對安全問題（例如惡意軟件、勒索軟件、入侵）的關(guān)注在逐漸上升。 這些安全問題可能會代價高昂（就金錢和數(shù)據(jù)來說）。 為了防止此類攻擊，Azure 備份現(xiàn)提供可保護混合備份的安全功能。 本文介紹如何通過 Azure 恢復(fù)服務(wù)代理和 Azure 備份服務(wù)器來啟用和使用這些功能。 這些功能包括：

?防護。 執(zhí)行關(guān)鍵操作（例如更改密碼）時，會添加額外的身份驗證層。 使用此驗證，確保只有具有有效 Azure 憑據(jù)的用戶才可執(zhí)行此類操作。

?警報。 執(zhí)行關(guān)鍵操作（例如刪除備份數(shù)據(jù)）時，會向訂閱管理員發(fā)送電子郵件通知。 此電子郵件可確保用戶快速收到有關(guān)此類操作的通知。

?恢復(fù)。 刪除的備份數(shù)據(jù)自刪除之日起將另外保留 14 天。 這可確保能夠在給定的時間段內(nèi)恢復(fù)數(shù)據(jù)，因此即使受到攻擊，也不會丟失數(shù)據(jù)。 此外，還保留了更多的最小恢復(fù)點，以防止數(shù)據(jù)損壞。

備注

如果使用基礎(chǔ)結(jié)構(gòu)即服務(wù) (IaaS) VM 備份，則不應(yīng)啟用安全功能。 這些功能對于 IaaS VM 備份尚不可用，因此啟用這些功能沒有任何影響。 只有使用以下項才應(yīng)啟用安全功能：

?Azure 備份代理。 最小代理版本 2.0.9052。 啟用這些功能后，應(yīng)升級到此代理版本，以執(zhí)行關(guān)鍵操作。

?Azure 備份服務(wù)器。 Azure 備份服務(wù)器 Update 1 的最低 Azure 備份代理版本為 2.0.9052。

?System Center Data Protection Manager。 Data Protection Manager 2012 R2 UR12 或 Data Protection Manager 2016 UR2 的最低 Azure 備份代理版本為 2.0.9052。

備注

這些功能僅可用于恢復(fù)服務(wù)保管庫。 默認(rèn)情況下，所有新創(chuàng)建的恢復(fù)服務(wù)保管庫均具有這些功能。 對于現(xiàn)有的恢復(fù)服務(wù)保管庫，用戶可以使用以下部分所述步驟啟用這些功能。 這些功能在啟用后，會應(yīng)用到所有注冊到保管庫的恢復(fù)服務(wù)代理計算機、Azure 備份服務(wù)器實例以及 Data Protection Manager 服務(wù)器。 啟用此設(shè)置是一次性操作，啟用這些功能后不能禁用它們。

啟用安全功能

如果創(chuàng)建恢復(fù)服務(wù)保管庫，則可使用所有安全功能。 如果使用現(xiàn)有的保管庫，則可通過以下步驟啟用安全功能：

1.使用 Azure 憑據(jù)登錄到 Azure 門戶。

2.選擇“瀏覽”，并鍵入“恢復(fù)服務(wù)”。

Azure 門戶“瀏覽”選項的屏幕截圖

此時會顯示恢復(fù)服務(wù)保管庫列表。 從此列表中，選擇一個保管庫。 此時會打開選定的保管庫儀表板。

3.從保管庫下顯示的項目列表中，單擊“設(shè)置”下的“屬性”。

恢復(fù)服務(wù)保管庫選項的屏幕截圖

4.單擊“安全設(shè)置”下的“更新”。

恢復(fù)服務(wù)保管庫屬性的屏幕截圖

更新鏈接將打開“安全設(shè)置”邊欄選項卡，其中提供功能摘要，并允許啟用它們。

5.從下拉列表“是否已配置 Azure 多重身份驗證?”中選擇一個值，確認(rèn)是否已啟用 Azure 多重身份驗證。 如果已啟用，則在登錄到 Azure 門戶時，系統(tǒng)會要求從另一設(shè)備（例如移動電話）進行身份驗證。

