Функции безопасности для защиты гибридных резервных копий, которые используют Azure Backup

Среди пользователей растет обеспокоенность вопросами безопасности, связанными с вредоносными программами, программами-шантажистами и вторжениями в систему. Эти угрозы могут привести к значительным расходам и потере данных. Чтобы защитить вас от таких атак, в службе архивации Azure доступны функции безопасности для защиты гибридных резервных копий. В этой статье описывается, как включить и использовать эти функции для защиты локальных рабочих нагрузок с помощью Microsoft Azure Backup Server (MABS), Data Protection Manager (DPM) и агента Служб восстановления Microsoft Azure (MARS). Эти функции включают перечисленные ниже.

  • Предотвращение. При выполнении критически важных операций, таких как изменение парольной фразы, добавляется дополнительный уровень аутентификации. Это гарантирует, что такие операции могут выполнять только пользователи с действительными учетными данными Azure.
  • Оповещение. При выполнении критически важных операций, таких как удаление данных резервных копий, администратору подписки отправляется уведомление по электронной почте. Это гарантирует быстрое уведомление пользователя о таких действиях.
  • Восстановление. Удаленные данные резервных копий сохраняются в течение дополнительных 14 дней после удаления. Это гарантирует возможность восстановить данные в течение указанного периода времени, так что данные не будут утеряны даже в случае атаки. Кроме того, повышение минимального числа точек восстановления позволяет защититься от повреждения данных.

Примечание.

Включите многопользовательскую авторизацию (MUA) в хранилище служб восстановления, чтобы добавить дополнительный уровень защиты для критически важной операции отключения функций безопасности. Подробнее.

Минимальные требования к версиям

Включите функции безопасности, если вы используете что-то из следующего:

  • Агент резервного копирования Azure: минимальная версия агента 2.0.9052. После включения этих возможностей обновите версию агента для выполнения критически важных операций.
  • Azure Backup Server. Следует использовать агент Azure Backup версии не ниже 2.0.9052 и Azure Backup Server с обновлением 1.
  • Microsoft System Center Data Protection Manager. Поддерживается агент Azure Backup версии не ниже 2.0.9052 в сочетании с Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.

Примечание.

Не включайте функции безопасности, если используете резервное копирование виртуальных машин в формате IaaS (инфраструктура как услуга). В настоящее время эти функции недоступны для резервного копирования виртуальных машин IaaS, поэтому их включение не имеет никакого эффекта.

Включение функций безопасности

Создавая новое хранилище Служб восстановления, вы можете применить все функции безопасности. Чтобы включить функции безопасности для существующего хранилища, выполните следующие действия:

  1. Войдите на портал Azure, используя свои учетные данные Azure.

  2. Выберите Обзор и введите текст службы восстановления.

    Screenshot of Azure portal Browse option

    После этого отобразится список хранилищ служб восстановления, Выберите хранилище в списке. Затем откроется панель мониторинга выбранного хранилища.

  3. В открывшемся списке элементов хранилища в разделе Настройки выберите Параметры.

    Screenshot of Recovery Services vault options

  4. В разделе Параметры безопасности выберите Обновить.

    Screenshot of Recovery Services vault properties

    При нажатии на ссылку для обновления откроется панель Параметры безопасности, которая содержит описания функций и позволяет включить их.

  5. Включите возможности для безопасности и щелкните Сохранить.

    Screenshot of security settings

Восстановление удаленных резервных копий

Если возможности для безопасности включены и вы выполняете операцию Остановить резервное копирование с удалением данных резервных копий, служба Azure Backup не удаляет данные резервных копий немедленно, а сохраняет их в течение 14 дней. Чтобы восстановить данные в течение этого периода, выполните следующие действия, в зависимости от используемых компонентов:

Действия для пользователей агента служб восстановления Microsoft Azure.

  1. Если компьютер, на котором выполнялось резервное копирование, все еще доступен, выполните повторную защиту удаленных источников данных и выполните команду Восстановление данных на тот же компьютер в Службах восстановления Azure из любой старой точки восстановления.
  2. Если этот компьютер недоступен, используйте команду Восстановление на другой компьютер, чтобы получить эти данные на любом другом компьютере Служб восстановления Azure.

Для пользователей Azure Backup Server:

  1. Если сервер, на котором выполнялось резервное копирование, все еще доступен, выполните повторную защиту удаленных источников данных и используйте функцию Восстановить данные для восстановления из любой старой точки восстановления.
  2. Если этот сервер недоступен, выполните команду Восстановление данных с другого экземпляра Azure Backup Server, чтобы получить эти данные.

Действия для пользователей Data Protection Manager.

  1. Если сервер, на котором выполнялось резервное копирование, все еще доступен, выполните повторную защиту удаленных источников данных и используйте функцию Восстановить данные для восстановления из любой старой точки восстановления.
  2. Если этот сервер недоступен, выполните команду Добавить внешний DPM, чтобы получить эти данные на другой сервер DPM.

