Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Preocupações sobre problemas de segurança, como malware, ransomware e invasão, estão aumentando. Esses problemas de segurança podem ser dispendiosos em termos de dinheiro e dados. Para se proteger contra esses ataques, o Backup do Azure agora fornece recursos de segurança para ajudar a proteger os backups híbridos. Este artigo aborda como habilitar e aproveitar esses recursos para proteger cargas de trabalho locais usando o MABS (Servidor de Backup do Microsoft Azure), o DPM (Data Protection Manager) e o agente dos Serviços de Recuperação do Microsoft Azure (MARS). Esses recursos incluem:
- Prevenção. Uma camada adicional de autenticação será adicionada sempre que uma operação crítica, como a alteração de senha, for executada. Essa validação é garantir que essas operações possam ser realizadas apenas por usuários com credenciais válidas do Azure.
- Alertas. Uma notificação por email é enviada ao administrador da assinatura sempre que uma operação crítica, como a exclusão de dados de backup, é executada. Este email garante que o usuário receba uma notificação rapidamente sobre tais ações.
- Recuperação. Os dados de backup excluídos são retidos por mais 14 dias desde a data da exclusão. Isso garante a capacidade de recuperação de dados em um determinado período de tempo de maneira que não haja perda de dados mesmo se houver um ataque. Além disso, mais pontos de recuperação mínimos são mantidos para proteção contra dados corrompidos.
Observação
Habilita a MUA (autorização de vários usuários) em seu cofre de serviços de recuperação para adicionar uma camada adicional de proteção à operação crítica de desabilitar recursos de segurança. Saiba mais.
Requisitos mínimos de versão
Habilite os recursos de segurança somente se você estiver usando:
- Agente de Backup do Azure: agente mínimo versão 2.0.9052. Depois de habilitar esses recursos, atualize a versão do agente para executar operações críticas.
- Servidor de Backup do Azure: Agente mínimo do Backup do Azure versão 2.0.9052 com a atualização 1 do Servidor de Backup do Azure.
- Microsoft System Center Data Protection Manager: versão do agente de Backup do Azure 2.0.9052 com o Data Protection Manager 2012 R2 UR12/ Data ou Data Protection Manager 2016 UR2.
Observação
Verifique se você não habilita os recursos de segurança se estiver usando o backup de VM iaaS (infraestrutura como serviço). Atualmente, esses recursos não estão disponíveis para backup de VM IaaS e, portanto, habilitá-los não terá impacto.
Habilitar recursos de segurança
Se você estiver criando um cofre de Serviços de Recuperação, poderá usar todos os recursos de segurança. Se você estiver trabalhando com um cofre existente, habilite os recursos de segurança executando estas etapas:
Entre no portal do Azure usando suas credenciais do Azure.
Selecione Procurar e digite Serviços de Recuperação.
A lista de cofres de Serviços de Recuperação aparecerá. Nesta lista, selecione um cofre. O painel de cofres selecionados será aberto.
Na lista de itens que aparece sob o cofre, em Configurações, selecione Propriedades.
Em Configurações de Segurança, selecione Atualizar.
O link de atualização abre o painel Configurações de Segurança , que fornece um resumo dos recursos e permite habilitá-los.
Habilite os recursos de segurança e selecione Salvar.
Recuperar dados de backup excluídos
Se a configuração de recursos de segurança estiver habilitada, o Backup do Azure reterá os dados de backup excluídos por mais 14 dias e não os excluirá imediatamente se a operação Parar backup com excluir dados de backup for executada. Para restaurar esses dados no período de 14 dias, execute as seguintes etapas, dependendo do que você estiver usando:
Para usuários do agente dos Serviços de Recuperação do Azure :
- Se o computador em que os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use os dados de Recuperação para o mesmo computador nos Serviços de Recuperação do Azure, para se recuperar de todos os pontos de recuperação antigos.
- Se este computador não estiver disponível, use Recuperar em um computador alternativo para usar outro computador dos Serviços de Recuperação do Azure para obter esses dados.
Para usuários do Servidor de Backup do Azure :
- Se o servidor em que os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso Recuperar Dados para recuperar de todos os pontos de recuperação antigos.
- Se esse servidor não estiver disponível, use Recuperar dados de outro Servidor de Backup do Azure para usar outra instância do Servidor de Backup do Azure para obter esses dados.
Para usuários do Data Protection Manager :
- Se o servidor em que os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso Recuperar Dados para recuperar de todos os pontos de recuperação antigos.
- Se esse servidor não estiver disponível, use Adicionar DPM Externo para usar outro servidor do Data Protection Manager para obter esses dados.
Evitar ataques
Foram adicionadas verificações para garantir que somente os usuários válidos possam executar várias operações. Isso inclui adicionar uma camada extra de autenticação e manter um intervalo de retenção mínimo para fins de recuperação.
