Usuwanie nietrwałe dla usługi Azure Backup

W tym artykule opisano sposób włączania i wyłączania funkcji usuwania nietrwałego oraz trwałego usuwania danych, które są w stanie usunięcia nietrwałego.

Obawy dotyczące problemów z zabezpieczeniami takich jak złośliwe oprogramowanie, oprogramowanie wymuszające okup oraz włamania wciąż rosną. Te problemy z zabezpieczeniami mogą być kosztowne, zarówno pod względem finansowym, jak i w kwestii danych. Aby chronić przed takimi atakami, usługa Azure Backup udostępnia teraz funkcje zabezpieczeń, które ułatwiają ochronę danych kopii zapasowych nawet po usunięciu.

Jedną z takich funkcji jest usuwanie nietrwałe. W przypadku usuwania nietrwałego, nawet jeśli złośliwy aktor usunie kopię zapasową (lub dane kopii zapasowej zostaną przypadkowo usunięte), dane kopii zapasowej są przechowywane przez 14 dodatkowych dni, co pozwala na odzyskanie tego elementu kopii zapasowej bez utraty danych. Dodatkowe 14 dni przechowywania danych kopii zapasowej w stanie "usuwanie nietrwałe" nie wiąże się z żadnymi kosztami.

Ochrona przed usuwaniem nietrwałym jest dostępna dla tych usług:

• Usuwanie nietrwałe dla maszyn wirtualnych platformy Azure
• Usuwanie nietrwałe dla programu SQL Server na maszynie wirtualnej platformy Azure i usuwanie nietrwałe dla oprogramowania SAP HANA w obciążeniach maszyn wirtualnych platformy Azure

Cykl życia nietrwałego elementu kopii zapasowej

Ten wykres blokowy przedstawia różne kroki i stany elementu kopii zapasowej po włączeniu usuwania nietrwałego:

Włączanie i wyłączanie usuwania nietrwałego

Usuwanie nietrwałe jest domyślnie włączone w nowo utworzonych magazynach, aby chronić dane kopii zapasowej przed przypadkowymi lub złośliwymi usunięciami. Wyłączenie tej funkcji nie jest zalecane. Jedyną sytuacją, w której należy rozważyć wyłączenie usuwania nietrwałego, jest to, że planujesz przeniesienie chronionych elementów do nowego magazynu i nie można poczekać 14 dni przed usunięciem i ponownym włączeniem ochrony (na przykład w środowisku testowym).

Aby wyłączyć usuwanie nietrwałe w magazynie, musisz mieć rolę Współautor kopii zapasowej dla tego magazynu (musisz mieć uprawnienia do wykonywania operacji Microsoft.RecoveryServices/Vaults/backupconfig/write w magazynie). Jeśli wyłączysz tę funkcję, wszystkie przyszłe usunięcia elementów chronionych spowodują natychmiastowe usunięcie bez możliwości przywrócenia. Dane kopii zapasowej, które istnieją w stanie usunięcia nietrwałego przed wyłączeniem tej funkcji, pozostaną w stanie usunięcia nietrwałego przez okres 14 dni. Jeśli chcesz trwale je usunąć natychmiast, musisz cofnąć usunięcie i usunąć je ponownie, aby trwale je usunąć.

Należy pamiętać, że po wyłączeniu usuwania nietrwałego funkcja jest wyłączona dla wszystkich typów obciążeń. Na przykład nie można wyłączyć usuwania nietrwałego tylko dla serwerów SQL lub baz danych SAP HANA przy zachowaniu włączonej dla maszyn wirtualnych w tym samym magazynie. Możesz utworzyć oddzielne magazyny na potrzeby szczegółowej kontroli.

Napiwek

Aby otrzymywać alerty/powiadomienia, gdy użytkownik w organizacji wyłączy usuwanie nietrwałe dla magazynu, użyj alertów usługi Azure Monitor dla usługi Azure Backup. Ponieważ wyłączenie usuwania nietrwałego jest potencjalną operacją destruktywną, zalecamy użycie systemu alertów w tym scenariuszu do monitorowania wszystkich takich operacji i wykonywania akcji na wszystkich niezamierzonych operacjach.

Uwaga

• Możesz również użyć autoryzacji wielu użytkowników (MUA), aby dodać dodatkową warstwę ochrony przed wyłączeniem usuwania nietrwałego. Dowiedz się więcej.
• Usługa MUA do usuwania nietrwałego jest obecnie obsługiwana tylko w przypadku magazynów usługi Recovery Services.

Zawsze włączone usuwanie nietrwałe z rozszerzonym przechowywaniem

Usuwanie nietrwałe jest domyślnie włączone we wszystkich nowo utworzonych magazynach. Zawsze włączony stan usuwania nietrwałego jest funkcją zgody. Po włączeniu nie można go wyłączyć (nieodwracalne).

