Обратимое удаление для Azure Backup

Среди пользователей растет обеспокоенность вопросами безопасности, связанными с вредоносными программами, программами-шантажистами и вторжениями в системы. Эти угрозы могут привести к значительным расходам и потере данных. Чтобы защититься от этих угроз, Azure Backup теперь поддерживает средства безопасности, которые позволяют защитить данные резервных копий даже после удаления.

Одной из таких функций является обратимое удаление. При обратимом удалении, даже если данные резервной копии будут удалены (злоумышленником или случайно), эти данные хранятся еще 14 дней, что дает возможность восстановить соответствующую резервную копию без потери данных. Эти дополнительные 14 дней хранения данных в рамках функции обратимого удаления предоставляются бесплатно.

Защита с помощью обратимого удаления доступна для следующих служб:

На схеме потока ниже показаны различные этапы и состояния элемента резервного копирования, когда включено обратимое удаление.

Жизненный цикл обратимо удаленного элемента резервного копирования

Включение и отключение обратимого удаления

Обратимое удаление по умолчанию включено во вновь создаваемых хранилищах, чтобы защитить данные резервного копирования от случайного или вредоносного удаления. Отключать эту функцию не рекомендуется. Единственное обстоятельство, при котором вам следует подумать об отключении обратимого удаления, — если вы планируете переместить защищенные элементы в новое хранилище и не можете ждать 14 дней, необходимых для удаления и повторной активации защиты (например, в тестовой среде).

Чтобы отключить обратимое удаление в хранилище, необходимо иметь роль участника резервного копирования для этого хранилища (у вас должны быть разрешения на выполнение в хранилище Microsoft.RecoveryServices/Vaults/backupconfig/write). Если отключить эту функцию, удаление любых защищенных элементов хранилища в будущем приведет к немедленному удалению без возможности восстановления. Резервные копии данных, которые находятся в состоянии обратимого удаления перед отключением этой функции, будут оставаться в этом состоянии в течение 14 дней. Если вы хотите безвозвратно удалить эти данные немедленно, необходимо отменить удаление и удалить их снова уже окончательно.

Важно помнить, что после отключения обратимого удаления эта функция отключается для всех типов рабочих нагрузок. Например, невозможно отключить обратимое удаление только для баз данных SQL-сервера или SAP HANA, сохранив его для виртуальных машин в том же хранилище. Для более точного управления можно создавать отдельные хранилища.

Отключение обратимого удаления с помощью портала Azure

Чтобы отключить обратимое удаление, выполните эти действия:

  1. На портале Azure перейдите в хранилище, а затем последовательно выберите Параметры -> Свойства.
  2. В области свойств последовательно выберите Параметры безопасности -> Обновить.
  3. В области параметров безопасности в разделе Обратимое удаление выберите Отключить.

Отключение обратимого удаления

Отключение обратимого удаления с помощью Azure PowerShell

Важно!

Версия Az.RecoveryServices, необходимая для использования обратимого удаления с помощью Azure PowerShell, — минимум 2.2.0. Используйте Install-Module -Name Az.RecoveryServices -Force, чтобы получить последнюю версию.

Чтобы отключить, используйте командлет PowerShell Set-AzRecoveryServicesVaultBackupProperty.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Отключение обратимого удаления с помощью REST API

Описание действий для отключения функции обратимого удаления с помощью REST API см. здесь.

Окончательное удаление обратимо удаленных элементов резервного копирования

Резервные копии данных, которые находятся в состоянии обратимого удаления перед отключением этой функции, будут оставаться в этом состоянии. Если вы хотите безвозвратно удалить эти данные немедленно, отмените удаление и удалите их снова уже окончательно.

Использование портала Azure

Выполните следующие действия.

  1. Чтобы отключить обратимое удаление, выполните эти действия.

  2. На портале Azure перейдите в хранилище, а затем — к элементам архивации и выберите обратимо удаленный элемент.

    Выбор обратимо удаленного элемента

  3. Выберите параметр Отменить удаление.

    Выбор отмены удаления

  4. Откроется окно. Выберите Отменить удаление.

    Выбор отмены удаления

  5. Выберите Удалить данные резервной копии для окончательного удаления.

    Выбор удаления данных резервной копии

  6. Чтобы подтвердить удаление точек восстановления, введите имя элемента резервного копирования.

