Características de seguridad para proteger copias de seguridad híbridas mediante Azure Backup

Cada vez es mayor la preocupación que generan problemas de seguridad como malware, ransomware e intrusión. Estos problemas de seguridad pueden ser costosos, en términos de dinero y datos. Para protegerse contra dichos ataques, Azure Backup proporciona características de seguridad que protegen las copias de seguridad híbridas. En este artículo, se explica cómo habilitar estas características y aprovecharlas para proteger cargas de trabajo locales mediante Microsoft Azure Backup Server (MABS), Data Protection Manager (DPM) y el agente de Microsoft Azure Recovery Services (MARS). Estas características son:

  • Prevención. Se agrega una capa adicional de autenticación cada vez que se realiza una operación crítica, como cambiar la frase de contraseña. Esta validación se realiza para asegurarse de que dichas operaciones solo pueden realizarlas usuarios que tengan credenciales de Azure válidas.
  • Alertas. Se envía una notificación por correo electrónico al administrador de suscripciones cada vez que se realiza una operación crítica, como eliminar datos de copia de seguridad. Este correo electrónico garantiza que el usuario reciba una notificación rápidamente acerca de dichas acciones.
  • Recuperación. Los datos de copia de seguridad eliminados se conservan durante 14 días a partir de la fecha de la eliminación. Esto garantiza la capacidad de recuperación de los datos en un período dado, con el fin de que no haya pérdida de datos aunque se produzca un ataque. Además, se mantiene un mayor número de puntos de recuperación mínimos para protegerse contra datos dañados.

Nota:

Habilite la autorización de varios usuarios (MUA) en el almacén de Recovery Services para agregar una capa adicional de protección a la operación crítica de deshabilitar las características de seguridad. Más información.

Requisitos mínimos de versión

Habilite las características de seguridad solo si usa:

  • Agente de Azure Backup: la versión mínima del agente es la 2.0.9052. Después de habilitar estas características, actualice la versión del agente para realizar operaciones críticas.
  • Azure Backup Server: la versión mínima del agente de Azure Backup es la 2.0.9052 con la actualización 1 de Azure Backup Server.
  • System Center Data Protection Manager: la versión mínima del agente de Azure Backup es la 2.0.9052 con Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.

Nota:

Asegúrese de no habilitar las características de seguridad si usa la copia de seguridad de máquinas virtuales de Infraestructura como servicio (IaaS). Actualmente, estas características no están disponibles para la copia de seguridad de máquinas virtuales de IaaS y, por tanto, habilitarlas no tendrá efecto.

Habilitar características de seguridad

Si va a crear un almacén de Recovery Services, puede usar todas las características de seguridad. Si trabaja con un almacén existente, habilite las características de seguridad siguiendo estos pasos:

  1. Inicie sesión en Azure Portal con las credenciales de Azure.

  2. Seleccione Examinar y escriba Recovery Services.

    Screenshot of Azure portal Browse option

    Aparece la lista de almacenes de Recovery Services. Seleccione un almacén en ella. Se abre el panel del almacén seleccionado.

  3. En la lista de elementos que aparece en el almacén, en Configuración, seleccione Propiedades.

    Screenshot of Recovery Services vault options

  4. En Configuración de seguridad, seleccione Actualizar.

    Screenshot of Recovery Services vault properties

    El vínculo de actualización abre el panel Configuración de seguridad, que proporciona un resumen de las características y le permite habilitarlas.

  5. Habilite las características de seguridad y seleccione Guardar.

    Screenshot of security settings

Recuperar datos de copia de seguridad eliminados

Si la configuración de características de seguridad está habilitada, Azure Backup conserva los datos de copia de seguridad eliminados durante 14 días adicionales y no los elimina inmediatamente si se realiza la operación de Detener copia de seguridad con la eliminación de datos de copia de seguridad. Para restaurar estos datos dentro del período de 14 días, siga los pasos que se muestran a continuación, según el entorno que tenga:

En el caso de los usuarios del agente de Azure Recovery Services:

  1. Si el equipo en el que se realizaron las copias de seguridad aún está disponible, vuelva a proteger los orígenes de datos eliminados y use Recuperar los datos en la misma máquina en Azure Recovery Services para realizar la recuperación desde todos los puntos de recuperación antiguos.
  2. Si este equipo no está disponible, utilice Recuperar en una máquina alternativa para usar otro equipo de Azure Recovery Services para obtener estos datos.

Para los usuarios de Azure Backup Server:

  1. Si el servidor en el que se realizaron las copias de seguridad está aún disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para realizar la recuperación desde todos los puntos de recuperación antiguos.
  2. Si este servidor no está disponible, utilice Recuperación de datos de otra instancia de Azure Backup Server para usar otra instancia de Azure Backup Server para obtener estos datos.

