有助于保护使用 Azure 备份的混合备份的安全功能

对安全问题(例如恶意软件、勒索软件、入侵)的关注在逐渐上升。 这些安全问题可能会代价高昂(就金钱和数据来说)。 为了防止此类攻击,Azure 备份现提供可保护混合备份的安全功能。 本文介绍如何使用 Microsoft Azure 备份服务器 (MABS)数据保护管理器 (DPM)Microsoft Azure 恢复服务 (MARS) 代理来启用这些功能并利用这些功能来保护本地工作负载。 这些功能包括:

  • 防护。 执行关键操作(例如更改密码)时,会添加额外的身份验证层。 使用此验证,确保只有具有有效 Azure 凭据的用户才可执行此类操作。
  • 警报。 执行关键操作(例如删除备份数据)时,会向订阅管理员发送电子邮件通知。 此电子邮件可确保用户快速收到有关此类操作的通知。
  • 恢复。 删除的备份数据自删除之日起将另外保留 14 天。 这可以确保能够在给定的时间段内恢复数据,因此即使遭到攻击,也不会丢失数据。 此外,还保留了更多的最小恢复点,以防止数据损坏。

注意

对恢复服务保管库启用多用户授权 (MUA),为禁用安全功能这一关键操作增加额外一层保护。 了解详细信息

最低版本要求

仅在使用以下项时启用安全功能:

  • Azure 备份代理 - 最小代理版本 2.0.9052。 启用这些功能后,请升级代理版本,以执行关键操作。
  • Azure 备份服务器:Azure 备份服务器 Update 1 的 Azure 备份最低代理版本 2.0.9052 。
  • System Center Data Protection Manager:Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2 的 Azure 备份最低代理版本 2.0.9052 。

注意

如果使用的是基础结构即服务 (IaaS) VM 备份,请确保未启用安全功能。 目前,这些功能不可用于 IaaS VM 备份,因此启用这些功能不会产生影响。

启用安全功能

如果创建恢复服务保管库,则可使用所有安全功能。 如果使用现有的保管库,则可通过以下步骤启用安全功能:

  1. 使用 Azure 凭据登录到 Azure 门户。

  2. 选择“浏览” ,并键入“恢复服务” 。

    Screenshot of Azure portal Browse option

    此时显示恢复服务保管库列表。 从此列表中,选择一个保管库。 此时会打开选定的保管库仪表板。

  3. 从保管库下显示的项目列表中,选择“设置”下的“属性” 。

    Screenshot of Recovery Services vault options

  4. 在“安全设置”下,选择“更新” 。

    Screenshot of Recovery Services vault properties

    选择此更新链接会打开“安全设置”窗格,其中提供功能摘要,并允许启用它们。

  5. 启用安全功能,并选择“保存” 。

    Screenshot of security settings

恢复已删除的备份数据

如果启用了安全功能设置,执行“停止备份并删除备份数据”操作时,备份会将已删除的备份数据另外再保留 14 天,不会立即删除数据。 若要在 14 天的期限内还原该数据,请根据所用软件执行以下步骤:

对于 Azure 恢复服务代理用户:

  1. 如果发生备份的计算机仍可用,则重新保护已删除的数据源,并在 Azure 恢复服务中使用将数据恢复到同一计算机功能,从所有旧的恢复点恢复。
  2. 如果该计算机不可用,则使用恢复到备用计算机功能,使用另一台 Azure 恢复服务计算机获取此数据。

对于 Azure 备份服务器用户:

  1. 如果发生备份的服务器仍可用,则重新保护已删除的数据源,并使用恢复数据功能从所有旧的恢复点恢复。
  2. 如果该服务器不可用,则使用从另一 Azure 备份服务器恢复数据功能,通过另一 Azure 备份服务器实例获取此数据。

对于 Data Protection Manager 用户:

  1. 如果发生备份的服务器仍可用,则重新保护已删除的数据源,并使用恢复数据功能从所有旧的恢复点恢复。
  2. 如果该服务器不可用,则通过添加外部 DPM 来使用另一个 Data Protection Manager 服务器获取此数据。

防止攻击

已添加检查,确保只有效用户才可执行各种操作。 这些检查包括:添加额外的身份验证层,以及为恢复目的而保持一个最小的保留期时间范围。

执行关键操作的身份验证

在为关键操作添加额外身份验证层的过程中,在对 DPM、MABS 和 MARS 执行“停止保护并删除数据”和“更改密码”操作时,系统会提示输入安全 PIN

此外,在 MARS 版本 2.0.9262.0 及更高版本中,从 MARS 文件/文件夹备份中移除卷、为现有卷添加新的排除设置、缩短保留期以及移动到频率更低的备份计划等操作,也会受到安全 PIN 的保护,以提高安全性

注意

目前,对于以下 DPM 和 MABS 版本,在线存储的“停止保护并删除数据”功能支持安全 PIN:

  • DPM 2016 UR9 或更高版本
  • DPM 2019 UR1 或更高版本
  • MABS v3 UR1 或更高版本

若要接收此 PIN,请执行以下操作:

  1. 登录到 Azure 门户。
  2. 浏览到“恢复服务保管库” >“设置” > “属性”。
  3. 在“安全 PIN”下选择“生成” 。 此时会打开一个窗格,其中包含要在 Azure 恢复服务代理用户界面输入的 PIN。 此 PIN 的有效时间仅为五分钟,并在五分钟后自动生成。

维持最短的保持期

为确保始终存在大量可用的有效恢复点,已添加以下检查:

  • 对于日保留期,应设置最少天的保留期。
  • 对于周保留期,应设置最少周的保留期。
  • 对于月保留期,应设置最少个月的保留期。
  • 对于年保留期,应设置最少年的保留期。

