Přehled funkcí zabezpečení ve službě Azure Backup
Jedním zch Je ale stejně důležité zajistit, aby se vaše data zálohovala zabezpečeným způsobem a aby vaše zálohy byly chráněny vždy. Azure Backup poskytuje zabezpečení vašeho zálohovacího prostředí – při přenosech dat i v případě neaktivních uložených dat. Tento článek obsahuje seznam možností zabezpečení ve službě Azure Backup, které pomáhají chránit zálohovaná data a splňovat požadavky vaší firmy na zabezpečení.
Správa a řízení identit a přístupu uživatelů
Účty úložiště používané trezory služby Recovery Services jsou izolované a uživatelé k žádným škodlivým účelům nemají přístup. Přístup je povolený jenom prostřednictvím operací správy služby Azure Backup, jako je obnovení. Azure Backup umožňuje řídit spravované operace prostřednictvím jemně odstupňovaného přístupu pomocí řízení přístupu na základě role v Azure (Azure RBAC). Azure RBAC umožňuje oddělit povinnosti v rámci vašeho týmu a udělit uživatelům jenom přístup potřebný k práci.
Azure Backup poskytuje tři předdefinované role pro řízení operací správy zálohování:
- Přispěvatel zálohování: Vytvoření a správa záloh s výjimkou odstranění trezoru služby Recovery Services a udělení přístupu ostatním
- Operátor zálohování: Všechno, co přispěvatel dělá kromě odebrání zásad zálohování a správy zálohování
- Čtenář zálohování: Oprávnění k zobrazení všech operací správy zálohování
Přečtěte si další informace o řízení přístupu na základě role v Azure pro správu služby Azure Backup.
Azure Backup má do služby integrované několik bezpečnostních prvků, které brání ohrožení zabezpečení, detekují je a reagují na ně. Přečtěte si další informace o bezpečnostních prvcích pro Azure Backup.
Izolace dat pomocí služby Azure Backup
Se službou Azure Backup se data trezoru záloh ukládají v předplatném a tenantovi Azure spravovaném Microsoftem. Externí uživatelé nebo hosté nemají přímý přístup k tomuto úložišti zálohování nebo jeho obsahu a zajišťují izolaci zálohovaných dat z produkčního prostředí, ve kterém se nachází zdroj dat.
V Azure se veškerá komunikace a přenášená data bezpečně přenášejí pomocí protokolů HTTPS a TLS 1.2+ . Tato data zůstávají v páteřní síti Azure, která zajišťuje spolehlivý a efektivní přenos dat. Neaktivní uložená data záloh se ve výchozím nastavení šifrují pomocí klíčů spravovaných Microsoftem. Pokud potřebujete větší kontrolu nad daty, můžete také použít vlastní klíče pro šifrování. K vylepšení ochrany můžete použít neměnnost, která brání změnám nebo odstranění dat před jejich dobou uchovávání. Azure Backup nabízí různé možnosti, jako je obnovitelné odstranění, zastavení zálohování a odstranění dat nebo uchovávání dat, pokud potřebujete kdykoli zastavit zálohování. K ochraně důležitých operací můžete přidat víceuživatelovou autorizaci (MUA), která přidá další vrstvu ochrany pomocí prostředku Azure s názvem Azure Resource Guard.
Tento robustní přístup zajišťuje, že i v napadeném prostředí se stávající zálohy nedají manipulovat nebo je odstranit neoprávněnými uživateli.
Pro zálohování virtuálních počítačů Azure se nevyžaduje připojení k internetu
Zálohování virtuálních počítačů Azure vyžaduje přesun dat z disku virtuálního počítače do trezoru služby Recovery Services. Veškerá požadovaná komunikace a přenos dat se ale děje pouze v páteřní síti Azure, aniž by bylo nutné přistupovat k vaší virtuální síti. Proto zálohování virtuálních počítačů Azure umístěných v zabezpečených sítích nevyžaduje povolení přístupu k žádným IP adresám nebo plně kvalifikovaným názvům domén.
Privátní koncové body pro Azure Backup
Pomocí privátních koncových bodů teď můžete bezpečně zálohovat data ze serverů uvnitř virtuální sítě do trezoru služby Recovery Services. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro váš trezor, takže virtuální sítě nemusíte zveřejňovat pro žádné veřejné IP adresy. Privátní koncové body je možné použít k zálohování a obnovení databází SQL a SAP HANA, které běží na virtuálních počítačích Azure. Můžete ho také použít pro místní servery pomocí agenta MARS.
