Recursos de segurança para ajudar a proteger backups híbridos usando o Backup do Azure

Preocupações sobre problemas de segurança, como malware, ransomware e invasão, estão aumentando. Esses problemas de segurança podem ser dispendiosos em termos de dinheiro e dados. Para se proteger contra esses ataques, o Backup do Azure agora fornece recursos de segurança para ajudar a proteger os backups híbridos. Este artigo aborda como habilitar e aproveitar esses recursos para proteger cargas de trabalho locais usando o MABS (servidor de backup do Microsoft Azure), o DPM (Data Protection Manager) e o agente MARS (serviços de recuperação) do Microsoft Azure. Esses recursos incluem:

  • Prevenção. Uma camada adicional de autenticação será adicionada sempre que uma operação crítica, como a alteração de senha, for executada. Essa validação é garantir que essas operações possam ser realizadas apenas por usuários com credenciais válidas do Azure.
  • Alertas. Uma notificação por email é enviada ao administrador da assinatura sempre que uma operação crítica, como excluir dados do backup, for executada. Este email garante que o usuário receba uma notificação rapidamente sobre tais ações.
  • Recuperação. Os dados de backup excluídos são retidos por mais 14 dias desde a data da exclusão. Isso garante a capacidade de recuperação de dados em um determinado período de tempo de maneira que não haja perda de dados mesmo se houver um ataque. Além disso, mais pontos de recuperação mínimos são mantidos para proteção contra dados corrompidos.

Observação

Habilita a MUA (autorização de vários usuários) em seu cofre de serviços de recuperação para adicionar uma camada adicional de proteção à operação crítica de desabilitar recursos de segurança. Saiba mais.

Requisitos de versão mínima

Habilite os recursos de segurança somente se você estiver usando:

  • Agente de Backup do Azure: versão mínima do agente 2.0.9052. Depois de habilitar esses recursos, atualize a versão do agente para executar operações críticas.
  • Servidor de Backup do Azure – versão mínima do agente do Backup do Azure 2.0.9052 com o servidor de Backup do Azure atualização 1.
  • System Center Data Protection Manager: versão do agente de Backup do Azure 2.0.9052 com o Data Protection Manager 2012 R2 UR12/ Data ou Data Protection Manager 2016 UR2.

Observação

Você não deverá habilitar os recursos de segurança se estiver usando o backup de VM de IaaS (infraestrutura como serviço). Atualmente, esses recursos não estão disponíveis para o backup de VM de IaaS e, portanto, habilitá-los não terá nenhum impacto.

Habilitar recursos de segurança

Se você estiver criando um cofre dos Serviços de Recuperação, poderá usar todos os recursos de segurança. Se você estiver trabalhando com um cofre existente, habilite os recursos de segurança executando estas etapas:

  1. Entre no portal do Azure usando suas credenciais do Azure.

  2. Selecione Procurar e digite Serviços de Recuperação.

    Screenshot of Azure portal Browse option

    A lista de cofres de Serviços de Recuperação aparecerá. Nesta lista, selecione um cofre. O painel de cofres selecionados será aberto.

  3. Na lista de itens que aparece sob o cofre, em Configurações, selecione Propriedades.

    Screenshot of Recovery Services vault options

  4. Em Configurações de Segurança, selecione Atualizar.

    Screenshot of Recovery Services vault properties

    O link de atualização abre o painel Configurações de Segurança, que fornece um resumo dos recursos e permite que você os habilite.

  5. Habilita os recursos de segurança e selecione Salvar.

    Screenshot of security settings

Recuperar dados de backup excluídos

Se os recursos de segurança estiverem habilitados, o backup do Azure retém dados de backup excluídos por mais de 14 dias e não os exclui imediatamente se a operação Parar backup com os dados de backup excluídos for executada. Para restaurar esses dados no período de 14 dias, execute as seguintes etapas, dependendo do que você está usando:

Para usuários do Agente de Serviços de Recuperação do Azure:

  1. Se o computador em que os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use Recuperar dados para o mesmo computador nos Serviços de Recuperação do Azure para recuperar todos os pontos de recuperação antigos.
  2. Se esse computador não estiver disponível, use Recuperar em um computador alternativo para usar outro computador dos Serviços de Recuperação do Azure para obter esses dados.

Para usuários do Servidor de Backup do Azure:

  1. Se o servidor onde os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso de Recuperar Dados para recuperar todos os pontos de recuperação antigos.
  2. Se esse computador não estiver disponível, use Recuperar dados de outro Servidor de Backup do Azure para usar outra instância do Servidor de Backup do Azure para obter esses dados.

