Overzicht van beveiligingsfuncties in Azure Backup
Een van de belangrijkste stappen die u kunt nemen om uw gegevens te beveiligen, is door een betrouwbare back-upinfrastructuur te hebben. Maar het is net zo belangrijk om ervoor te zorgen dat er op een veilige manier een back-up van uw gegevens wordt gemaakt en dat uw back-ups altijd worden beveiligd. Azure Backup biedt beveiliging voor uw back-upomgeving-zowel wanneer uw gegevens in transit als at-rest zijn. In dit artikel vindt u een overzicht van de beveiligingsmogelijkheden in Azure Backup waarmee u uw back-upgegevens kunt beveiligen en aan de beveiligingsbehoeften van uw bedrijf kunt voldoen.
Beheer en beheer van identiteit en gebruikerstoegang
Opslagaccounts die door Recovery Services-kluizen worden gebruikt, zijn geïsoleerd en kunnen niet worden geopend door gebruikers voor schadelijke doeleinden. De toegang is alleen toegestaan via Azure Backup-beheerbewerkingen, zoals herstellen. Met Azure Backup kunt u de beheerde bewerkingen beheren via verfijnde toegang met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Met Azure RBAC kunt u taken scheiden binnen uw team en alleen de hoeveelheid toegang verlenen aan gebruikers die nodig zijn om hun taken uit te voeren.
Azure Backup biedt drie ingebouwde rollen voor het beheren van back-upbeheerbewerkingen:
- Inzender voor back-ups: back-ups maken en beheren, behalve het verwijderen van de Recovery Services-kluis en het verlenen van toegang tot anderen
- Back-upoperator: alles wat een inzender doet, behalve het verwijderen van back-upbeleid en het beheren van back-upbeleid
- Back-uplezer: machtigingen voor het weergeven van alle back-upbeheerbewerkingen
Meer informatie over op rollen gebaseerd toegangsbeheer van Azure voor het beheren van Azure Backup.
Azure Backup heeft verschillende beveiligingscontroles die zijn ingebouwd in de service om beveiligingsproblemen te voorkomen, te detecteren en erop te reageren. Meer informatie over beveiligingsmaatregelen voor Azure Backup.
Gegevensisolatie met Azure Backup
Met Azure Backup worden de gekluisde back-upgegevens opgeslagen in het door Microsoft beheerde Azure-abonnement en -tenant. Externe gebruikers of gasten hebben geen directe toegang tot deze back-upopslag of de inhoud, waardoor de isolatie van back-upgegevens uit de productieomgeving waar de gegevensbron zich bevindt, wordt gegarandeerd.
In Azure worden alle communicatie en gegevens die onderweg zijn veilig overgedragen met HTTPS- en TLS 1.2+-protocollen. Deze gegevens blijven aanwezig in het Azure-backbonenetwerk om betrouwbare en efficiënte gegevensoverdracht te garanderen. De back-upgegevens-at-rest worden standaard versleuteld met behulp van door Microsoft beheerde sleutels. U kunt ook uw eigen sleutels gebruiken voor versleuteling als u meer controle over de gegevens nodig hebt. Ter verbetering van de beveiliging kunt u onveranderbaarheid gebruiken, waardoor gegevens vóór de bewaarperiode niet kunnen worden gewijzigd of verwijderd. Azure Backup biedt diverse opties, zoals voorlopig verwijderen, back-up stoppen en gegevens verwijderen of gegevens bewaren als u op elk gewenst moment back-ups wilt stoppen. Als u kritieke bewerkingen wilt beveiligen, kunt u MUA (Multi-User Authorization) toevoegen waarmee extra beveiligingslaag wordt toegevoegd met behulp van een Azure-resource met de naam Azure Resource Guard.
Deze robuuste aanpak zorgt ervoor dat zelfs in een gecompromitteerde omgeving bestaande back-ups niet kunnen worden gemanipuleerd of verwijderd door onbevoegde gebruikers.
Er is geen internetverbinding vereist voor back-up van Azure-VM's
Voor back-ups van Virtuele Azure-machines is verplaatsing van gegevens van de schijf van uw virtuele machine naar de Recovery Services-kluis vereist. Alle vereiste communicatie en gegevensoverdracht vindt echter alleen plaats op het Azure-backbonenetwerk zonder dat u toegang nodig hebt tot uw virtuele netwerk. Daarom hoeft u voor back-ups van Virtuele Azure-machines die in beveiligde netwerken worden geplaatst, geen toegang tot IP-adressen of FQDN's toe te staan.