En el caso de los usuarios de Data Protection Manager:

  1. Si el servidor en el que se realizaron las copias de seguridad está aún disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para realizar la recuperación desde todos los puntos de recuperación antiguos.
  2. Si este servidor no está disponible, utilice Agregar DPM externo para usar otro servidor de Administrador de protección de datos para obtener estos datos.

Prevenir ataques

Se han agregado comprobaciones para asegurarse de que los usuarios válidos son los únicos que pueden realizar varias operaciones. Entre estas se incluyen la adición de una capa de autenticación adicional y el mantenimiento de una duración de retención mínima con fines de recuperación.

Autenticación para realizar operaciones críticas

Como parte de la adición de una capa de autenticación adicional para las operaciones críticas, se le solicita que escriba un PIN de seguridad al realizar las operaciones Detener la protección con eliminación de datos y Cambio de la frase de contraseña para DPM, MABS y MARS.

Además, con la versión de MARS 2.0.9262.0 y posteriores, las operaciones para quitar un volumen de la copia de seguridad de archivos y carpetas de MARS, agregar una nueva configuración de exclusión para un volumen existente, reducir la duración de retención y pasar a una programación de copia de seguridad menos frecuente también están protegidas con un pin de seguridad para mayor protección.

Nota:

Actualmente, en el caso de las siguientes versiones de DPM y MABS, se admite el PIN de seguridad para Detener la protección con eliminación de datos en el almacenamiento en línea:

  • DPM 2016 UR9 o versiones posteriores
  • DPM 2019 UR1 o versiones posteriores
  • MABS v3 UR1 o versiones posteriores

Para recibir este PIN:

  1. Inicie sesión en Azure Portal.
  2. Vaya al almacén de Recovery Services>Configuración>Propiedades.
  3. En PIN de seguridad, seleccione Generar. Se abrirá un panel que contiene el PIN que se va a escribir en la interfaz de usuario del agente de Azure Recovery Services. Este PIN solo es válido durante cinco minutos y se genera automáticamente después de ese período.

Mantener una duración de retención mínima

Para asegurarse de que siempre hay un número válido de puntos de recuperación disponibles, se han agregado las siguientes comprobaciones:

  • Para la retención diaria, se deben realizar un mínimo de siete días de retención.
  • Para la retención semanal, se deben realizar un mínimo de cuatro semanas de retención.
  • Para la retención mensual, se deben realizar un mínimo de tres meses de retención.
  • Para la retención anual, se debe realizar un mínimo de un año de retención.

Notificaciones de operaciones críticas

Normalmente, al realizarse una operación crítica, se envía una notificación por correo electrónico al administrador de suscripciones con detalles sobre la operación. Puede configurar destinatarios de correo electrónico adicionales para estas notificaciones con Azure Portal.

Las características de seguridad que se mencionan en este artículo proporcionan mecanismos de defensa contra ataques dirigidos. Lo que es más importante, en caso de producirse un ataque, es que estas características permiten recuperar los datos.

Solución de errores

Operación Detalles del error Solución
Cambio de directiva No se ha podido modificar la directiva de copia de seguridad. Error: no se pudo realizar la operación actual debido a un error de servicio interno [0x29834]. Vuelva a intentar la operación más tarde. Si el problema persiste, póngase en contacto con el servicio de soporte técnico de Microsoft. Causa:
Este error aparece cuando está habilitada la configuración de seguridad, se intenta reducir la duración de retención por debajo de los valores mínimos especificados anteriormente y se utiliza una versión no admitida (las versiones admitidas se especifican en la primera nota de este artículo).
Acción recomendada:
En este caso, debe establecer el período de retención por encima del período de retención mínimo especificado (siete días para un valor diario, cuatro semanas para uno semanal, tres semanas para mensual o un año para la copia anual) para continuar con las actualizaciones relacionadas con la directiva. Si lo desea, el enfoque preferido sería actualizar el agente de copia de seguridad y Azure Backup Server o DPM UR para aprovechar todas las actualizaciones de seguridad.
Cambiar la frase de contraseña El PIN de seguridad escrito no es correcto. (ID: 100130) Proporcione el PIN de seguridad correcto para completar esta operación. Causa:
Este error se genera cuando se escribe un PIN de seguridad no válido o caducado mientras se realiza una operación crítica (por ejemplo, cambiar la frase de contraseña).
Acción recomendada:
Para completar la operación, debe escribir un PIN de seguridad válido. Para obtener el PIN, inicie sesión en Azure Portal y desplácese hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad. Use este código PIN para cambiar la frase de contraseña.
Cambiar la frase de contraseña No se pudo realizar la operación. ID: 120002 Causa:
Este error aparece cuando está habilitada la configuración de seguridad, se intenta cambiar la frase de contraseña y se utiliza una versión no compatible (las versiones válidas se especifican en la primera nota de esta artículo).
Acción recomendada:
Para cambiar la frase de contraseña, primero debe actualizar el agente de copia de seguridad a la versión mínima 2.0.9052, Azure Backup Server a la actualización mínima 1, o DPM a la actualización mínima DMP 2012 R2 UR12 o a DPM 2016 UR2 (los enlaces de descarga están disponibles más abajo). A continuación, escriba un PIN de seguridad válido. Para obtener el PIN, inicie sesión en Azure Portal y desplácese hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad. Use este código PIN para cambiar la frase de contraseña.

