Azure Backup kullanan karma yedeklemeleri korumaya yardımcı olan güvenlik özellikleri

Kötü amaçlı yazılım, fidye yazılımı ve yetkisiz erişim gibi güvenlik sorunlarına karşı duyulan endişe gittikçe artıyor. Bu güvenlik sorunları, hem parasal anlamda hem de veriler açısından maliyetli olabilir. Azure Backup, bu tür saldırılara karşı koruma sağlamak için artık karma yedeklemelerin korunmasına yardımcı olacak güvenlik özellikleri sunuyor. Bu makalede, Microsoft Azure Backup Sunucusu (MABS), Data Protection Manager (DPM) ve Microsoft Azure Kurtarma Hizmetleri (MARS) aracısını kullanarak şirket içi iş yüklerini korumak için bu özelliklerin nasıl etkinleştirileceği ve kullanıldığı açıklanır. Bu özellikler şunları içerir:

  • Önleme. Parola değiştirme gibi kritik bir işlem gerçekleştirildiğinde ek bir kimlik doğrulama katmanı eklenir. Bu doğrulama, bu tür işlemlerin yalnızca geçerli Azure kimlik bilgilerine sahip kullanıcılar tarafından gerçekleştirilebilmesini sağlamaktır.
  • Uyarı. Yedekleme verilerini silme gibi kritik bir işlem gerçekleştirildiğinde abonelik yöneticisine bir e-posta bildirimi gönderilir. Bu e-posta, kullanıcıya bu tür eylemler hakkında hızlı bir şekilde bildirim verilmesini sağlar.
  • Kurtarma. Silinen yedekleme verileri, silme tarihinden itibaren 14 gün daha saklanır. Bu, belirli bir süre içinde verilerin kurtarılabilmesini sağlar, bu nedenle bir saldırı olsa bile veri kaybı olmaz. Ayrıca, bozuk verilere karşı korunmak için daha fazla sayıda minimum kurtarma noktası korunur.

Dekont

Güvenlik özelliklerini devre dışı bırakmanın kritik işlemine ek bir koruma katmanı eklemek için kurtarma hizmetleri kasanızda Çok kullanıcılı yetkilendirmeyi (MUA) etkinleştirin. Daha fazla bilgi edinin.

Minimum sürüm gereksinimleri

Güvenlik özelliklerini yalnızca şu özellikleri kullanıyorsanız etkinleştirin:

  • Azure Backup aracısı: En düşük aracı sürümü 2.0.9052. Bu özellikleri etkinleştirdikten sonra, kritik işlemleri gerçekleştirmek için aracı sürümünü yükseltin.
  • Azure Backup Sunucusu: Azure Backup Sunucusu güncelleştirme 1 ile en düşük Azure Backup aracısı sürüm 2.0.9052.
  • System Center Data Protection Manager: Data Protection Manager 2012 R2 UR12 Data Protection Manager 2016 UR2/ ile en düşük Azure Backup aracısı sürümü 2.0.9052.

Dekont

Hizmet olarak altyapı (IaaS) VM yedeklemesi kullanıyorsanız güvenlik özelliklerini etkinleştirmediğinizden emin olun. Şu anda bu özellikler IaaS VM yedeklemesi için kullanılamadığından etkinleştirmenin bir etkisi olmayacaktır.

Güvenlik özelliklerini etkinleştirme

Kurtarma Hizmetleri kasası oluşturuyorsanız tüm güvenlik özelliklerini kullanabilirsiniz. Mevcut bir kasayla çalışıyorsanız şu adımları izleyerek güvenlik özelliklerini etkinleştirin:

  1. Azure kimlik bilgilerinizi kullanarak Azure portalında oturum açın.

  2. Gözat'ı seçin ve Kurtarma Hizmetleri yazın.

    Screenshot of Azure portal Browse option

    Kurtarma Hizmetleri kasalarının listesi görünür. Bu listeden bir kasa seçin. Seçilen kasa panosu açılır.

  3. Kasanın altında görünen öğeler listesinden Ayarlar altında Özellikler'i seçin.

    Screenshot of Recovery Services vault options

  4. Güvenlik Ayarlar altında Güncelleştir'i seçin.

    Screenshot of Recovery Services vault properties

    Güncelleştirme bağlantısı, özelliklerin özetini sağlayan ve bunları etkinleştirmenize olanak tanıyan Güvenlik Ayarlar bölmesini açar.