    Ввод имени элемента резервного копирования

  7. Чтобы удалить данные резервных копий для элемента, нажмите кнопку Удалить. После удаления отобразится соответствующее уведомление.

Использование Azure PowerShell

Если элементы удалены до отключения обратимого удаления, они будут находиться в состоянии обратимого удаления. Чтобы немедленно удалить их, нужно отменить операцию удаления, а затем снова выполнить.

Определите элементы, которые находятся в состоянии обратимого удаления.


Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}

Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted

$myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVaultID -Name AppVM1

Затем отмените операцию удаления, которая была выполнена, когда было включено обратимое удаление.

Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2

Так как обратимое удаление теперь отключено, операция удаления приведет к немедленному удалению данных резервного копирования.

Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVaultID -Force

WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
------------     ---------            ------               ---------                 -------                   -----
AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb

Использование REST API

Если элементы удалены до отключения обратимого удаления, они будут находиться в состоянии обратимого удаления. Чтобы немедленно удалить их, нужно отменить операцию удаления, а затем снова выполнить.

  1. Сначала отмените операции удаления, выполнив действия, описанные здесь.
  2. Затем отключите функцию обратимого удаления с помощью REST API, выполнив действия, описанные здесь.
  3. Далее удалите резервные копии с помощью REST API, как описано здесь.

Часто задаваемые вопросы

Нужно ли включать функцию обратимого удаления в каждом хранилище?

Нет, она встроена и включена по умолчанию для всех хранилищ Служб восстановления.

Можно ли настроить число дней, в течение которых мои данные будут храниться в обратимо удаленном состоянии после завершения операции удаления?

Нет, после операции удаления дополнительное хранение будет фиксированным в течение 14 дней.

Нужно ли платить за дополнительное 14-дневное хранение?

Нет, за 14-дневное дополнительное хранение в качестве функции обратимого удаления не взимается никакая плата.

Можно ли выполнить операцию восстановления, когда данные находятся в обратимо удаленном состоянии?

Нет, для восстановления необходимо отменить удаление ресурса с обратимым удалением. Операция отмены удаления переместит ресурс обратно в состояние "Остановить защиту с сохранением данных" , где можно выполнить восстановление в любое время. В этом состоянии сборщик мусора остается приостановленным.

Будут ли мои теневые копии подчиняться тому же жизненному циклу, что и мои точки восстановления в хранилище?

Да.

Как снова активировать запланированные резервные копирования для ресурса с обратимым удалением?

Отмена удаления с последующей операцией возобновления снова защитит этот ресурс. Операция возобновления связывает политику резервного копирования для активации запланированных резервных копирований с выбранным периодом хранения. Кроме того, сборщик мусора запускается сразу после завершения операции возобновления. Если вы хотите выполнить восстановление из точки восстановления с просроченной датой окончания срока действия, рекомендуем сделать это перед активацией операции возобновления.

Можно ли удалить хранилище, если в хранилище есть обратимо удаленные элементы?

Удалить хранилище Служб восстановления невозможно, если в нем есть элементы резервного копирования, находящиеся в состоянии обратимого удаления. Элементы, находящиеся в состоянии обратимого удаления, удаляются навсегда по истечении 14 дней с момента операции удаления. Если вы не можете ждать 14 дней, отключите обратимое удаление, отменив удаление элементов, находящихся в состоянии обратимого удаления, и удалите их снова уже окончательно. Убедившись в отсутствии защищенных элементов и обратимо удаленных элементов, можете удалить хранилище.

Можно ли удалить данные до окончания 14-дневного периода обратимого удаления после удаления?

Нет. Нельзя принудительно удалять обратимо удаленные элементы. Они автоматически удаляются через 14 дней. Это средство безопасности включено для защиты данных резервного копирования от случайных или вредоносных удалений. Необходимо подождать 14 дней, прежде чем выполнять любые другие действия с элементом. Плата за обратимо удаленные элементы не взимается. Если необходимо повторно защитить элементы, помеченные для обратимого удаления в течение 14 дней в новом хранилище, обратитесь в службу поддержки Майкрософт.

Могут ли операции обратимого удаления выполняться в PowerShell или CLI?

Операции обратимого удаления можно выполнить с помощью PowerShell. Сейчас CLI не поддерживается.

Дальнейшие действия