在備份中執(zhí)行關(guān)鍵操作時，必須輸入 Azure 門戶中提供的安全 PIN。 啟用多重身份驗證相當(dāng)于增加了一個安全層。 只有獲得授權(quán)、具有有效 Azure 憑據(jù)且通過第二臺設(shè)備進行身份驗證的用戶能夠訪問 Azure 門戶。

6.要保存安全設(shè)置，請選擇“啟用”，并單擊“保存”。 只有從上一步的“是否已配置 Azure 多重身份驗證?”列表中選擇值后，才可選擇“啟用”。

安全設(shè)置的屏幕截圖

恢復(fù)已刪除的備份數(shù)據(jù)

如果執(zhí)行停止備份并刪除備份數(shù)據(jù)操作，備份會將已刪除的備份數(shù)據(jù)另外再保留 14 天，不會立即刪除數(shù)據(jù)。 若要在 14 天的期限內(nèi)還原該數(shù)據(jù)，請根據(jù)所用軟件執(zhí)行以下步驟：

對于 Azure 恢復(fù)服務(wù)代理用戶：

1.如果發(fā)生備份的計算機仍可用，請在 Azure 恢復(fù)服務(wù)中使用將數(shù)據(jù)恢復(fù)到同一計算機功能，從所有舊的恢復(fù)點恢復(fù)。

2.如果該計算機不可用，則使用恢復(fù)到備用計算機功能，使用另一臺 Azure 恢復(fù)服務(wù)計算機獲取此數(shù)據(jù)。

對于 Azure 備份服務(wù)器用戶：

1.如果發(fā)生備份的服務(wù)器仍可用，則重新保護已刪除的數(shù)據(jù)源，并使用恢復(fù)數(shù)據(jù)功能從所有舊的恢復(fù)點恢復(fù)。

2.如果該服務(wù)器不可用，則使用從另一 Azure 備份服務(wù)器恢復(fù)數(shù)據(jù)功能，通過另一 Azure 備份服務(wù)器實例獲取此數(shù)據(jù)。

對于 Data Protection Manager 用戶：

1.如果發(fā)生備份的服務(wù)器仍可用，則重新保護已刪除的數(shù)據(jù)源，并使用恢復(fù)數(shù)據(jù)功能從所有舊的恢復(fù)點恢復(fù)。

2.如果該服務(wù)器不可用，則通過添加外部 DPM 來使用另一個 Data Protection Manager 服務(wù)器獲取此數(shù)據(jù)。

防止攻擊

已添加檢查，確保只有效用戶才可執(zhí)行各種操作。 這些檢查包括：添加額外的身份驗證層，以及為恢復(fù)目的而保持一個最小的保留期時間范圍。

執(zhí)行關(guān)鍵操作的身份驗證

在為關(guān)鍵操作添加額外身份驗證層的過程中，在執(zhí)行停止保護并刪除數(shù)據(jù)和更改密碼操作時，系統(tǒng)會提示輸入安全 PIN。

若要接收此 PIN，請執(zhí)行以下操作：

1.登錄到 Azure 門戶。

2.瀏覽到“恢復(fù)服務(wù)保管庫” > “設(shè)置” > “屬性”。

3.單擊“安全 PIN”下的“生成”。 此時會打開一個邊欄選項卡，其中包含的 PIN 將輸入到 Azure 恢復(fù)服務(wù)代理用戶界面中。 此 PIN 的有效時間僅為五分鐘，并在五分鐘后自動生成。

維持最短的保持期

為確保始終存在大量可用的有效恢復(fù)點，已添加以下檢查：

?對于日保留期，應(yīng)設(shè)置最少七天的保留期。

?對于周保留期，應(yīng)設(shè)置最少四周的保留期。

?對于月保留期，應(yīng)設(shè)置最少三個月的保留期。

?對于年保留期，應(yīng)設(shè)置最少一年的保留期。

關(guān)鍵操作的通知

通常情況下，執(zhí)行關(guān)鍵操作時，將向訂閱管理員發(fā)送包含該操作詳細(xì)信息的電子郵件通知。 可以通過 Azure 門戶為這些通知配置更多的電子郵件收件人。

此文章中提到的安全功能提供對針對性攻擊的防御機制。 更重要的是，在發(fā)生攻擊的情況下，這些功能提供恢復(fù)數(shù)據(jù)的能力。