Предотвращение атак

Дополнительные проверки гарантируют выполнение некоторых операций только допустимыми пользователями. Сюда относится дополнительный этап аутентификации и минимальный период хранения для восстановления.

Аутентификация для выполнения критически важных операций

При добавлении дополнительного уровня проверки подлинности для критически важных операций вам будет предложено ввести ПИН-код безопасности при выполнении операций stop Protection с удалением данных и изменения парольной фразы для DPM, MABS и MARS.

Кроме того, при использовании MARS версии 2.0.9262.0 и более поздних версий операции по удалению тома из резервного копирования ФАЙЛОВ ИЛИ папок MARS, добавьте новый параметр исключения для существующего тома, уменьшите продолжительность хранения и запустите менее частое расписание резервного копирования, а также защищены с помощью пин-кода безопасности для дополнительной безопасности.

Примечание.

В настоящее время для следующих версий DPM и MABS ПИН-код безопасности поддерживается для отключения защиты с удалением данных в интернет-хранилище:

  • DPM 2016 UR9 или более поздняя версия
  • DPM 2019 UR1 или более поздняя версия
  • MABS v3 UR1 или более поздняя версия

Чтобы получить этот ПИН-код, сделайте следующее.

  1. Войдите на портал Azure.
  2. Перейдите к разделу Хранилище службы восстановления>Параметры>Свойства.
  3. В разделе ПИН-код безопасности выберите Создать. Откроется панель, которая содержит ПИН-код для ввода в пользовательском интерфейсе агента Служб восстановления Azure. Этот ПИН-код действителен только в течение 5 минут и автоматически создается заново по истечении этого периода.

Настройка минимального периода хранения

Чтобы обеспечить постоянную доступность допустимого числа точек восстановления, добавлены следующие проверки.

  • Ежедневное хранение — должны сохраняться данные не менее чем за семь дней.
  • Еженедельное хранение — должны сохраняться данные не менее чем за четыре недели.
  • Ежемесячное хранение — должны сохраняться данные не менее чем за три месяца.
  • Ежегодное хранение — должны сохраняться данные не менее чем за один год.

Уведомления для критически важных операций

Обычно при выполнении критически важных операций администратору подписки по электронной почте отправляется уведомление со сведениями о таких операциях. Вы можете с помощью портала Azure настроить дополнительный адрес электронной почты для получения этих уведомлений.

Функции безопасности, описываемые в этой статье, предоставляют механизмы защиты от направленных атак. И что еще важнее, они позволяют восстановить данные даже в случае успешной атаки.

Устранение неполадок

Операция Сведения об ошибке Разрешение
Изменение политики Не удалось изменить политику резервного копирования. Ошибка: сбой текущей операции из-за внутренней ошибки в службе [0x29834]. Повторите операцию через некоторое время. Если проблема сохраняется, обратитесь в службу поддержки корпорации Майкрософт. Причина.
Эта ошибка возникает, когда при включенных параметрах безопасности вы пытаетесь уменьшить период хранения ниже минимальных значений, указанных выше, и используется неподдерживаемая версия (поддерживаемые версии указаны в первом примечании к этой статье).
Рекомендуемое действие.
В этом случае следует задать срок хранения выше минимально указанного (семь дней для ежедневного хранения, четыре недели — для еженедельного, три недели — для ежемесячного или год — для ежегодного), чтобы продолжить работу с обновлениями, связанными с политикой. При необходимости рекомендуется обновить агент резервного копирования, Azure Backup Server и (или) DPM UR, чтобы использовать все обновления для системы безопасности.
Изменение парольной фразы Указан неверный ПИН-код. (ID: 100130) Укажите правильный ПИН-код безопасности, чтобы завершить эту операцию. Причина.
Эта ошибка возникает, когда вы вводите недопустимый ПИН-код безопасности (или срок его действия истек) при выполнении критически важной операции (например, изменение парольной фразы).
Рекомендуемое действие.
Чтобы завершить операцию, необходимо ввести допустимый ПИН-код безопасности. Чтобы получить ПИН-код, войдите на портал Azure и выберите "Хранилище Служб восстановления" > "Параметры" > "Свойства" > "Создать ПИН-код безопасности". Используйте этот ПИН-код, чтобы изменить парольную фразу.
Изменение парольной фразы Ошибка при выполнении операции. Идентификатор: 120002 Причина.
Эта ошибка возникает, когда при включенных параметрах безопасности вы пытаетесь изменить парольную фразу и используется неподдерживаемая версия (поддерживаемые версии указаны в первом примечании к этой статье).
Рекомендуемое действие.
Чтобы изменить парольную фразу, сначала обновите агент резервного копирования до версии не менее 2.0.9052, Azure Backup Server — до обновления 1 и (или) DPM — до версии DPM 2012 R2 UR12 или DPM 2016 UR2 (ссылки для скачивания ниже), а затем введите корректный ПИН-код безопасности. Чтобы получить ПИН-код, войдите на портал Azure и выберите "Хранилище Служб восстановления" > "Параметры" > "Свойства" > "Создать ПИН-код безопасности". Используйте этот ПИН-код, чтобы изменить парольную фразу.