Para usuários do Data Protection Manager:

  1. Se o servidor onde os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso de Recuperar Dados para recuperar todos os pontos de recuperação antigos.
  2. Se esse servidor não estiver disponível, use Adicionar DPM Externo para usar outro servidor do Data Protection Manager para obter esses dados.

Impedir ataques

Foram adicionadas verificações para garantir que somente os usuários válidos possam executar várias operações. Isso inclui a adição de uma camada extra de autenticação, e a manutenção de um período de retenção mínimo para fins de recuperação.

Autenticação para realizar operações críticas

Como parte da adição de uma camada extra de autenticação para operações críticas, você receberá uma solicitação para inserir o PIN de segurança ao executar operações Interromper a Proteção com Excluir dados e Alterar Frase Secreta para DPM, MABS e MARS.

Além disso, com a versão MARS 2.0.9262.0 e posteriores, as operações para remover um volume do backup de arquivo/pasta MARS, adicionar uma nova configuração de exclusão para um volume existente, reduzir a duração da retenção e passar para um agendamento de backup menos frequente também serão protegidas com um pin de segurança para segurança adicional.

Observação

Atualmente, para as seguintes versões do DPM e do MABS, existe suporte a PIN de segurança para Interromper a Proteção com Excluir dados no armazenamento online:

  • DPM 2016 UR9 ou posterior
  • DPM 2019 UR1 ou posterior
  • MABS v3 UR1 ou posterior

Para receber esse PIN:

  1. Entre no portal do Azure.
  2. Navegue até Cofre dos Serviços de Recuperação>Configurações>Propriedades.
  3. Em PIN de Segurança, selecione em Gerar. Isso abre um painel que contém o PIN a ser inserido na interface do usuário agente dos Serviços de Recuperação do Azure. Esse PIN é válido somente por cinco minutos e é gerado automaticamente após esse período.

Manter um intervalo de retenção mínimo

Para garantir que sempre haja um número válido de pontos de recuperação disponíveis, as verificações a seguir foram adicionadas:

  • Para a retenção diária, é necessário no mínimo sete dias de retenção.
  • Para a retenção semanal, é necessário no mínimo quatro semanas de retenção.
  • Para a retenção mensal, é necessário no mínimo três meses de retenção.
  • Para a retenção anual, é necessário no mínimo um ano de retenção.

Notificações para operações críticas

Normalmente, quando uma operação crítica for executada, o administrador de assinatura receberá uma notificação por email com detalhes sobre a operação. Você pode configurar outros destinatários de email para essas notificações usando o portal do Azure.

Os recursos de Segurança mencionados neste artigo fornecem mecanismos de defesa contra ataques direcionados. Mais importante, se ocorrer um ataque, esses recursos oferecerão a capacidade de recuperar seus dados.

Solucionar problemas de erros

Operação Detalhes do erro Resolução
Alteração da política Não foi possível modificar a política de backup. Erro: A operação atual falhou devido a um erro de serviço interno [0x29834]. Repita a operação após algum tempo. Se o problema persistir, contate o suporte da Microsoft. Causa:
Esse erro aparece quando as configurações de segurança estão habilitadas. Tente reduzir o período de retenção para abaixo dos valores mínimos especificados acima e verifique se você está usando uma versão sem suporte (as versões com suporte são especificadas na primeira observação deste artigo).
Ação recomendada:
Nesse caso, você deve definir o período de retenção acima do período de retenção mínimo especificado (sete dias para diário, quatro semanas para semanal, três semanas para mensal ou um ano para anual) para continuar com as atualizações relacionadas à política. Opcionalmente, a abordagem preferencial será atualizar o agente de backup, o Servidor de Backup do Azure e/ou o UR do DPM para utilizar todas as atualizações de segurança.
Alterar frase secreta O PIN de Segurança inserido está incorreto. (ID: 100130) Forneça o PIN de Segurança correto para concluir esta operação. Causa:
Esse erro ocorre quando você insere um PIN de Segurança inválido ou expirado ao executar uma operação crítica (como alteração da frase secreta).
Ação recomendada:
Para concluir a operação, você deve inserir um PIN de Segurança válido. Para obter o PIN, entre no portal do Azure e navegue para o cofre dos Serviços de Recuperação > Configurações > Propriedades > Gerar PIN de Segurança. Use esse PIN para alterar a frase secreta.
Alterar frase secreta Falha na operação. ID: 120002 Causa:
Esse erro aparece quando as configurações de segurança estão habilitadas. Tente alterar a frase secreta e verifique se você está usando uma versão sem suporte (as versões válidas são especificadas na primeira observação deste artigo).
Ação recomendada:
Para alterar a frase secreta, primeiro você deve atualizar o agente de backup para a versão mínima 2.0.9052, o Servidor de Backup do Azure para a atualização mínima 1 e/ou o DPM para, no mínimo, DPM 2012 R2 UR12 ou DPM 2016 UR2 (links de download abaixo) e, depois, inserir um PIN de Segurança válido. Para obter o PIN, entre no portal do Azure e navegue para o cofre dos Serviços de Recuperação > Configurações > Propriedades > Gerar PIN de Segurança. Use esse PIN para alterar a frase secreta.

