Azure Backup에 대한 변경할 수 없는 자격 증명 모음
변경이 불가능한 자격 증명 모음은 복구 지점 손실로 이어질 수 있는 작업을 차단하여 백업 데이터를 보호하는 데 도움이 될 수 있습니다. 또한 변경할 수 없는 자격 증명 모음 설정을 잠그고 WORM 스토리지를 백업에 사용하여 악의적인 행위자가 불변성을 사용하지 않도록 설정하고 백업을 삭제하는 것을 방지할 수 있습니다.
WORM 스토리지에 지원되는 시나리오
- 잠긴 상태에서 변경할 수 없는 자격 증명 모음에 대한 WORM 스토리지 사용은 현재 오스트레일리아 중부 2, 스위스 서부, 남아프리카 공화국 서부, 한국 중부, 독일 북부, 한국 남부, 스페인 중부의 Recovery Services 자격 증명 모음에 대한 GA에 있습니다.
- 잠긴 상태의 변경할 수 없는 자격 증명 모음에 대한 WORM 스토리지 사용은 Azure Virtual Machines, Azure VM의 SQL, Azure VM의 SAP HANA, Azure Backup Server, Azure Backup 에이전트, DPM 워크로드에 적용할 수 있습니다.
시작하기 전에
- 변경할 수 없는 자격 증명 모음은 모든 Azure 퍼블릭 및 미국 정부 지역에서 사용할 수 있습니다.
- 변경이 불가능한 자격 증명 모음은 Recovery Services 자격 증명 모음 및 Backup 자격 증명 모음에 대해 지원됩니다.
- 변경이 불가능한 자격 증명 모음을 사용하도록 설정하면 자격 증명 모음 및 보호된 항목에 대한 특정 작업을 수행할 수 없습니다. 제한되는 작업을 참조하세요.
- 자격 증명 모음에 불변성을 사용하도록 설정하는 것은 되돌릴 수 있는 작업입니다. 그러나 악의적인 행위자가 이를 사용하지 않도록 하는 것을 방지하기 위해 되돌릴 수 없도록 선택할 수 있습니다(사용하지 않도록 하면 악의적인 행위자가 파괴적인 작업을 수행할 수 있음). 변경이 불가능한 자격 증명 모음을 되돌릴 수 없도록 만드는 방법에 대해 알아봅니다.
- 변경이 불가능한 자격 증명 모음은 자격 증명 모음의 모든 데이터에 적용됩니다. 따라서 자격 증명 모음에서 보호되는 모든 인스턴스에는 불변성이 적용됩니다.
- 불변성은 Blob, 파일 및 디스크의 운영 백업과 같은 운영 백업에는 적용되지 않습니다.
불변성이 작동하는 방식
Azure Backup은 프로덕션 워크로드와 별도로 데이터를 저장하지만 복구 지점을 삭제할 수 있는 작업을 포함하여 백업을 관리하는 데 도움이 되는 관리 작업을 수행할 수 있습니다. 그러나 특정 시나리오에서는 악의적인 행위자가 사용하는 경우 백업 손실로 이어질 수 있는 이러한 작업을 방지하여 백업 데이터를 변경할 수 없도록 만들 수 있습니다. 자격 증명 모음의 변경이 불가능한 자격 증명 모음 설정을 사용하면 악의적인 행위자가 데이터를 삭제하여 데이터 복구 가능성에 영향을 주더라도 백업 데이터가 보호되도록 이러한 작업을 차단할 수 있습니다.
불변성을 되돌릴 수 없도록 하기
자격 증명 모음의 불변성은 필요한 경우 불변성을 사용하지 않도록(백업 데이터 삭제 허용) 할 수 있는 되돌릴 수 있는 설정입니다. 그러나 불변성의 영향에 만족한 후에는 자격 증명 모음을 잠가서 변경할 수 없는 자격 증명 모음 설정을 되돌릴 수 없게 하고 백업에 WORM 스토리지를 사용하도록 설정하여 악의적인 행위자가 비활성화할 수 없도록 하는 것이 좋습니다. 따라서 변경이 불가능한 자격 증명 모음 설정은 다음 세 가지 상태를 허용합니다.
변경이 불가능한 자격 증명 모음 설정의 상태 | 설명 |
---|---|
사용 안 함 | 자격 증명 모음에서 불변성을 사용하도록 설정하지 않았으며 작업이 차단되지 않습니다. |
Enabled | 자격 증명 모음에서 불변성을 사용하도록 설정했으며 백업 손실이 발생할 수 있는 작업을 허용하지 않습니다. 그러나 설정을 사용하지 않도록 할 수 있습니다. |
사용 설정됨 및 잠김 | 자격 증명 모음은 WORM 스토리지를 사용할 수 없으며 백업 손실이 발생할 수 있는 작업을 허용하지 않습니다. 이제 변경이 불가능한 자격 증명 모음 설정이 잠겨 있으므로 사용하지 않도록 설정할 수 없습니다. 불변성 잠금은 되돌릴 수 없으므로 잠금을 선택할 때 내용을 잘 파악하고 결정을 내려야 합니다. |
제한되는 작업
변경이 불가능한 자격 증명 모음은 자격 증명 모음에서 데이터 손실로 이어질 수 있는 다음 작업을 수행할 수 없도록 합니다.
자격 증명 모음 선택
작업 유형 | 설명 |
---|---|
데이터 삭제를 통해 보호 중지 | 보호된 항목은 해당 만료 날짜 이전에 해당 복구 지점을 삭제할 수 없습니다. 그러나 데이터를 영원히 보존하거나 만료될 때까지 인스턴스 보호를 계속 중지할 수 있습니다. |
보존 기간을 줄이기 위해 백업 정책 수정 | 백업 정책의 보존 기간을 줄이는 모든 작업은 변경이 불가능한 자격 증명 모음에서 허용되지 않습니다. 하지만 보존 기간을 늘리도록 정책을 변경할 수 있습니다. 백업 정책 일정을 변경할 수도 있습니다. 백업이 일시 중단된 항목(백업 중지)이 있는 경우 보존 증가는 적용할 수 없습니다. |
보존 기간을 줄이기 위해 백업 정책 변경 | 백업 항목과 연결된 백업 정책을 기존 정책보다 짧은 보존 기간의 다른 정책으로 바꾸려는 시도는 차단됩니다. 그러나 정책을 보존 기간이 더 긴 정책으로는 바꿀 수 있습니다. |