Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Preocupações sobre problemas de segurança, como malware, ransomware e invasão, estão aumentando. Esses problemas de segurança podem ser dispendiosos em termos de dinheiro e dados. Para se proteger contra esses ataques, o Backup do Azure agora fornece recursos de segurança para ajudar a proteger os backups híbridos. Este artigo aborda como habilitar e aproveitar esses recursos para proteger cargas de trabalho locais usando o MABS (Servidor de Backup do Microsoft Azure), o DPM (Data Protection Manager) e o agente dos Serviços de Recuperação do Microsoft Azure (MARS). Esses recursos incluem:
- Prevenção. Uma camada adicional de autenticação é adicionada sempre que uma operação crítica, como alterar uma frase secreta, é executada. Essa validação é para garantir que essas operações possam ser executadas somente por usuários que têm credenciais válidas do Azure.
- Alertas. Uma notificação por email é enviada ao administrador da assinatura sempre que uma operação crítica, como a exclusão de dados de backup, é executada. Este email garante que o usuário receba uma notificação rapidamente sobre tais ações.
- Recuperação. Os dados de backup excluídos são retidos por mais 14 dias desde a data da exclusão. Isso garante a capacidade de recuperação dos dados em um determinado período de tempo, portanto, não haverá perda de dados mesmo se ocorrer um ataque. Além disso, um número maior de pontos mínimos de recuperação são mantidos para proteger contra dados corrompidos.
Observação
Habilite a MUA (autorização multiusuário) em seu cofre de serviços de recuperação para adicionar uma camada adicional de proteção à operação crítica de desabilitação de recursos de segurança. Saiba mais.
Requisitos mínimos de versão
Habilite os recursos de segurança somente se você estiver usando:
- Agente de Backup do Azure: agente mínimo versão 2.0.9052. Depois de habilitar esses recursos, atualize a versão do agente para executar operações críticas.
- Servidor de Backup do Azure: Agente mínimo do Backup do Azure versão 2.0.9052 com a atualização 1 do Servidor de Backup do Azure.
- System Center Data Protection Manager: Agente mínimo de Backup do Azure versão 2.0.9052 com o Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.
Observação
Verifique se você não habilita os recursos de segurança se estiver usando o backup de VM iaaS (infraestrutura como serviço). Atualmente, esses recursos não estão disponíveis para backup de VM IaaS e, portanto, habilitá-los não terá impacto.
Habilitar recursos de segurança
Se você estiver criando um cofre dos Serviços de Recuperação, poderá usar todos os recursos de segurança. Se você estiver trabalhando com um cofre existente, habilite os recursos de segurança seguindo estas etapas:
Entre no portal do Azure usando suas credenciais do Azure.
Selecione Procurar e digite Serviços de Recuperação.
A lista de cofres de Serviços de Recuperação aparecerá. Nesta lista, selecione um cofre. O painel de cofres selecionados será aberto.
Na lista de itens que aparece no cofre, em Configurações, selecione Propriedades.
Em Configurações de Segurança, selecione Atualizar.
O link de atualização abre o painel Configurações de Segurança , que fornece um resumo dos recursos e permite habilitá-los.
Habilite os recursos de segurança e selecione Salvar.
Recuperar dados de backup excluídos
Se a configuração de recursos de segurança estiver habilitada, o Backup do Azure reterá os dados de backup excluídos por mais 14 dias e não os excluirá imediatamente se a operação Parar backup com excluir dados de backup for executada. Para restaurar esses dados no período de 14 dias, execute as seguintes etapas, dependendo do que você estiver usando:
Para usuários do agente dos Serviços de Recuperação do Azure :
- Se o computador em que os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use os dados de Recuperação para o mesmo computador nos Serviços de Recuperação do Azure, para se recuperar de todos os pontos de recuperação antigos.
- Se este computador não estiver disponível, use Recuperar em um computador alternativo para usar outro computador dos Serviços de Recuperação do Azure para obter esses dados.
Para usuários do Servidor de Backup do Azure :
- Se o servidor em que os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso Recuperar Dados para recuperar de todos os pontos de recuperação antigos.
- Se esse servidor não estiver disponível, use Recuperar dados de outro Servidor de Backup do Azure para usar outra instância do Servidor de Backup do Azure para obter esses dados.
Para usuários do Data Protection Manager :
- Se o servidor em que os backups estavam acontecendo ainda estiver disponível, proteja novamente as fontes de dados excluídas e use o recurso Recuperar Dados para recuperar de todos os pontos de recuperação antigos.
- Se esse servidor não estiver disponível, use Adicionar DPM Externo para usar outro servidor do Data Protection Manager para obter esses dados.