Suporte à imutabilidade

Quando a imutabilidade do cofre dos Serviços de Recuperação está habilitada, as operações que reduzem a retenção de backup na nuvem ou removem o backup de nuvem de fontes de dados locais são bloqueadas.

Suporte de Imutabilidade para DPM e MABS

Esse recurso é compatível com o agente MARS versão 2.0.9250.0 e superiores a partir do DPM 2022 UR1 e MABS v4.

A seguinte tabela lista as operações não permitidas no DPM conectado a uma recuperação imutável:

Operação no cofre imutável Resultado com o DPM 2022 UR1, MABS v4 e o agente MARS mais recente.

Com o DPM 2022 UR2 ou o MABS v4 UR1, você poderá selecionar a opção de manter pontos de recuperação online por política ao interromper a proteção ou remover uma fonte de dados de um grupo de proteção do console.
Resultado com o DPM/MABS mais antigo e/ou o agente MARS
Remover a fonte de dados do grupo de proteção configurado para backup online 81001: os itens de backup não podem ser excluídos, pois há pontos de recuperação ativos e o cofre selecionado é imutável. 130001: o Backup do Microsoft Azure encontrou um erro interno.
Interrompa a proteção com exclusão de dados 81001: os itens de backup não podem ser excluídos, pois há pontos de recuperação ativos e o cofre selecionado é imutável.

Com o DPM 2022 UR2 ou o MABS v4 UR1, você poderá selecionar a opção de manter pontos de recuperação online por política ao interromper a proteção ou remover uma fonte de dados de um grupo de proteção do console.
130001: o Backup do Microsoft Azure encontrou um erro interno.
Reduzir o período de retenção online 810002: a redução na retenção durante a modificação de política/proteção não é permitida, pois o cofre selecionado é imutável. 130001: o Backup do Microsoft Azure encontrou um erro interno.
Comando Remove-DPMChildDatasource 81001: os itens de backup não podem ser excluídos, pois há pontos de recuperação ativos e o cofre selecionado é imutável.

Use a nova opção -EnableOnlineRPsPruning com -KeepOnlineData para reter dados somente até a duração da política.

Com o DPM 2022 UR2 ou o MABS v4 UR1, você poderá selecionar a opção de manter pontos de recuperação online por política ao interromper a proteção ou remover uma fonte de dados de um grupo de proteção do console.
130001: o Backup do Microsoft Azure encontrou um erro interno.

Use o sinalizador -KeepOnlineData para reter dados.

Suporte à imutabilidade para o MARS

A tabela a seguir lista as operações não permitidas para o MARS quando a imutabilidade está habilitada no cofre dos Serviços de Recuperação. Outras operações, como aumentar a retenção e excluir um arquivo ou uma pasta do backup, são permitidas.

Operação não permitida Resultado com o agente MARS mais recente Resultado com o agente MARS mais antigo
Interromper a proteção com a exclusão de dados do estado do sistema Erro 810001

O usuário está tentando excluir o item de backup ou interromper a proteção com a exclusão de dados em que o item de backup tem um ponto de recuperação válido (não expirado).
Erro 130001

O Backup do Microsoft Azure encontrou um erro interno.
Interrompa a proteção com exclusão de dados Erro 810001

O usuário está tentando excluir o item de backup ou interromper a proteção com a exclusão de dados em que o item de backup tem um ponto de recuperação válido (não expirado).
Erro 130001

O Backup do Microsoft Azure encontrou um erro interno.

O MARS 2.0.9262.0 e posteriores fornecem a opção de interromper a proteção e reter pontos de recuperação de acordo com a política no console.
Reduzir o período de retenção online O usuário está tentando modificar a política ou a proteção com a redução de retenção. 130001

O Backup do Microsoft Azure encontrou um erro interno.
Remove-OBPolicy com o sinalizador -DeleteBackup 810001

O usuário está tentando excluir o item de backup ou interromper a proteção com a exclusão de dados em que o item de backup tem um ponto de recuperação válido (não expirado).

Use o sinalizador –EnablePruning para reter backups até o período de retenção.
130001

O Backup do Microsoft Azure encontrou um erro interno.

Não use o sinalizador -DeleteBackup.

O MARS 2.0.9262.0 e posteriores fornecem a opção de interromper a proteção e reter pontos de recuperação de acordo com a política no console.

Próximas etapas