Вопрос или проблема
Я хочу регулярно делать резервные копии ряда серверов Windows (всех виртуальных машин Azure) в хранилище резервного копирования Azure. Меня беспокоит, что если мой аккаунт Azure будет скомпрометирован, злоумышленник потенциально сможет удалить виртуальные машины, учетные записи хранилищ и хранилище резервных копий.
- Обеспечивает ли резервное копирование Azure какую-либо защиту от этого сценария?
- Если нет, какую решение вы рекомендуете? Очевидной дополнительной мерой безопасности было бы иметь отдельный аккаунт Azure для резервного копирования.
Вы можете использовать Блокировки ресурсов, чтобы защитить ресурсы от случайного / злонамеренного удаления.
Например, чтобы применить блокировку к хранилищу, вы можете использовать следующий код:
New-AzureRmResourceLock -LockName "VaultLock" -LockLevel CanNotDelete `
-ResourceGroupName MyvaultRG `
-ResourceName MyVault `
-ResourceType Microsoft.KeyVault/vaults
если вы попытаетесь удалить, вы получите следующую ошибку:
Remove-AzureRmKeyVault : ScopeLocked: Область ‘{scope}’
не может выполнить операцию удаления, потому что следующие области заблокированы: {scope}
Вам нужно выполнить команду, чтобы снять блокировку, чтобы удалить ресурс.
Remove-AzureRmResourceLock -LockName "VaultLock"
Это в сочетании с политиками RBAC может обеспечить безопасность ваших ресурсов.
Хранилища восстановлений Azure теперь позволяют вам включить мягкое удаление с опцией постоянного включения.
-
Мягкое удаление означает, что данные, удаленные вами (или злоумышленником, выдающим себя за вас), сохраняются в течение (по меньшей мере) 14 дней, и
-
установка этой опции на всегда включено означает, что вы (или злоумышленник, выдающий себя за вас) не можете отключить эту настройку.
Единственный недостаток, который я вижу, в том, что если вы хотите намеренно удалить старые резервные копии, вам придется подождать 14 дней, прежде чем они будут полностью удалены.
Таким образом, насколько я понимаю, злоумышленнику нужно будет
- удалить вашу резервную копию и
- скрыть эту информацию от вас (и вашей системы мониторинга) в течение 14 дней
чтобы успешно вызвать потерю данных с включенным мягким удалением всегда.
Ответ или решение
Защита резервного копирования Azure от злонамеренного удаления
При использовании Azure для резервного копирования Windows-серверов существует важная потребность защитить ваши данные от потенциально злонамеренных действий, особенно в случае компрометации вашей учетной записи. Давайте подробно рассмотрим, какие решения предоставляет Azure и какие дополнительные меры можно предпринять для усиления безопасности.
Защита Azure Backup от злонамеренного удаления
1. Защита с помощью Soft Delete
Azure Backup предоставляет функциональность под названием Soft Delete, которая может значительно снизить риск потери данных. Soft Delete работает следующим образом:
- Когда вы удаляете резервную копию, данные не удаляются немедленно. Вместо этого они сохраняются в режиме ожидания в течение не менее 14 дней.
- Вы можете настроить Always-On опцию, что означает, что вы или любой другой пользователь (включая злоумышленников) не сможете отключить данную функцию. Это обеспечивает дополнительный уровень защиты, поскольку кто-то, имеющий доступ к вашей учетной записи, должен будет скрывать информацию о своих действиях и маскировать это на протяжении 14 дней, прежде чем данные будут окончательно удалены.
Таким образом, с включенным Soft Delete и Always-On у злоумышленника будет значительно меньше возможностей для успешного удаления ваших резервных копий.
2. Ресурсные блокировки
Azure также предлагает возможность использования Ресурсных блокировок (Resource Locks). Эта функция позволяет предотвратить случайное или злонамеренное удаление ваших ресурсов:
- Используя PowerShell, можно создать блокировку для вашего резервного хранилища, чтобы запретить его удаление:
New-AzureRmResourceLock -LockName "VaultLock" -LockLevel CanNotDelete `
-ResourceGroupName MyvaultRG `
-ResourceName MyVault `
-ResourceType Microsoft.KeyVault/vaultsПри попытке удалить ресурс с активной блокировкой будет выдано сообщение об ошибке, что операция удаления невозможна, пока блокировка не будет снята:
Remove-AzureRmKeyVault : ScopeLocked: The scope '{scope}'
cannot perform delete operation because following scope(s) are locked: {scope}Это означает, что даже если злоумышленник получит доступ к вашей учетной записи, он не сможет удалить резервное хранилище без предварительного снятия блокировки. Существует команда для снятия блокировки:
Remove-AzureRmResourceLock -LockName "VaultLock"3. Ролевое управление доступом (RBAC)
Использование Ролевого управления доступом (RBAC) обеспечивает еще один уровень безопасности. С помощью RBAC вы можете ограничивать доступ к ресурсам, предоставляя права только тем пользователям, которым они необходимы. Например, можно настроить доступ так, чтобы только определенные роли могли управлять резервными копиями или удалять ресурсы.
Рекомендации по дополнительной безопасности
- Используйте отдельную учетную запись Azure для резервного копирования: Это может снизить риск, если основная учетная запись будет скомпрометирована.
- Регулярно проверяйте журналы аудита (Audit Log): Это поможет вам отслеживать действия, связанные с изменением и удалением ваших ресурсов, и оперативно реагировать на подозрительные действия.
- Настройте оповещения: Используйте Azure Monitor для создания оповещений о действиях, которые могут указывать на злоумышленнические попытки получения доступа к вашим ресурсам.
Заключение
Защита резервного копирования в Azure требует комплексного подхода. Функции Soft Delete и Resource Locks в сочетании с RBAC предоставляют мощный набор инструментов для защиты ваших данных от злонамеренного удаления. Применяя эти меры, вы значительно уменьшите риски и обеспечите безопасность своих резервных копий в облаке Azure.