Další informace o privátních koncových bodech pro Službu Azure Backup najdete tady.
Šifrování dat
Šifrování chrání vaše data a pomáhá splnit závazky organizace týkající se zabezpečení a dodržování předpisů. Šifrování dat probíhá v mnoha fázích ve službě Azure Backup:
V Rámci Azure jsou přenášená data mezi úložištěm Azure a trezorem chráněná protokolem HTTPS. Tato data zůstávají v páteřní síti Azure.
Zálohovaná data se automaticky šifrují pomocí klíčů spravovaných platformou a k jejich povolení nemusíte provádět žádnou explicitní akci. Zálohovaná data můžete také zašifrovat pomocí klíčů spravovaných zákazníkem uložených ve službě Azure Key Vault. Platí pro všechny úlohy zálohované do trezoru služby Recovery Services.
Azure Backup podporuje zálohování a obnovení virtuálních počítačů Azure, které mají šifrované disky s operačním systémem a daty pomocí služby Azure Disk Encryption (ADE) a virtuálních počítačů s šifrovanými disky CMK. Další informace o šifrovaných virtuálních počítačích Azure a službě Azure Backup.
Když se data zálohují z místních serverů pomocí agenta MARS, data se před nahráním do služby Azure Backup zašifrují heslem a dešifrují se až po stažení ze služby Azure Backup. Přečtěte si další informace o funkcích zabezpečení, které pomáhají chránit hybridní zálohy.
Obnovitelné odstranění
Azure Backup poskytuje funkce zabezpečení, které pomáhají chránit zálohovaná data i po odstranění. Při obnovitelném odstranění se při odstranění zálohy virtuálního počítače zachovají zálohovaná data po dobu 14 dnů, což umožňuje obnovení této zálohované položky bez ztráty dat. Další 14denní uchovávání zálohovaných dat ve stavu obnovitelného odstranění neúčtují žádné náklady. Další informace o obnovitelném odstranění
Služba Azure Backup teď také vylepšila obnovitelné odstranění, aby se zlepšila šance na obnovení dat po odstranění. Další informace.
Neměnné trezory
Neměnný trezor vám může pomoct chránit zálohovaná data tím, že blokuje všechny operace, které by mohly vést ke ztrátě bodů obnovení. Kromě toho můžete nastavení neměnného trezoru uzamknout, aby bylo nevratné, aby zabránilo všem škodlivým objektům v zakázání neměnnosti a odstranění záloh. Přečtěte si další informace o neměnných trezorech.
Autorizace více uživatelů
Víceuživatelová autorizace (MUA) pro Azure Backup umožňuje přidat další vrstvu ochrany do důležitých operací v trezorech služby Recovery Services a trezorech služby Backup. V případě MUA azure Backup používá jiný prostředek Azure, který se nazývá Resource Guard, aby se zajistilo, že se kritické operace provádějí jenom s příslušnou autorizací. Přečtěte si další informace o autorizaci více uživatelů pro Azure Backup.
Vylepšené obnovitelné odstranění
Vylepšené obnovitelné odstranění poskytuje možnost obnovit data i po jejich odstranění, omylem nebo zlými úmysly. Funguje tak, že zpozdí trvalé odstranění dat o zadanou dobu trvání a poskytne vám příležitost je načíst. Můžete také nastavit obnovitelné odstranění tak , aby se zabránilo jeho zakázání. Přečtěte si další informace o vylepšeném obnovitelném odstranění pro zálohování.
Monitorování a výstrahy podezřelých aktivit
Azure Backup poskytuje integrované možnosti monitorování a upozorňování pro zobrazení a konfiguraci akcí pro události související se službou Azure Backup. Sestavy zálohování slouží jako cíl pro sledování využití, auditování záloh a obnovení a identifikaci klíčových trendů na různých úrovních členitosti. Pomocí nástrojů pro monitorování a vytváření sestav služby Azure Backup můžete okamžitě po jejich výskytu upozornit na jakoukoli neoprávněnou, podezřelou nebo škodlivou aktivitu.