Evitar ataques
Foram adicionadas verificações para garantir que somente os usuários válidos possam executar várias operações. Isso inclui adicionar uma camada extra de autenticação e manter um intervalo de retenção mínimo para fins de recuperação.
Autenticação para executar operações críticas
Como parte da adição de uma camada extra de autenticação para operações críticas, você será solicitado a inserir um PIN de segurança ao executar o Stop Protection com operações Excluir dados e Alterar Senha para DPM, MABS e MARS.
Além disso, com o MARS versão 2.0.9262.0 e posterior, as operações para remover um volume do backup de arquivo/pasta mars, adicionar uma nova configuração de exclusão para um volume existente, reduzir a duração da retenção e mover para um agendamento de backup menos frequente também são protegidas com um pin de segurança para segurança adicional.
Observação
Atualmente, para as seguintes versões do DPM e do MABS, há suporte para o PIN de segurança para Parar Proteção com Excluir dados para o armazenamento online:
- DPM 2016 UR9 ou posterior
- DPM 2019 UR1 ou posterior
- MABS v3 UR1 ou posterior
Para receber este PIN:
- Entre no portal do Azure.
- Navegue atéas propriedades>do cofre> dos Serviços de Recuperação.
- Em PIN de Segurança, selecione em Gerar. Isso abre um painel que contém o PIN a ser inserido na interface do usuário do agente dos Serviços de Recuperação do Azure. Esse PIN é válido por apenas cinco minutos e é gerado automaticamente após esse período.
Manter um intervalo mínimo de retenção
Para garantir que sempre haja um número válido de pontos de recuperação disponíveis, as seguintes verificações foram adicionadas:
- Para retenção diária, um mínimo de sete dias de retenção deve ser feito.
- Para retenção semanal, no mínimo quatro semanas de retenção devem ser feitas.
- Para retenção mensal, um mínimo de três meses de retenção deve ser feito.
- Para retenção anual, um mínimo de um ano de retenção deve ser feito.
Notificações para operações críticas
Normalmente, quando uma operação crítica é executada, o administrador da assinatura recebe uma notificação por email com detalhes sobre a operação. Você pode configurar destinatários de email adicionais para essas notificações usando o portal do Azure.
Os recursos de segurança mencionados neste artigo fornecem mecanismos de defesa contra ataques direcionados. Mais importante, se ocorrer um ataque, esses recursos lhe darão a capacidade de recuperar seus dados.
Solucionar erros
| Operação | Detalhes do erro | Resolução |
|---|---|---|
| Alteração da política | A política de backup não pôde ser modificada. Erro: A operação atual falhou devido a um erro de serviço interno [0x29834]. Tente novamente a operação depois de algum tempo. Se o problema persistir, contate o suporte da Microsoft. |
Causa: Esse erro aparece quando as configurações de segurança estão habilitadas, você tenta reduzir o intervalo de retenção abaixo dos valores mínimos especificados acima e está em uma versão sem suporte (as versões com suporte são especificadas na primeira observação deste artigo). Ação Recomendada: Nesse caso, você deve definir o período de retenção acima do período de retenção mínimo especificado (sete dias por dia, quatro semanas por semana, três semanas por mês ou um ano por ano) para continuar com atualizações relacionadas à política. Opcionalmente, uma abordagem preferencial seria atualizar o agente de backup, o Servidor de Backup do Azure e/ou a UR do DPM para aproveitar todas as atualizações de segurança. |
| Alterar frase secreta | O PIN de segurança inserido está incorreto. (ID: 100130) Forneça o PIN de Segurança correto para concluir esta operação. |
Causa: Esse erro ocorre quando você insere PIN de Segurança inválido ou expirado ao executar uma operação crítica (como a frase secreta de alteração). Ação Recomendada: Para concluir a operação, insira pin de segurança válido. Para obter o PIN, entre no portal do Azure e navegue até o PIN de Configurações de Segurança do cofre > dos Serviços >> de Recuperação. Use esse PIN para alterar a frase secreta. |
| Alterar frase secreta | Falha na operação. ID: 120002 |
Causa: Esse erro aparece quando as configurações de segurança estão habilitadas, você tenta alterar a frase secreta e está em uma versão sem suporte (versões válidas especificadas na primeira observação deste artigo). Ação Recomendada: Para alterar a frase secreta, primeiro você deve atualizar o agente de backup para a versão mínima 2.0.9052, o Servidor de Backup do Azure para a atualização mínima 1 e/ou o DPM para o DPM mínimo 2012 R2 UR12 ou DPM 2016 UR2 (links de download abaixo) e, em seguida, inserir um PIN de Segurança válido. Para obter o PIN, entre no portal do Azure e navegue até o PIN de Configurações de Segurança do cofre > dos Serviços >> de Recuperação. Use esse PIN para alterar a frase secreta. |
Suporte à imutabilidade
Quando a imutabilidade do cofre dos Serviços de Recuperação está habilitada, as operações que reduzem a retenção de backup na nuvem ou removem o backup de nuvem para fontes de dados locais são bloqueadas.