Privé-eindpunten voor Azure Backup
U kunt nu privé-eindpunten gebruiken om veilig een back-up van uw gegevens te maken vanaf servers in een virtueel netwerk naar uw Recovery Services-kluis. Het privé-eindpunt maakt gebruik van een IP-adres uit de VNET-adresruimte voor uw kluis, dus u hoeft uw virtuele netwerken niet beschikbaar te maken voor openbare IP-adressen. Privé-eindpunten kunnen worden gebruikt voor het maken van back-ups en het herstellen van uw SQL- en SAP HANA-databases die worden uitgevoerd op uw Azure-VM's. Het kan ook worden gebruikt voor uw on-premises servers met behulp van de MARS-agent.
Meer informatie over privé-eindpunten voor Azure Backup vindt u hier.
Versleuteling van gegevens
Versleuteling beschermt uw gegevens en helpt u om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Gegevensversleuteling vindt plaats in veel fasen in Azure Backup:
Binnen Azure worden gegevens die worden overgedragen tussen Azure Storage en de kluis beveiligd door HTTPS. Deze gegevens blijven aanwezig in het Azure-backbonenetwerk.
Back-upgegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels en u hoeft geen expliciete actie te ondernemen om deze in te schakelen. U kunt uw back-upgegevens ook versleutelen met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault. Dit geldt voor alle workloads waarvan een back-up wordt gemaakt in uw Recovery Services-kluis.
Azure Backup ondersteunt back-up en herstel van Virtuele Azure-machines met hun besturingssysteem/gegevensschijven die zijn versleuteld met Azure Disk Encryption (ADE) en VM's met DOOR CMK versleutelde schijven. Meer informatie over versleutelde Azure-VM's en Azure Backup.
Wanneer er een back-up wordt gemaakt van gegevens van on-premises servers met de MARS-agent, worden gegevens versleuteld met een wachtwoordzin voordat ze worden geüpload naar Azure Backup en pas ontsleuteld nadat deze zijn gedownload uit Azure Backup. Lees meer over beveiligingsfuncties om hybride back-ups te beveiligen.
Voorlopig verwijderen
Azure Backup biedt beveiligingsfuncties om de back-upgegevens te beveiligen, zelfs na verwijdering. Als u de back-up van een virtuele machine verwijdert, worden de back-upgegevens 14 dagen bewaard, zodat het back-upitem zonder gegevensverlies kan worden hersteld. De extra 14 dagen retentie van back-upgegevens met de status Voorlopig verwijderen kost geen kosten. Meer informatie over voorlopig verwijderen.
Azure Backup heeft nu ook voorlopig verwijderen verbeterd om de kans op het herstellen van gegevens na verwijdering verder te verbeteren. Meer informatie.
Onveranderbare kluizen
Onveranderbare kluis kan u helpen uw back-upgegevens te beveiligen door bewerkingen te blokkeren die kunnen leiden tot verlies van herstelpunten. Verder kunt u de onveranderbare kluisinstelling vergrendelen, zodat deze niet ongedaan kan worden gemaakt, waardoor kwaadwillende actoren onveranderbaarheid en het verwijderen van back-ups kunnen voorkomen. Meer informatie over onveranderbare kluizen.
Autorisatie voor meerdere gebruikers
Met MUA (Multi-User Authorization) voor Azure Backup kunt u een extra beveiligingslaag toevoegen aan kritieke bewerkingen in uw Recovery Services-kluizen en Backup-kluizen. Voor MUA maakt Azure Backup gebruik van een andere Azure-resource met de naam Resource Guard om ervoor te zorgen dat kritieke bewerkingen alleen worden uitgevoerd met toepasselijke autorisatie. Meer informatie over autorisatie voor meerdere gebruikers voor Azure Backup.
Verbeterde voorlopig verwijderen
Verbeterde voorlopig verwijderen biedt u de mogelijkheid om uw gegevens te herstellen, zelfs nadat deze zijn verwijderd, per ongeluk of schadelijk. Het werkt door de permanente verwijdering van gegevens met een opgegeven duur uit te stellen, zodat u deze kunt ophalen. U kunt ook altijd voorlopig verwijderen maken om te voorkomen dat deze wordt uitgeschakeld. Meer informatie over verbeterde voorlopig verwijderen voor back-up.
Bewaking en waarschuwingen van verdachte activiteiten
Azure Backup biedt ingebouwde bewakings- en waarschuwingsmogelijkheden voor het weergeven en configureren van acties voor gebeurtenissen met betrekking tot Azure Backup. Back-uprapporten fungeren als een eenmalige bestemming voor het bijhouden van gebruik, het controleren van back-ups en herstelbewerkingen en het identificeren van belangrijke trends op verschillende granulariteitsniveaus. Met behulp van de bewakings- en rapportagehulpprogramma's van Azure Backup kunt u waarschuwen voor onbevoegde, verdachte of schadelijke activiteiten zodra deze zich voordoen.