Ponadto można przedłużyć czas przechowywania usuniętych danych kopii zapasowej z zakresu od 14 do 180 dni. Domyślnie czas przechowywania jest ustawiony na 14 dni (zgodnie z podstawowym usuwaniem nietrwałym) dla magazynu i można go rozszerzyć zgodnie z potrzebami. Usuwanie nietrwałe nie kosztuje przez pierwsze 14 dni przechowywania; jednak opłata jest naliczana za okres dłuższy niż 14 dni. Dowiedz się więcej o cenach.

Wyłączanie usuwania nietrwałego

Funkcję usuwania nietrwałego można wyłączyć przy użyciu następujących obsługiwanych klientów.

Wybierz klienta:

Witryna Azure Portal

Wykonaj te kroki:

1. W witrynie Azure Portal przejdź do magazynu, a następnie przejdź do pozycji Właściwości ustawień>.
2. W okienku Właściwości wybierz pozycję Aktualizacja ustawień zabezpieczeń.
3. W okienku Ustawienia zabezpieczeń i usuwania nietrwałego wyczyść wymagane pola wyboru, aby wyłączyć usuwanie nietrwałe.

Program PowerShell

Użyj polecenia cmdlet Set-AzRecoveryServicesVaultBackupProperty.

Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable


StorageModelType       :
StorageType            :
StorageTypeState       :
EnhancedSecurityState  : Enabled
SoftDeleteFeatureState : Disabled

Ważne

Wersja Az.RecoveryServices wymagana do używania usuwania nietrwałego przy użyciu programu Azure PowerShell jest minimalna 2.2.0. Użyj Install-Module -Name Az.RecoveryServices -Force polecenia , aby pobrać najnowszą wersję.

Interfejs API REST

Aby wyłączyć funkcję usuwania nietrwałego przy użyciu interfejsu API REST, zapoznaj się z tymi krokami.

Trwałe usuwanie nietrwałych elementów kopii zapasowej

Dane kopii zapasowej w stanie usuwania nietrwałego przed wyłączeniem tej funkcji pozostają w stanie usunięcia nietrwałego. Aby trwale usunąć te elementy natychmiast, usuń je i usuń ponownie. Użyj jednego z następujących klientów, aby trwale usunąć nietrwałe dane.

Wybierz klienta:

Witryna Azure Portal

Wykonaj te kroki:

1. Wyłącz usuwanie nietrwałe.

2. W witrynie Azure Portal przejdź do obszaru Elementy kopii zapasowej magazynu>i wybierz nietrwały element usunięty.

   

3. Wybierz pozycję Cofnij usunięcie.

   

4. Zostanie wyświetlone okno. Wybierz pozycję Cofnij usunięcie.

   

5. Wybierz pozycję Usuń dane kopii zapasowej, aby trwale usunąć dane kopii zapasowej.

   

6. Wpisz nazwę elementu kopii zapasowej, aby potwierdzić usunięcie punktów odzyskiwania.

   

7. Aby usunąć dane kopii zapasowej dla elementu, wybierz pozycję Usuń. Komunikat powiadomienia informuje o tym, że dane kopii zapasowej zostały usunięte.

Program PowerShell

Wykonaj te kroki:

1. Zidentyfikuj elementy, które są w stanie usunięcia nietrwałego.

   $myVault = Get-AzRecoveryServicesVault -ResourceGroupName "yourResourceGroupName" -Name "yourVaultName"
   Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultID $myVault.ID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}
   
   Name                                     ContainerType        ContainerUniqueName                      WorkloadType         ProtectionStatus     HealthStatus         DeleteState
   ----                                     -------------        -------------------                      ------------         ----------------     ------------         -----------
   VM;iaasvmcontainerv2;selfhostrg;AppVM1    AzureVM             iaasvmcontainerv2;selfhostrg;AppVM1       AzureVM              Healthy              Passed               ToBeDeleted
   
   $myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVault.ID -Name AppVM1
   

2. Odwróć operację usuwania, która została wykonana po włączeniu usuwania nietrwałego.

   Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVault.ID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           Undelete             Completed            12/5/2019 12:47:28 PM     12/5/2019 12:47:40 PM     65311982-3755-46b5-8e53-c82ea4f0d2a2
   

3. Ponieważ usuwanie nietrwałe jest wyłączone, operacja usuwania natychmiast usuwa dane kopii zapasowej.

   Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVault.ID -Force
   
   WorkloadName     Operation            Status               StartTime                 EndTime                   JobID
   ------------     ---------            ------               ---------                 -------                   -----
   AppVM1           DeleteBackupData     Completed            12/5/2019 12:44:15 PM     12/5/2019 12:44:50 PM     0488c3c2-accc-4a91-a1e0-fba09a67d2fb
   

Interfejs API REST

Wykonaj te kroki:

1. Cofnij operacje usuwania.
2. Wyłącz funkcję usuwania nietrwałego przy użyciu interfejsu API REST.
3. Usuń kopie zapasowe przy użyciu interfejsu API REST.

Następne kroki

• Omówienie funkcji zabezpieczeń w usłudze Azure Backup
• Często zadawane pytania.