Funkce zabezpečení, které vám pomůžou chránit hybridní zálohy
Služba Azure Backup používá agenta Mars (Microsoft Azure Recovery Services) k zálohování a obnovení souborů, složek a stavu svazku nebo systému z místního počítače do Azure. Mars teď poskytuje funkce zabezpečení, které pomáhají chránit hybridní zálohy. Patří k nim:
Při každé důležité operaci, jako je změna přístupového hesla, se přidá další vrstva ověřování. Toto ověření zajišťuje, aby tyto operace mohly provádět jenom uživatelé, kteří mají platné přihlašovací údaje Azure. Přečtěte si další informace o funkcích, které brání útokům.
Odstraněná zálohovaná data se uchovávají po dobu dalších 14 dnů od data odstranění. Tím se zajistí obnovitelnost dat v daném časovém období, takže nedojde ke ztrátě dat ani v případě, že dojde k útoku. Navíc se udržuje větší počet minimálních bodů obnovení, které chrání před poškozenými daty. Přečtěte si další informace o obnovení odstraněných zálohovach dat.
Pro data zálohovaná pomocí agenta MARS (Microsoft Azure Recovery Services) se používá přístupové heslo k zajištění šifrování dat před nahráním do služby Azure Backup a dešifrování až po stažení ze služby Azure Backup. Podrobnosti přístupového hesla jsou k dispozici pouze pro uživatele, který vytvořil heslo a agenta, který je s ním nakonfigurovaný. Nic se nepřenáší ani nesdílí se službou. Tím zajistíte úplné zabezpečení vašich dat, protože všechna data, která jsou neúmyslně vystavená (například útok man-in-the-middle na síť), je nepoužitelná bez přístupového hesla a heslo se neposílají přes síť.
Stav zabezpečení a úrovně zabezpečení
Azure Backup poskytuje funkce zabezpečení na úrovni trezoru, které chrání zálohovaná data uložená v úložišti. Tato bezpečnostní opatření zahrnují nastavení přidružená k řešení Azure Backup pro trezory a chráněné zdroje dat obsažené v trezorech.
Úrovně zabezpečení pro trezory Služby Azure Backup jsou rozdělené do kategorií následujícím způsobem:
Vynikající (Maximum):: Tato úroveň představuje nejvyšší zabezpečení, které zajišťuje komplexní ochranu. Toho dosáhnete, když jsou všechna zálohovaná data chráněná před náhodným odstraněním a chrání se před útoky ransomwarem. Aby bylo možné dosáhnout vysoké úrovně zabezpečení, musí být splněny následující podmínky:
- Nastavení neměnnosti nebo obnovitelného odstranění trezoru musí být povolené a nevratné (uzamčeno/ always-on).
- V trezoru musí být povolená autorizace více uživatelů (MUA ).
Dobré (adekvátní):: To značí robustní úroveň zabezpečení, která zajišťuje spolehlivou ochranu dat. Chrání stávající zálohy před nezamýšleným odebráním a vylepšuje potenciál pro obnovení dat. Pokud chcete dosáhnout této úrovně zabezpečení, musíte povolit neměnnost zámku nebo obnovitelného odstranění.
Fair (Minimum/Průměr):: Představuje základní úroveň zabezpečení, která je vhodná pro standardní požadavky na ochranu. Základní operace zálohování využívají další vrstvu ochrany. Pokud chcete dosáhnout minimálního zabezpečení, musíte v trezoru povolit autorizaci více uživatelů (MUA).
Špatné (Špatné/Žádné):: To značí nedostatek bezpečnostních opatření, která jsou méně vhodná pro ochranu dat. Na této úrovni nejsou zavedeny pokročilé ochranné funkce ani výhradně reverzibilní schopnosti. Zabezpečení na úrovni Žádné poskytuje ochranu především před náhodnými odstraněními.
Úrovně zabezpečení ve všech zdrojích dat v příslušných trezorech můžete zobrazit a spravovat prostřednictvím Centra provozní kontinuity Azure.
Dodržování standardizovaných požadavků na zabezpečení
Microsoft Azure a Azure Backup nabízejí komplexní sadu certifikací a osvědčení, které pomáhají organizacím dodržovat národní/regionální a oborové požadavky, které řídí shromažďování a používání dat jednotlivců. Podívejte se na seznam certifikací dodržování předpisů.