA databases that run inside your Azure VMs. Também pode ser usado para os seus servidores no local usando o agente MARS.It can also be used for your on-premises servers using the MARS agent.

Leia mais sobre os pontos finais privados para o Azure Backup aqui.Read more on private endpoints for Azure Backup here.

Encriptação de dadosEncryption of data

A encriptação protege os seus dados e ajuda-o a cumprir os seus compromissos de segurança organizacional e de conformidade.Encryption protects your data and helps you to meet your organizational security and compliance commitments. A encriptação de dados ocorre em muitas fases no Azure Backup:Data encryption occurs in many stages in Azure Backup:

Proteção de dados de backup de eliminações não intencionaisProtection of backup data from unintentional deletes

O Azure Backup fornece funcionalidades de segurança para ajudar a proteger os dados de backup mesmo após a eliminação.Azure Backup provides security features to help protect backup data even after deletion. Com a eliminação suave, se o utilizador eliminar a cópia de segurança de um VM, os dados de cópia de segurança são retidos por mais 14 dias, permitindo a recuperação desse item de backup sem perda de dados.With soft delete, if user deletes the backup of a VM, the backup data is retained for 14 additional days, allowing the recovery of that backup item with no data loss. Os 14 dias adicionais de retenção de dados de backup no estado de "soft delete" não lhe incorrem em qualquer custo.The additional 14 days retention of backup data in the "soft delete" state doesn't incur any cost to you. Saiba mais sobre a eliminação suave.Learn more about soft delete.

Monitorização e alertas de atividades suspeitasMonitoring and alerts of suspicious activity

O Azure Backup fornece capacidades de monitorização e alerta incorporadas para visualizar e configurar ações para eventos relacionados com a Azure Backup.Azure Backup provides built-in monitoring and alerting capabilities to view and configure actions for events related to Azure Backup. Os Relatórios de Backup servem como um destino único para rastrear o uso, auditar backups e restauros, e identificar tendências-chave em diferentes níveis de granularidade.Backup Reports serve as a one-stop destination for tracking usage, auditing of backups and restores, and identifying key trends at different levels of granularity. A utilização das ferramentas de monitorização e reporte da Azure Backup pode alertá-lo para qualquer atividade não autorizada, suspeita ou maliciosa assim que ocorram.Using Azure Backup's monitoring and reporting tools can alert you to any unauthorized, suspicious, or malicious activity as soon as they occur.

Funcionalidades de segurança para ajudar a proteger backups híbridosSecurity features to help protect hybrid backups

O serviço Azure Backup utiliza o agente Microsoft Azure Recovery Services (MARS) para fazer backup e restaurar ficheiros, pastas e o estado de volume ou sistema de um computador no local para o Azure.Azure Backup service uses the Microsoft Azure Recovery Services (MARS) agent to back up and restore files, folders, and the volume or system state from an on-premises computer to Azure. A MARS agora fornece funcionalidades de segurança para ajudar a proteger as cópias de segurança híbridas.MARS now provides security features to help protect hybrid backups. Essas funcionalidades incluem:These features include:

  • Uma camada adicional de autenticação é adicionada sempre que é realizada uma operação crítica como alterar uma palavra-passe.An additional layer of authentication is added whenever a critical operation like changing a passphrase is performed. Esta validação destina-se a garantir que tais operações só podem ser realizadas por utilizadores que tenham credenciais Azure válidas.This validation is to ensure that such operations can be performed only by users who have valid Azure credentials. Saiba mais sobre as funcionalidades que impedem os ataques.Learn more about the features that prevent attacks.

  • Os dados de cópia de segurança eliminados são retidos por mais 14 dias a contar da data de eliminação.Deleted backup data is retained for an additional 14 days from the date of deletion. Isto garante a recuperabilidade dos dados dentro de um determinado período de tempo, por isso não há perda de dados mesmo que um ataque aconteça.This ensures recoverability of the data within a given time period, so there's no data loss even if an attack happens. Além disso, um maior número de pontos mínimos de recuperação são mantidos para proteger contra dados corruptos.Also, a greater number of minimum recovery points are maintained to guard against corrupt data. Saiba mais sobre a recuperação de dados de backup eliminados.Learn more about recovering deleted backup data.

  • Para os dados com cópia de segurança utilizando o agente Microsoft Azure Recovery Services (MARS), é utilizada uma palavra-passe para garantir que os dados são encriptados antes do upload para a Azure Backup e desencriptados apenas após o download do Azure Backup.For data backed up using the Microsoft Azure Recovery Services (MARS) agent, a passphrase is used to ensure data is encrypted before upload to Azure Backup and decrypted only after download from Azure Backup. Os detalhes da palavra-passe só estão disponíveis para o utilizador que criou a palavra-passe e o agente que está configurado com ele.The passphrase details are only available to the user who created the passphrase and the agent that's configured with it. Nada é transmitido ou partilhado com o serviço.Nothing is transmitted or shared with the service. Isto garante a segurança completa dos seus dados, uma vez que todos os dados expostos inadvertidamente (como um ataque homem-no-meio na rede) são inutilizáveis sem a palavra-passe, e a palavra-passe não é enviada pela rede.This ensures complete security of your data, as any data that's exposed inadvertently (such as a man-in-the-middle attack on the network) is unusable without the passphrase, and the passphrase isn't sent over the network.

Cumprimento dos requisitos de segurança normalizadosCompliance with standardized security requirements

Para ajudar as organizações a cumprirem os requisitos nacionais, regionais e específicos da indústria que regem a recolha e utilização de dados individuais, o Microsoft Azure & Azure Backup oferecem um conjunto abrangente de certificações e atestados.To help organizations comply with national, regional, and industry-specific requirements governing the collection and use of individuals' data, Microsoft Azure & Azure Backup offer a comprehensive set of certifications and attestations. Consulte a lista de certificações de conformidadeSee the list of compliance certifications

Passos seguintesNext steps