  5. Güvenlik özelliklerini etkinleştirin ve Kaydet'i seçin.

    Screenshot of security settings

Silinen yedekleme verilerini kurtarma

Güvenlik özellikleri ayarı etkinleştirilirse, Azure Backup silinen yedekleme verilerini 14 gün daha korur ve Yedekleme verilerini sil ile yedeklemeyi durdur işlemi gerçekleştirilirse bu verileri hemen silmez. Bu verileri 14 günlük süre içinde geri yüklemek için, ne kullandığınıza bağlı olarak aşağıdaki adımları izleyin:

Azure Kurtarma Hizmetleri aracısı kullanıcıları için:

  1. Yedeklemelerin gerçekleştiği bilgisayar hala kullanılabilir durumdaysa, silinen veri kaynaklarını yeniden koruyun ve Tüm eski kurtarma noktalarından kurtarmak için Azure Kurtarma Hizmetleri'nde verileri aynı makinede kurtarın seçeneğini kullanın.
  2. Bu bilgisayar kullanılamıyorsa, bu verileri almak için başka bir Azure Kurtarma Hizmetleri bilgisayarı kullanmak için Alternatif bir makinede kurtar'ı kullanın.

Azure Backup Sunucusu kullanıcıları için:

  1. Yedeklemelerin gerçekleştiği sunucu hala kullanılabilir durumdaysa, silinen veri kaynaklarını yeniden koruyun ve tüm eski kurtarma noktalarından kurtarmak için Verileri Kurtar özelliğini kullanın.
  2. Bu sunucu kullanılamıyorsa, bu verileri almak için başka bir Azure Backup Sunucusu örneğini kullanmak için Başka bir Azure Backup Sunucusu'ndan veri kurtarma'yı kullanın.

Data Protection Manager kullanıcıları için:

  1. Yedeklemelerin gerçekleştiği sunucu hala kullanılabilir durumdaysa, silinen veri kaynaklarını yeniden koruyun ve tüm eski kurtarma noktalarından kurtarmak için Verileri Kurtar özelliğini kullanın.
  2. Bu sunucu kullanılamıyorsa, bu verileri almak için başka bir Data Protection Manager sunucusu kullanmak için Dış DPM Ekle'yi kullanın.

Saldırıları önleme

Yalnızca geçerli kullanıcıların çeşitli işlemler gerçekleştirediğinden emin olmak için denetimler eklenmiştir. Bunlar ek bir kimlik doğrulaması katmanı eklemeyi ve kurtarma amacıyla en düşük saklama aralığını korumayı içerir.

Kritik işlemleri gerçekleştirmek için kimlik doğrulaması

Kritik işlemler için ek bir kimlik doğrulama katmanı eklemenin bir parçası olarak, DPM, MABS ve MARS için Verileri sil ve Parolayı Değiştir işlemleriyle Korumayı Durdur işlemini gerçekleştirdiğinizde bir güvenlik PIN'i girmeniz istenir.

Buna ek olarak, MARS sürüm 2.0.9262.0 ve üzeri ile, MARS dosya/klasör yedeklemesinden bir birimi kaldırma, mevcut birim için yeni bir dışlama ayarı ekleme, bekletme süresini azaltma ve daha az sıklıkta yedekleme zamanlamasına geçme işlemleri de ek güvenlik için bir güvenlik pin'i ile korunur.

Dekont

Şu anda, aşağıdaki DPM ve MABS sürümleri için, çevrimiçi depolamaya veri silme ile Korumayı Durdurma için güvenlik PIN'i desteklenmektedir:

  • DPM 2016 UR9 veya üzeri
  • DPM 2019 UR1 veya üzeri
  • MABS v3 UR1 veya üzeri

Bu PIN'i almak için:

  1. Azure Portal oturum açın.
  2. Kurtarma Hizmetleri kasası> Ayarlar> Özellikler'e göz atın.
  3. Güvenlik PIN'i altında Oluştur'a tıklayın. Bu, Azure Kurtarma Hizmetleri aracısı kullanıcı arabiriminde girilecek PIN'i içeren bir bölme açar. Bu PIN yalnızca beş dakika geçerlidir ve bu süre sonunda otomatik olarak oluşturulur.

En düşük saklama aralığını koruma

Her zaman geçerli sayıda kurtarma noktası olduğundan emin olmak için aşağıdaki denetimler eklenmiştir:

  • Günlük saklama için en az yedi günlük saklama yapılmalıdır.
  • Haftalık saklama için en az dört haftalık saklama yapılmalıdır.
  • Aylık saklama için en az üç ay bekletme yapılmalıdır.
  • Yıllık saklama için en az bir yıllık saklama yapılmalıdır.