Autenticação para executar operações críticas
Como parte da adição de uma camada extra de autenticação para operações críticas, você será solicitado a inserir um PIN de segurança ao executar o Stop Protection com operações Excluir dados e Alterar Senha para DPM, MABS e MARS.
Além disso, com o MARS versão 2.0.9262.0 e posterior, as operações para remover um volume do backup de arquivo/pasta MARS, adicionar uma nova configuração de exclusão para um volume existente, reduzir a duração da retenção e mover para um agendamento de backup menos frequente também são protegidas com um PIN de segurança para segurança adicional.
Observação
Atualmente, para as seguintes versões do DPM e do MABS, há suporte ao PIN de segurança para Interromper Proteção e Excluir dados no armazenamento online:
- DPM 2016 UR9 ou posterior
- DPM 2019 UR1 ou posterior
- MABS v3 UR1 ou posterior
Para receber este PIN:
- Entre no portal do Azure.
- Navegue até o Cofre dos Serviços de Recuperação>Configurações>Propriedades.
- Em PIN de Segurança, selecione em Gerar. Isso abre um painel que contém o PIN a ser inserido na interface do usuário do agente dos Serviços de Recuperação do Azure. Esse PIN é válido por apenas cinco minutos e é gerado automaticamente após esse período.
Salvar e gerenciar a frase secreta do agente MARS em Azure Key Vault
Backup do Azure fornece a opção de salvar e gerenciar a frase secreta do agente MARS em Azure Key Vault usando Azure portal, PowerShell e CLI. Esse recurso permite o armazenamento seguro da senha de criptografia usada para operações de backup e restauração, eliminando a necessidade de mantê-la em locais externos, permitindo o acesso controlado por meio de permissões Key Vault. Saiba como configurar o cofre dos Serviços de Recuperação para salvar a senha do agente MARS em Azure Key Vault e gerenciá-lo para operações de backup e restauração.
Manter um intervalo mínimo de retenção
Para garantir que sempre haja um número válido de pontos de recuperação disponíveis, as seguintes verificações foram adicionadas:
- Para a retenção diária, é necessário no mínimo sete dias de retenção.
- Para a retenção semanal, é necessário no mínimo quatro semanas de retenção.
- Para a retenção mensal, é necessário no mínimo três meses de retenção.
- Para a retenção anual, é necessário no mínimo um ano de retenção.
Notificações para operações críticas
Normalmente, quando uma operação crítica é executada, o administrador da assinatura recebe uma notificação por e-mail com detalhes sobre a operação. Você pode configurar destinatários de email adicionais para essas notificações usando o portal do Azure.
Os recursos de segurança mencionados neste artigo fornecem mecanismos de defesa contra ataques direcionados. Mais importante, se ocorrer um ataque, esses recursos lhe darão a capacidade de recuperar seus dados.
Solucionar erros
| Operação | Detalhes do erro | Resolução |
|---|---|---|
| Alteração da política | A política de backup não pôde ser modificada. Erro: a operação atual falhou devido a um erro de serviço interno [0x29834]. Tente novamente a operação depois de algum tempo. Se o problema persistir, contate o suporte da Microsoft. |
Causa: Esse erro aparece quando as configurações de segurança estão habilitadas, você tenta reduzir o intervalo de retenção abaixo dos valores mínimos especificados acima e está em uma versão sem suporte (as versões com suporte são especificadas na primeira observação deste artigo). Ação recomendada: Nesse caso, você deve definir o período de retenção acima do período de retenção mínimo especificado (sete dias por dia, quatro semanas por semana, três semanas por mês ou um ano por ano) para continuar com atualizações relacionadas à política. Opcionalmente, uma abordagem preferencial seria atualizar o agente de backup, o Servidor de Backup do Azure e/ou a UR do DPM para aproveitar todas as atualizações de segurança. |
| Alterar frase secreta | O PIN de segurança inserido está incorreto. (ID: 100130) Forneça o PIN de Segurança correto para concluir esta operação. |
Causa: Esse erro ocorre quando você insere PIN de Segurança inválido ou expirado ao executar uma operação crítica (como a frase secreta de alteração). Ação recomendada: Para concluir a operação, insira pin de segurança válido. Para obter o PIN, entre no portal do Azure e navegue para o cofre dos Serviços de Recuperação > Configurações > Propriedades > Gerar PIN de Segurança. Use esse PIN para alterar a frase secreta. |
| Alterar frase secreta | Falha na operação. ID: 120002 |
Causa: Esse erro aparece quando as configurações de segurança estão habilitadas, você tenta alterar a frase secreta e está em uma versão sem suporte (versões válidas especificadas na primeira observação deste artigo). Ação recomendada: Para alterar a frase secreta, primeiro você deve atualizar o agente de backup para a versão mínima 2.0.9052, o Servidor de Backup do Azure para a atualização mínima 1 e/ou o DPM para o DPM mínimo 2012 R2 UR12 ou DPM 2016 UR2 (links de download abaixo) e, em seguida, inserir um PIN de Segurança válido. Para obter o PIN, entre no portal do Azure e navegue para o cofre dos Serviços de Recuperação > Configurações > Propriedades > Gerar PIN de Segurança. Use esse PIN para alterar a frase secreta. |
Suporte à imutabilidade
Quando a imutabilidade do cofre dos Serviços de Recuperação está habilitada, as operações que reduzem a retenção de backup na nuvem ou removem o backup de nuvem de fontes de dados locais são bloqueadas.
