常见问题解答 - 保护备份免受勒索软件的攻击

本文回答了有关使用 Azure 备份服务保护备份免受勒索软件攻击的常见问题。

配置并保护 Azure 备份免受安全和勒索软件威胁的影响的最佳做法是什么?

安全存储在名为恢复服务保存库或备份保管库的 Azure 资源中的备份数据是隔离的。 该保管库是一种管理实体,任何应用程序或来宾都无法直接访问这些备份,因此可以防止恶意参与者对备份存储执行破坏性操作,例如删除或篡改备份数据。

以下做法可保护备份免受安全和勒索软件威胁的影响:

  • 使用 Azure 基于角色的访问控制 (Azure RBAC) 管理对备份资源的访问

  • 确保启用了软删除功能,保护备份免遭意外或恶意删除

    新创建的恢复服务保管库上默认启用软删除。 它可以在 14 天内保护备份数据免遭意外或恶意删除,而无需额外付费,从而允许在备份项永久丢失之前恢复该备份项。 建议不要禁用此功能。 如果已删除备份且未启用软删除,则你或 Microsoft 将无法恢复已删除的备份数据。 在禁用此功能之前,使用多用户授权 (MUA) 作为恢复服务保管库上这些关键操作的额外保护层,以验证操作。 有关详细信息,请参阅如何为 Azure 备份启用、管理软删除以及何时禁用软删除

    我们还建议使用多用户授权 (MUA) 来保护恢复服务保管库上的关键操作。

  • 确保启用了多用户授权 (MUA),以防止出现未授权管理员的情况

    Azure 备份的 MUA 使用了一种名为资源防护的新资源,确保仅通过适当的授权来执行关键操作(例如禁用软删除、停止和删除备份,或缩短备份策略的保留期)。 有关详细信息,请参阅:

  • 为关键备份操作设置警报和通知

    Azure 备份为各种方案提供了多种监视和通知功能。 请确保正确配置了这些功能,以便及时发出警报和进行所需的操作。 了解详细信息

    建议使用用于警报的 Azure Monitor 来接收有关关键操作的警报/通知

  • 确保备份服务和工作负载之间的网络连接处于安全状态

    • 对于 Azure VM,传输中的数据将保留在 Azure 主干网上,无需访问虚拟网络。 因此,放置在受保护网络中的 Azure VM 备份不需要你授予对任何 IP 或 FQDN 的访问权限。
    • 对于 Azure VM 上的数据库,针对 Azure VM 上的 SAP HANA 数据库,使用 SQL Server 的以下网络连接要求来保护出站访问。
    • 对于 PaaS 资源(如 PostgreSQL),通信发生在 Azure 网络中。 对于备份数据存储在操作层中的工作负载(如 Azure 文件存储、Azure 磁盘和 Azure Blob),需要允许受信任服务列表中的 Azure 服务访问相应存储帐户的“网络设置”中的存储帐户。
    • 对于使用 MARS 或 MABS 保护的本地工作负载,可将 Microsoft 对等互连用于 ExpressRoute 或虚拟专用网 (VPN) 以连接到 Azure。 使用用于备份的专用终结点时,请使用专用对等互连。 对等虚拟网络之间的网络流量仍是专用的。

    有关详细信息,请参阅:

  • 确保备份数据已加密

    默认情况下,静态备份数据使用平台管理的密钥 (PMK) 进行加密。 对于已保管的备份,你可以选择使用客户管理的密钥 (CMK) 自行拥有和管理加密密钥。 此外,还可以使用基础结构级别的加密在存储基础结构上配置加密,该加密与 CMK 加密一起提供静态数据的双重加密。

    • 通过 MARS 或 MABS 备份,你可以使用自己的通行短语对数据进行端到端加密。 但是,请确保将相关的加密通行短语安全存储在备用位置(源计算机之外的位置),最好是存储在 Azure Key Vault 中。 如果正在使用 MARS 代理备份多台计算机,请跟踪所有通行短语。
    • 你还可以备份加密的 Azure VM(使用 Azure 磁盘加密进行加密)和 Azure VM 中运行的加密 SQL Server(使用 TDE 进行加密),以确保端到端加密。

    有关详细信息,请参阅:

  • 定期监视备份

    使用监视解决方案(例如,备份资源管理器)来识别组织中不受 Azure 备份保护的计算机,并监视备份项、备份作业和策略。 有关详细信息,请参阅:

  • 通过执行测试还原定期验证备份

    定期对备份执行数据恢复测试,以验证备份配置和备份数据的可用性是否满足组织的恢复需求以及预期的 RPO 和 RTO 要求。 定义备份恢复测试策略,使其包括测试恢复的范围和执行测试恢复的频率。

如何阻止有意或无意删除备份数据?

如何还原受勒索软件影响的系统?

如果在源系统上启用了备份,并且在受到攻击之前备份处于正常状态,请考虑执行以下操作:

  • 查看事件时间线,估计对生产工作负载的影响。
  • 确定在受到影响之前创建的最后一个干净恢复点。
  • 查看现有恢复点的保留期。 如果需要更多的时间从攻击中恢复,请考虑延长备份策略中的保留期。
  • 执行到隔离且安全的网络的恢复。
  • 对较小的数据集执行还原(例如,项级别的恢复),以确保恢复点正常。
  • 扫描还原的数据是否有感染迹象,以确保该数据不会被泄露。
  • 确定数据为干净数据之后,将其用于生产系统。
  • 完成后,确保备份已配置且在恢复的工作负载上运行正常。
  • 识别漏洞,检查流程未按预期工作的地方。 寻找机会改进流程。

受感染的备份副本是否会影响现有的干净恢复点?

否,受感染的恢复点(即,包含受感染数据的已备份数据)无法传播到之前的未受感染的恢复点。

如果受到影响,如何延长恢复点的过期时间?

如果在受到影响的情况下需要更多的时间进行调查和恢复,可以延长过期时间,确保恢复点不会(根据策略)被清理。 了解详细信息,使其不被保留策略删除。