Beveiligingsfuncties voor het beveiligen van hybride back-ups
De Azure Backup-service maakt gebruik van de MARS-agent (Microsoft Azure Recovery Services) om back-ups te maken van bestanden, mappen en het volume of de systeemstatus van een on-premises computer naar Azure. MARS biedt nu beveiligingsfuncties om hybride back-ups te beveiligen. Deze functies zijn onder andere:
Er wordt een extra verificatielaag toegevoegd wanneer een kritieke bewerking, zoals het wijzigen van een wachtwoordzin, wordt uitgevoerd. Deze validatie is om ervoor te zorgen dat dergelijke bewerkingen alleen kunnen worden uitgevoerd door gebruikers die geldige Azure-referenties hebben. Meer informatie over de functies die aanvallen voorkomen.
Verwijderde back-upgegevens worden nog 14 dagen bewaard vanaf de datum van verwijdering. Dit zorgt voor de herstelbaarheid van de gegevens binnen een bepaalde periode, dus er is geen gegevensverlies, zelfs niet als er een aanval plaatsvindt. Er wordt ook een groter aantal minimale herstelpunten onderhouden om bescherming te bieden tegen beschadigde gegevens. Meer informatie over het herstellen van verwijderde back-upgegevens.
Voor gegevens waarvan een back-up wordt gemaakt met behulp van de MARS-agent (Microsoft Azure Recovery Services), wordt een wachtwoordzin gebruikt om ervoor te zorgen dat gegevens worden versleuteld voordat ze worden geüpload naar Azure Backup en pas worden ontsleuteld na het downloaden van Azure Backup. De details van de wachtwoordzin zijn alleen beschikbaar voor de gebruiker die de wachtwoordzin heeft gemaakt en de agent die ermee is geconfigureerd. Er wordt niets verzonden of gedeeld met de service. Dit zorgt voor een volledige beveiliging van uw gegevens, omdat alle gegevens die per ongeluk worden weergegeven (zoals een man-in-the-middle-aanval op het netwerk) onbruikbaar zijn zonder de wachtwoordzin en de wachtwoordzin niet via het netwerk wordt verzonden.
Beveiligingspostuur en beveiligingsniveaus
Azure Backup biedt beveiligingsfuncties op kluisniveau om back-upgegevens te beveiligen die erin zijn opgeslagen. Deze beveiligingsmaatregelen omvatten de instellingen die zijn gekoppeld aan de Azure Backup-oplossing voor de kluizen en de beveiligde gegevensbronnen in de kluizen.
Beveiligingsniveaus voor Azure Backup-kluizen worden als volgt gecategoriseerd:
Uitstekend (maximum): dit niveau vertegenwoordigt de hoogste beveiliging, die uitgebreide beveiliging garandeert. U kunt dit bereiken wanneer alle back-upgegevens worden beschermd tegen onbedoelde verwijderingen en worden beschermd tegen ransomware-aanvallen. Om dit hoge beveiligingsniveau te bereiken, moet aan de volgende voorwaarden worden voldaan:
- Onveranderbaarheid of de instelling voor de kluis voor voorlopig verwijderen moet zijn ingeschakeld en kan niet ongedaan worden gemaakt (vergrendeld/altijd ingeschakeld).
- MuA (Multi-User Authorization) moet zijn ingeschakeld voor de kluis.
Goed (voldoende): dit geeft een robuust beveiligingsniveau aan, wat zorgt voor betrouwbare gegevensbescherming. Het beschermt bestaande back-ups tegen onbedoelde verwijdering en verbetert het potentieel voor gegevensherstel. Als u dit beveiligingsniveau wilt bereiken, moet u onveranderbaarheid met een vergrendeling of voorlopig verwijderen inschakelen.
Eerlijk (minimum/gemiddeld): dit vertegenwoordigt een basisniveau van beveiliging dat geschikt is voor standaardbeveiligingsvereisten. Essentiële back-upbewerkingen profiteren van een extra beveiligingslaag. Als u minimale beveiliging wilt bereiken, moet u MUA (Multi-User Authorization) inschakelen voor de kluis.
Poor (Bad/None): Dit duidt op een tekort aan beveiligingsmaatregelen, wat minder geschikt is voor gegevensbescherming. In dit niveau zijn geen geavanceerde beschermende functies of alleen omkeerbare mogelijkheden aanwezig. De beveiliging op geen niveau biedt voornamelijk bescherming tegen onbedoelde verwijderingen.
Naleving van gestandaardiseerde beveiligingsvereisten
Om organisaties te helpen voldoen aan nationale/regionale en branchespecifieke vereisten voor het verzamelen en gebruiken van gegevens van personen, biedt Microsoft Azure & Azure Backup een uitgebreide set certificeringen en attestations. Bekijk de lijst met nalevingscertificeringen