Поддержка неизменяемости

Если включена неизменяемость хранилища служб восстановления, операции, которые сокращают хранение облачных резервных копий или удаляют облачное резервное копирование для локальных источников данных, блокируются.

Поддержка неизменяемости для DPM и MABS

Эта функция поддерживается с агентом MARS версии 2.0.9250.0 и выше из DPM 2022 UR1 и MABS версии 4.

В следующей таблице перечислены запрещенные операции с DPM, подключенные к неизменяемому восстановлению:

Операция с неизменяемым хранилищем Результат с DPM 2022 UR1, MABS версии 4 и последним агентом MARS.

С помощью DPM 2022 UR2 или MABS версии 4 UR1 можно выбрать вариант хранения точек восстановления в сети по политике при остановке защиты или удалении источника данных из группы защиты из консоли.
Результат с более старым агентом DPM/MABS и MARS
Удаление источника данных из группы защиты, настроенной для оперативного резервного копирования 81001: не удается удалить элементы резервного копирования, так как у него есть активные точки восстановления, а выбранное хранилище — неизменяемое хранилище. 130001. Служба архивации Microsoft Azure обнаружила внутреннюю ошибку.
Остановка защиты с помощью данных удаления 81001: не удается удалить элементы резервного копирования, так как у него есть активные точки восстановления, а выбранное хранилище — неизменяемое хранилище.

С помощью DPM 2022 UR2 или MABS версии 4 UR1 можно выбрать вариант хранения точек восстановления в сети по политике при остановке защиты или удалении источника данных из группы защиты из консоли.
130001. Служба архивации Microsoft Azure обнаружила внутреннюю ошибку.
Сокращение срока хранения в Сети 810002. Сокращение хранения во время изменения политики и защиты запрещено, так как выбранное хранилище неизменяемо. 130001. Служба архивации Microsoft Azure обнаружила внутреннюю ошибку.
Команда Remove-DPMChildDatasource 81001: не удается удалить элементы резервного копирования, так как у него есть активные точки восстановления, а выбранное хранилище — неизменяемое хранилище.

Используйте новый параметр -EnableOnlineRPsPruning с параметром -KeepOnlineData , чтобы сохранить данные только до длительности политики.

С помощью DPM 2022 UR2 или MABS версии 4 UR1 можно выбрать вариант хранения точек восстановления в сети по политике при остановке защиты или удалении источника данных из группы защиты из консоли.
130001. Служба архивации Microsoft Azure обнаружила внутреннюю ошибку.

Используйте флаг -KeepOnlineData для хранения данных.

Поддержка неизменяемости для MARS

В следующей таблице перечислены запрещенные операции для MARS, когда неизменяемость включена в хранилище служб восстановления. Разрешены другие операции, такие как увеличение хранения и исключение файла или папки из резервной копии.

Запрещенная операция Результат с помощью последнего агента MARS Результат с старым агентом MARS
Остановка защиты с помощью удаления данных для состояния системы Ошибка 810001

Пользователь пытается удалить элемент резервного копирования или остановить защиту с помощью данных удаления, где элемент резервного копирования имеет действительную точку восстановления (нераспределен).
Ошибка 130001

В Microsoft Azure Backup произошла внутренняя ошибка.
Остановка защиты с помощью данных удаления Ошибка 810001

Пользователь пытается удалить элемент резервного копирования или остановить защиту с помощью данных удаления, где элемент резервного копирования имеет действительную точку восстановления (нераспределен).
Ошибка 130001

В Microsoft Azure Backup произошла внутренняя ошибка.

MARS 2.0.9262.0 и более поздних версий предоставляют возможность остановки защиты и хранения точек восстановления в соответствии с политикой в консоли.
Сокращение срока хранения в Сети Пользователь пытается изменить политику или защиту с сокращением срока хранения. 130001

В Microsoft Azure Backup произошла внутренняя ошибка.
Remove-OBPolicy с флагом -DeleteBackup 810001

Пользователь пытается удалить элемент резервного копирования или остановить защиту с помощью данных удаления, где элемент резервного копирования имеет действительную точку восстановления (нераспределен).

Используйте флаг -EnablePruning для хранения резервных копий до срока хранения.
130001

В Microsoft Azure Backup произошла внутренняя ошибка.

Не используйте флаг -DeleteBackup .

MARS 2.0.9262.0 и более поздних версий предоставляют возможность остановки защиты и хранения точек восстановления в соответствии с политикой в консоли.

Следующие шаги