Kritik işlemler için bildirimler

Genellikle kritik bir işlem gerçekleştirildiğinde abonelik yöneticisine işlemle ilgili ayrıntıları içeren bir e-posta bildirimi gönderilir. Azure portalını kullanarak bu bildirimler için ek e-posta alıcıları yapılandırabilirsiniz.

Bu makalede bahsedilen güvenlik özellikleri, hedeflenen saldırılara karşı savunma mekanizmaları sağlar. Daha da önemlisi, bir saldırı olursa bu özellikler verilerinizi kurtarmanızı sağlar.

Hataları giderme

İşlem Hata ayrıntıları Çözünürlük
İlke değişikliği Yedekleme ilkesi değiştirilemedi. Hata: Geçerli işlem [0x29834] iç hizmet hatasından dolayı başarısız oldu. Lütfen işlemi bir süre sonra yeniden deneyin. Sorun devam ederse, lütfen Microsoft Desteği'ne başvurun. Neden:
Bu hata, güvenlik ayarları etkinleştirildiğinde, bekletme aralığını yukarıda belirtilen en düşük değerlerin altına düşürmeye çalışırsınız ve desteklenmeyen bir sürümde olursunuz (desteklenen sürümler bu makalenin ilk notunda belirtilir).
Önerilen Eylem:
Bu durumda, ilkeyle ilgili güncelleştirmelerle devam etmek için saklama süresini belirtilen en düşük saklama süresinin (günlük için yedi gün, haftalık için dört hafta, aylık için üç hafta veya yıllık için bir yıl) üzerinde ayarlamanız gerekir. İsteğe bağlı olarak, tüm güvenlik güncelleştirmelerini kullanmak için yedekleme aracısını, Azure Backup Sunucusu'nu ve/veya DPM UR'yi güncelleştirmek tercih edilir.
Parolayı Değiştir Girilen güvenlik PIN'i yanlış. (Kimlik: 100130) Bu işlemi tamamlamak için doğru Güvenlik PIN'ini sağlayın. Neden:
Bu hata, kritik işlemi gerçekleştirirken (parolayı değiştirme gibi) geçersiz veya süresi dolmuş Güvenlik PIN'i girdiğinizde ortaya çıkar.
Önerilen Eylem:
İşlemi tamamlamak için geçerli Bir Güvenlik PIN'i girmeniz gerekir. PIN'i almak için Azure portalında oturum açın ve Kurtarma Hizmetleri kasasına > gidin Ayarlar > Özellikler > Güvenlik PIN'i Oluştur'a gidin. Parolayı değiştirmek için bu PIN'i kullanın.
Parolayı Değiştir İşlem başarısız oldu. Kimlik: 120002 Neden:
Güvenlik ayarları etkinleştirildiğinde, parolayı değiştirmeye çalıştığınızda ve desteklenmeyen bir sürümde olduğunuzda (bu makalenin ilk notunda belirtilen geçerli sürümler) bu hata görüntülenir.
Önerilen Eylem:
Parolayı değiştirmek için önce yedekleme aracısını en düşük sürüm 2.0.9052, Azure Backup Sunucusu'nu en düşük güncelleştirme 1'e ve/veya DPM'yi en düşük DPM 2012 R2 UR12 veya DPM 2016 UR2'ye güncelleştirmeniz (aşağıdaki bağlantıları indirin) ve ardından geçerli bir Güvenlik PIN'i girmeniz gerekir. PIN'i almak için Azure portalında oturum açın ve Kurtarma Hizmetleri kasasına > gidin Ayarlar > Özellikler > Güvenlik PIN'i Oluştur'a gidin. Parolayı değiştirmek için bu PIN'i kullanın.

Değişmezlik desteği

Kurtarma Hizmetleri kasanız için değişmezlik etkinleştirildiğinde, bulut yedekleme saklama süresini azaltan veya şirket içi veri kaynakları için bulut yedeklemesini kaldıran işlemler engellenir.

DPM ve MABS için değişmezlik desteği

Bu özellik, DPM 2022 UR1 ve MABS v4'ten MARS aracısı sürüm 2.0.9250.0 ve üzeri ile desteklenir.

Aşağıdaki tabloda, sabit bir Kurtarma'ya bağlı DPM'de izin verilmeyen işlemler listelenir:

Sabit kasada işlem DPM 2022 UR1, MABS v4 ve en son MARS aracısı ile sonuç.