关键操作的通知

通常情况下,执行关键操作时,将向订阅管理员发送包含该操作详细信息的电子邮件通知。 可以通过 Azure 门户为这些通知配置更多的电子邮件收件人。

此文章中提到的安全功能提供对针对性攻击的防御机制。 更重要的是,在发生攻击的情况下,这些功能提供恢复数据的能力。

排查错误

操作 错误详细信息 解决方法
策略更改 无法修改备份策略。 错误:由于内部服务错误 [0x29834],当前操作失败。 请稍后重试操作。 如果该问题仍然存在,请联系 Microsoft 支持部门。 原因:
当启用安全设置、尝试缩短保留期范围至低于以上指定的最小值和使用不受支持的版本时,会出现此错误(本文第一条注释已指定所支持的版本)。
建议的操作
在这种情况下,应将保留期时段设置为高于指定保留期时段的最小值(以日计为七天、以周记为四周、以月计为三个月或以年计为一年),以进行策略相关的更新。 (可选)首选更新备份代理、Azure 备份服务器和/或 DPM UR 来利用所有安全更新程序。
更改通行短语 输入的安全 PIN 不正确。 (ID: 100130) 请提供正确的安全 PIN 来完成此操作。 原因:
当执行关键操作(如更改通行短语)时输入无效或已过期的安全 PIN 将出现此错误。
建议的操作
若要完成该操作,必须输入有效的安全 PIN。 若要获取 PIN,请登录 Azure 门户并导航到“恢复服务保管库”>“设置”>“属性”>“生成安全 PIN”。 使用此 PIN 更改通行短语。
更改通行短语 操作失败。 ID:120002 原因:
当启用安全设置、尝试更改密码和使用不受支持的版本时,会出现此错误(本文第一条注释已指定有效版本)。
建议的操作
若要更改密码,必须先将备份代理更新为最低版本 2.0.9052、将 Azure 备份服务器更新为最低 Update 1 和/或将 DPM 更新为最低 DPM 2012 R2 UR12 或 DPM 2016 UR2(下载链接参见下方),然后输入有效的安全 PIN。 若要获取 PIN,请登录 Azure 门户并导航到“恢复服务保管库”>“设置”>“属性”>“生成安全 PIN”。 使用此 PIN 更改通行短语。

不可变性支持

启用恢复服务保管库的不可变性后,会阻止那些缩短本地数据源的云备份保留期或删除其云备份的操作。

针对 DPM 和 MABS 的不可变性支持

MARS 代理 2.0.9250.0 及更高版本支持 DPM 2022 UR1 和 MABS v4 中的此功能。

下表列出了不允许在连接到不可变恢复服务保管库的 DPM 上执行的操作:

在不可变保管库上执行的操作 DPM 2022 UR1、MABS v4 和最新 MARS 代理的结果。

在 DPM 2022 UR2 或 MABS v4 UR1 中,可以在停止保护或从控制台中删除保护组的数据源时选择按策略保留联机恢复点选项。
较旧 DPM/MABS 和/或 MARS 代理的结果
从为联机备份配置的保护组中删除数据源 81001:无法删除备份项,因为它具有活动的恢复点,并且所选保管库是不可变保管库。 130001:Azure 备份遇到内部错误。
停止保护并删除数据 81001:无法删除备份项,因为它具有活动的恢复点,并且所选保管库是不可变保管库。

在 DPM 2022 UR2 或 MABS v4 UR1 中,可以在停止保护或从控制台中删除保护组的数据源时选择按策略保留联机恢复点选项。
130001:Azure 备份遇到内部错误。
缩短联机保留期 810002:不允许在修改策略/保护期间缩短保留期,因为所选保管库是不可变的。 130001:Azure 备份遇到内部错误。
Remove-DPMChildDatasource 命令 81001:无法删除备份项,因为它具有活动的恢复点,并且所选保管库是不可变保管库。

将新选项 -EnableOnlineRPsPruning 与 -KeepOnlineData 配合使用,使数据保留时间不超过策略持续时间。

在 DPM 2022 UR2 或 MABS v4 UR1 中,可以在停止保护或从控制台中删除保护组的数据源时选择按策略保留联机恢复点选项。
130001:Azure 备份遇到内部错误。

使用 -KeepOnlineData 标志保留数据。

针对 MARS 的不可变性支持

下表列出了在恢复服务保管库上启用不可变性时不允许对 MARS 执行的操作。 允许其他操作,例如延长保留期和从备份中排除文件/文件夹。

不允许的操作 最新 MARS 代理的结果 旧 MARS 代理的结果
停止保护并删除系统状态数据 错误 810001

用户尝试删除备份项,或尝试停止保护并删除备份项具有有效(未过期)恢复点的数据。
错误 130001

Azure 备份遇到内部错误。
停止保护并删除数据 错误 810001

用户尝试删除备份项,或尝试停止保护并删除备份项具有有效(未过期)恢复点的数据。
错误 130001

Azure 备份遇到内部错误。

MARS 2.0.9262.0 及更高版本提供停止保护并根据控制台中的策略保留恢复点选项
缩短联机保留期 用户尝试在修改策略或保护时缩短保留期。 130001

Azure 备份遇到内部错误。
带 -DeleteBackup 标志的 Remove-OBPolicy 810001

用户尝试删除备份项,或尝试停止保护并删除备份项具有有效(未过期)恢复点的数据。

使用 -EnablePruning 标志可将备份保留到保留期满。
130001

Azure 备份遇到内部错误。

请勿使用 -DeleteBackup 标志。

MARS 2.0.9262.0 及更高版本提供停止保护并根据控制台中的策略保留恢复点选项

后续步骤