Suporte de Imutabilidade para DPM e MABS
Esse recurso tem suporte com o agente MARS versão 2.0.9250.0 e superior do DPM 2022 UR1 e MABS v4.
A tabela a seguir lista as operações não permitidas no DPM conectadas a uma recuperação imutável:
| Operação no cofre Imutável | Resultado com o DPM 2022 UR1, MABS v4 e o agente MARS mais recente. Com o DPM 2022 UR2 ou o MABS v4 UR1, você pode selecionar a opção de manter pontos de recuperação online por política ao parar a proteção ou remover uma fonte de dados de um grupo de proteção do console. |
Resultado com o DPM/MABS mais antigo e o agente MARS |
|---|---|---|
| Remover fonte de dados do grupo de proteção configurado para backup online | 81001: Os itens de backup não podem ser excluídos porque ele tem pontos de recuperação ativos e o cofre selecionado é um cofre imutável. | 130001: o Backup do Microsoft Azure encontrou um erro interno. |
| Interrompa a proteção com exclusão de dados | 81001: Os itens de backup não podem ser excluídos porque ele tem pontos de recuperação ativos e o cofre selecionado é um cofre imutável. Com o DPM 2022 UR2 ou o MABS v4 UR1, você pode selecionar a opção de manter pontos de recuperação online por política ao parar a proteção ou remover uma fonte de dados de um grupo de proteção do console. |
130001: o Backup do Microsoft Azure encontrou um erro interno. |
| Reduzir o período de retenção online | 810002: a redução da retenção durante a modificação de Política/Proteção não é permitida porque o cofre selecionado é imutável. | 130001: o Backup do Microsoft Azure encontrou um erro interno. |
| comandoRemove-DPMChildDatasource | 81001: Os itens de backup não podem ser excluídos porque ele tem pontos de recuperação ativos e o cofre selecionado é um cofre imutável. Use a nova opção -EnableOnlineRPsPruning com -KeepOnlineData para reter dados somente até a duração da política. Com o DPM 2022 UR2 ou o MABS v4 UR1, você pode selecionar a opção de manter pontos de recuperação online por política ao parar a proteção ou remover uma fonte de dados de um grupo de proteção do console. |
130001: o Backup do Microsoft Azure encontrou um erro interno. Use o sinalizador -KeepOnlineData para reter dados. |
Suporte de imutabilidade para MARS
A tabela a seguir lista as operações não permitidas para MARS quando a imutabilidade está habilitada no cofre dos Serviços de Recuperação. Outras operações, como aumentar a retenção e excluir um arquivo/pasta do backup, são permitidas.
| Operação não permitida | Resultado com o agente MARS mais recente | Resultado com o agente MARS antigo |
|---|---|---|
| Parar a proteção com a exclusão de dados para o estado do sistema | Erro 810001 O usuário está tentando excluir o item de backup ou interromper a proteção com dados de exclusão em que o item de backup tem um ponto de recuperação válido (não expirado). |
Erro 130001 O Backup do Microsoft Azure encontrou um erro interno. |
| Interrompa a proteção com exclusão de dados | Erro 810001 O usuário está tentando excluir o item de backup ou interromper a proteção com dados de exclusão em que o item de backup tem um ponto de recuperação válido (não expirado). |
Erro 130001 O Backup do Microsoft Azure encontrou um erro interno. O MARS 2.0.9262.0 e posterior fornecem a opção de interromper a proteção e manter pontos de recuperação de acordo com a política no console. |
| Reduzir o período de retenção online | Usuário tentando modificar a política ou a proteção com a redução da retenção. | 130001 O Backup do Microsoft Azure encontrou um erro interno. |
| Remove-OBPolicy com sinalizador -DeleteBackup | 810001 O usuário está tentando excluir o item de backup ou interromper a proteção com dados de exclusão em que o item de backup tem um ponto de recuperação válido (não expirado). Use o sinalizador –EnablePruning para reter backups até o período de retenção. |
130001 O Backup do Microsoft Azure encontrou um erro interno. Não use o sinalizador -DeleteBackup . O MARS 2.0.9262.0 e posterior fornecem a opção de interromper a proteção e manter pontos de recuperação de acordo com a política no console. |
Próximas etapas
- Comece a usar o cofre dos Serviços de Recuperação do Azure para habilitar esses recursos.
- Baixe o agente mais recente dos Serviços de Recuperação do Azure para ajudar a proteger computadores Windows e proteger seus dados de backup contra ataques.