DPM 2022 UR2 veya MABS v4 UR1 ile, korumayı durdururken veya bir veri kaynağını konsoldan bir koruma grubundan kaldırırken ilkeye göre çevrimiçi kurtarma noktalarını koruma seçeneğini belirleyebilirsiniz.
Eski DPM/MABS ve veya MARS aracısıyla sonuç
Çevrimiçi yedekleme için yapılandırılmış koruma grubundan Veri Kaynağını kaldırma 81001: Yedekleme öğeleri etkin kurtarma noktalarına sahip olduğundan silinemiyor ve seçilen kasa sabit bir kasa. 130001: Microsoft Azure Backup bir iç hatayla karşılaştı.
Verileri silme ile korumayı durdurma 81001: Yedekleme öğeleri etkin kurtarma noktalarına sahip olduğundan silinemiyor ve seçilen kasa sabit bir kasa.

DPM 2022 UR2 veya MABS v4 UR1 ile, korumayı durdururken veya bir veri kaynağını konsoldan bir koruma grubundan kaldırırken ilkeye göre çevrimiçi kurtarma noktalarını koruma seçeneğini belirleyebilirsiniz.
130001: Microsoft Azure Backup bir iç hatayla karşılaştı.
Çevrimiçi saklama süresini azaltma 810002: Seçilen kasa sabit olduğundan, İlke/Koruma değişikliği sırasında bekletmede azalmaya izin verilmez. 130001: Microsoft Azure Backup bir iç hatayla karşılaştı.
Remove-DPMChildDatasource komutu 81001: Yedekleme öğeleri etkin kurtarma noktalarına sahip olduğundan silinemiyor ve seçilen kasa sabit bir kasa.

Verileri yalnızca ilke süresine kadar tutmak için -KeepOnlineData ile yeni -EnableOnlineRPsPruning seçeneğini kullanın.

DPM 2022 UR2 veya MABS v4 UR1 ile, korumayı durdururken veya bir veri kaynağını konsoldan bir koruma grubundan kaldırırken ilkeye göre çevrimiçi kurtarma noktalarını koruma seçeneğini belirleyebilirsiniz.
130001: Microsoft Azure Backup bir iç hatayla karşılaştı.

Verileri korumak için -KeepOnlineData bayrağını kullanın.

MARS için değişmezlik desteği

Aşağıdaki tabloda, Kurtarma Hizmetleri kasasında değişmezlik etkinleştirildiğinde MARS için izin verilmeyen işlemler listelenmektedir. Saklamayı artırma ve bir dosyayı/klasörü yedeklemeden dışlama gibi diğer işlemlere izin verilir.

İzin verilmeyen işlem En son MARS aracısıyla sonuç Eski MARS aracısıyla sonuç
Sistem durumu için verileri silme ile korumayı durdurma Hata 810001

Yedekleme öğesini silmeye veya yedekleme öğesinin geçerli (süresiz) kurtarma noktasına sahip olduğu verileri silmeyle korumayı durdurmaya çalışan kullanıcı.
Hata 130001

Microsoft Azure Backup bir iç hatayla karşılaştı.
Verileri silme ile korumayı durdurma Hata 810001

Yedekleme öğesini silmeye veya yedekleme öğesinin geçerli (süresiz) kurtarma noktasına sahip olduğu verileri silmeyle korumayı durdurmaya çalışan kullanıcı.
Hata 130001

Microsoft Azure Backup bir iç hatayla karşılaştı.

MARS 2.0.9262.0 ve üzeri, konsolundaki ilkeye göre korumayı durdurma ve kurtarma noktalarını koruma seçeneğini sağlar.
Çevrimiçi saklama süresini azaltma Bekletmeyi azaltarak ilkeyi veya korumayı değiştirmeye çalışan kullanıcı. 130001

Microsoft Azure Backup bir iç hatayla karşılaştı.
-DeleteBackup bayrağıyla Remove-OBPolicy 810001

Yedekleme öğesini silmeye veya yedekleme öğesinin geçerli (süresiz) kurtarma noktasına sahip olduğu verileri silmeyle korumayı durdurmaya çalışan kullanıcı.

Yedekleri saklama sürelerine kadar saklamak için –EnablePruning bayrağını kullanın.
130001

Microsoft Azure Backup bir iç hatayla karşılaştı.

-DeleteBackup bayrağını kullanmayın.

MARS 2.0.9262.0 ve üzeri, konsolundaki ilkeye göre korumayı durdurma ve kurtarma noktalarını koruma seçeneğini sağlar.

Sonraki adımlar