Suporte de Imutabilidade para DPM e MABS
Esse recurso é compatível com o agente MARS versão 2.0.9250.0 e superiores a partir do DPM 2022 UR1 e MABS v4.
A seguinte tabela lista as operações não permitidas no DPM conectado a uma recuperação imutável:
| Operação no cofre imutável | Resultado com o DPM 2022 UR1, MABS v4 e o agente MARS mais recente. Com o DPM 2022 UR2 ou o MABS v4 UR1, você pode selecionar a opção de manter pontos de recuperação online por política ao parar a proteção ou remover uma fonte de dados de um grupo de proteção do console. |
Resultado com versões mais antigas do DPM/MABS e/ou do agente MARS |
|---|---|---|
| Remover a Fonte de Dados do grupo de proteção configurado para backup online | 81001: os itens de backup não podem ser excluídos, pois há pontos de recuperação ativos e o cofre selecionado é imutável. | 130001: o Backup do Microsoft Azure encontrou um erro interno. |
| Interrompa a proteção com exclusão de dados | 81001: os itens de backup não podem ser excluídos, pois há pontos de recuperação ativos e o cofre selecionado é imutável. Com o DPM 2022 UR2 ou o MABS v4 UR1, você pode selecionar a opção de manter pontos de recuperação online por política ao parar a proteção ou remover uma fonte de dados de um grupo de proteção do console. |
130001: o Backup do Microsoft Azure encontrou um erro interno. |
| Reduzir o período de retenção online | 810002: a redução na retenção durante a modificação de política/proteção não é permitida, pois o cofre selecionado é imutável. | 130001: o Backup do Microsoft Azure encontrou um erro interno. |
| comandoRemove-DPMChildDatasource | 81001: os itens de backup não podem ser excluídos, pois há pontos de recuperação ativos e o cofre selecionado é imutável. Use a nova opção -EnableOnlineRPsPruning com -KeepOnlineData para reter dados somente até o prazo da política. Com o DPM 2022 UR2 ou o MABS v4 UR1, você pode selecionar a opção de manter pontos de recuperação online por política ao parar a proteção ou remover uma fonte de dados de um grupo de proteção do console. |
130001: o Backup do Microsoft Azure encontrou um erro interno. Use o sinalizador -KeepOnlineData para reter dados. |
Suporte à imutabilidade para o MARS
A tabela a seguir lista as operações não permitidas para o MARS quando a imutabilidade está habilitada no cofre dos Serviços de Recuperação. Outras operações, como aumentar a retenção e excluir um arquivo/pasta do backup, são permitidas.
| Operação não permitida | Resultado com o agente MARS mais recente | Resultado com o agente MARS mais antigo |
|---|---|---|
| Interromper a proteção com a exclusão de dados do estado do sistema | Erro 810001 O usuário está tentando excluir o item de backup ou interromper a proteção com a exclusão de dados, onde o item de backup tem um ponto de recuperação válido (não expirado). |
Erro 130001 O Backup do Microsoft Azure encontrou um erro interno. |
| Interrompa a proteção com exclusão de dados | Erro 810001 O usuário está tentando excluir o item de backup ou interromper a proteção com a exclusão de dados, onde o item de backup tem um ponto de recuperação válido (não expirado). |
Erro 130001 O Backup do Microsoft Azure encontrou um erro interno. O MARS 2.0.9262.0 e versões posteriores fornecem a opção de interromper a proteção e manter pontos de recuperação de acordo com a política no console. |
| Reduzir o período de retenção online | O usuário está tentando modificar a política ou a proteção com a redução de retenção. | 130001 O Backup do Microsoft Azure encontrou um erro interno. |
| Remove-OBPolicy com sinalizador -DeleteBackup | 810001 O usuário está tentando excluir o item de backup ou interromper a proteção com a exclusão de dados, onde o item de backup tem um ponto de recuperação válido (não expirado). Use o sinalizador –EnablePruning para reter backups até o período de retenção. |
130001 O Backup do Microsoft Azure encontrou um erro interno. Não use o sinalizador -DeleteBackup. O MARS 2.0.9262.0 e versões posteriores fornecem a opção de interromper a proteção e manter pontos de recuperação de acordo com a política no console. |
Próximas etapas
- Comece a usar o cofre dos Serviços de Recuperação do Azure para habilitar esses recursos.
- Baixe o agente mais recente dos Serviços de Recuperação do Azure para ajudar a proteger computadores Windows e proteger seus dados de backup contra ataques.