Compatibilidad con la inmutabilidad

Cuando la inmutabilidad del almacén de Recovery Services está habilitada, se bloquean las operaciones que reducen la retención de la copia de seguridad en la nube o que eliminan la copia de seguridad en la nube para los orígenes de datos locales.

Compatibilidad con la inmutabilidad en DPM y MABS

Esta característica es compatible con la versión 2.0.9250.0 del agente de MARS y versiones posteriores de DPM 2022 UR1 y MABS v4.

En la tabla siguiente se enumeran las operaciones no permitidas en DPM conectado a una recuperación inmutable:

Operación en un almacén inmutable Resultado con DPM 2022 UR1, MABS v4 y el agente de MARS más reciente.

Con DPM 2022 UR2 o MABS v4 UR1, puede seleccionar la opción para conservar los puntos de recuperación en línea mediante directiva al detener la protección o quitar un origen de datos de un grupo de protección de la consola.
Resultado con DPM/MABS o un agente MARS más antiguos
Eliminación del origen de datos del grupo de protección configurado para la copia de seguridad en línea 81001: No se pueden eliminar los elementos de copia de seguridad porque tienen puntos de recuperación activos y el almacén seleccionado es inmutable. 130001: Microsoft Azure Backup encontró un error interno.
Detener la protección con eliminación de datos 81001: No se pueden eliminar los elementos de copia de seguridad porque tienen puntos de recuperación activos y el almacén seleccionado es inmutable.

Con DPM 2022 UR2 o MABS v4 UR1, puede seleccionar la opción para conservar los puntos de recuperación en línea mediante directiva al detener la protección o quitar un origen de datos de un grupo de protección de la consola.
130001: Microsoft Azure Backup encontró un error interno.
Reducción del período de retención en línea 810002: No se permite la reducción de la retención durante la modificación de la directiva o protección, ya que el almacén seleccionado es inmutable. 130001: Microsoft Azure Backup encontró un error interno.
Comando Remove-DPMChildDatasource 81001: No se pueden eliminar los elementos de copia de seguridad porque tienen puntos de recuperación activos y el almacén seleccionado es inmutable.

Use la nueva opción -EnableOnlineRPsPruning con -KeepOnlineData para conservar los datos solo mientras dure la directiva.

Con DPM 2022 UR2 o MABS v4 UR1, puede seleccionar la opción para conservar los puntos de recuperación en línea mediante directiva al detener la protección o quitar un origen de datos de un grupo de protección de la consola.
130001: Microsoft Azure Backup encontró un error interno.

Use la marca -KeepOnlineData para conservar los datos.

Compatibilidad con la inmutabilidad en MARS

En la tabla siguiente se enumeran las operaciones no permitidas para MARS cuando la inmutabilidad está habilitada en el almacén de Recovery Services. Se permiten otras operaciones, como aumentar la retención y excluir un archivo o carpeta de la copia de seguridad.

Operación no permitida Resultado con el agente de MARS más reciente Resultado con el agente de MARS antiguo
Detener la protección con la eliminación de datos sobre el estado del sistema Error 810001

El usuario intenta eliminar el elemento de copia de seguridad o detener la protección con la eliminación de datos donde el elemento de copia de seguridad tiene un punto de recuperación válido (no expirado).
Error 130001

Microsoft Azure Backup encontró un error interno.
Detener la protección con eliminación de datos Error 810001

El usuario intenta eliminar el elemento de copia de seguridad o detener la protección con la eliminación de datos donde el elemento de copia de seguridad tiene un punto de recuperación válido (no expirado).
Error 130001

Microsoft Azure Backup encontró un error interno.

MARS 2.0.9262.0 y versiones posteriores proporcionan la opción de detener la protección y conservar los puntos de recuperación según la directiva de la consola.
Reducción del período de retención en línea El usuario intenta modificar la directiva o la protección con la reducción de la retención. 130001

Microsoft Azure Backup encontró un error interno.
Remove-OBPolicy con la marca -DeleteBackup 810001

El usuario intenta eliminar el elemento de copia de seguridad o detener la protección con la eliminación de datos donde el elemento de copia de seguridad tiene un punto de recuperación válido (no expirado).

Use la marca –EnablePruning para conservar las copias de seguridad durante su período de retención.
130001

Microsoft Azure Backup encontró un error interno.

No use la marca -DeleteBackup.

MARS 2.0.9262.0 y versiones posteriores proporcionan la opción de detener la protección y conservar los puntos de recuperación según la directiva de la consola.

Pasos siguientes