Zálohování cloudových a místních úloh do cloudu

  • Článek

Azure Backup kompletně chrání vaše datové prostředky v Azure prostřednictvím jednoduchého, zabezpečeného a nákladově efektivního řešení, které nevyžaduje žádnou infrastrukturu. Jde o řešení ochrany dat pro širokou škálu úloh integrované v Azure. Pomáhá chránit důležité úlohy spuštěné v cloudu a zajišťuje, aby vaše zálohy byly vždy dostupné a spravované ve velkém měřítku napříč celým aktivem zálohování.

Zamýšlená cílová skupina

Primární cílovou skupinou pro tento článek jsou správci IT a aplikace a implementátoři velkých a středních organizací, kteří se chtějí dozvědět o možnostech integrované technologie ochrany dat Azure, Azure Backup a implementovat řešení pro efektivní ochranu vašich nasazení. Článek předpokládá, že znáte základní technologie Azure, koncepty ochrany dat a zkušenosti s prací s řešením zálohování. Pokyny popsané v tomto článku vám můžou usnadnit návrh řešení zálohování v Azure pomocí zavedených vzorů a vyhnout se známým nástrahám.

Uspořádání tohoto článku

I když je snadné začít chránit infrastrukturu a aplikace v Azure, když zajistíte správné nastavení základních prostředků Azure a optimální využití, můžete zrychlit čas na hodnotu. Tento článek obsahuje stručný přehled aspektů návrhu a pokynů pro optimální konfiguraci nasazení služby Azure Backup. Prozkoumá základní komponenty (například trezor služby Recovery Services, zásady zálohování) a koncepty (například zásady správného řízení) a jejich možnosti s odkazy na podrobnou dokumentaci k produktu.

Začínáme

Strategie návrhu předplatného

Kromě jasného plánu procházení cesty přechodu na cloud musíte naplánovat návrh předplatného a strukturu účtů cloudového nasazení tak, aby odpovídaly vlastnictví, fakturaci a možnostem správy vaší organizace. Vzhledem k tomu, že se trezor vztahuje na předplatné, bude mít návrh předplatného velký vliv na návrh trezoru. Přečtěte si další informace o různých strategiích návrhu předplatného a pokynech k jejich použití.

Zdokumentujte požadavky na zálohování

Pokud chcete začít se službou Azure Backup, naplánujte si potřeby zálohování. Tady jsou některé otázky, na které byste se měli při vytváření dokonalé strategie zálohování ptát.

Jaký typ úlohy chcete chránit?

Pokud chcete navrhnout trezory, ujistěte se, že potřebujete centralizovaný nebo decentralizovaný režim provozu.

Jaká je požadovaná členitost zálohování?

Určete, jestli má být konzistentní vzhledem k aplikacím, konzistentní vzhledem k chybám nebo zálohování protokolů.

Máte nějaké požadavky na dodržování předpisů?

Ujistěte se, že potřebujete vynutit standardy zabezpečení a oddělit hranice přístupu.

Jaké je požadované RPO, RTO?

Určete frekvenci zálohování a rychlost obnovení.

Máte nějaká omezení rezidence dat?

Určete redundanci úložiště pro požadovanou odolnost dat.

Jak dlouho chcete zachovat zálohovaná data?

Rozhodněte se o době trvání uchovávání zálohovaných dat v úložišti.

Architektura

Diagram znázorňující architekturu služby Azure Backup

Úlohy

Azure Backup umožňuje ochranu dat pro různé úlohy (místní i cloudové). Jedná se o zabezpečený a spolehlivý integrovaný mechanismus ochrany dat v Azure. Může bezproblémově škálovat ochranu napříč několika úlohami bez jakýchkoli režijních nákladů na správu. Existuje také několik kanálů automatizace, které je možné povolit (prostřednictvím PowerShellu, rozhraní příkazového řádku, šablon Azure Resource Manageru a rozhraní REST API).)

  • Škálovatelné, odolné a zabezpečené úložiště: Azure Backup používá spolehlivé úložiště objektů blob s integrovanými funkcemi zabezpečení a vysoké dostupnosti. Pro zálohovaná data můžete zvolit úložiště LRS, GRS nebo RA-GRS.

  • Nativní integrace úloh: Azure Backup poskytuje nativní integraci se službami Azure Workloads (virtuální počítače, SAP HANA, SQL ve virtuálních počítačích Azure a dokonce soubory Azure), aniž byste museli spravovat automatizaci nebo infrastrukturu pro nasazování agentů, psát nové skripty nebo zřizovat úložiště.

Přečtěte si další informace o podporovaných úlohách.

Rovina dat

  • Automatizovaná správa úložiště: Azure Backup automatizuje zřizování a správu účtů úložiště pro zálohovaná data, aby se zajistilo, že se škáluje s rostoucím objemem zálohovaných dat.

  • Ochrana před škodlivým odstraněním: Chraňte před náhodnými a škodlivými pokusy o odstranění záloh prostřednictvím obnovitelného odstranění záloh. Odstraněná zálohovaná data se ukládají po dobu 14 dnů zdarma a umožňují jejich obnovení z tohoto stavu.

  • Zabezpečené šifrované zálohy: Azure Backup zajišťuje, aby se zálohovaná data ukládaly zabezpečeným způsobem a využívají integrované možnosti zabezpečení platformy Azure, jako je řízení přístupu na základě role (Azure RBAC) a šifrování Azure.

  • Správa životního cyklu dat zálohování: Azure Backup automaticky vyčistí starší zálohovaná data, aby vyhovovala zásadám uchovávání informací. Data můžete také vrstvit z provozního úložiště do úložiště trezoru.

  • Chráněné důležité operace: Autorizace více uživatelů (MUA) pro Azure Backup umožňuje přidat další vrstvu ochrany do důležitých operací v trezorech služby Recovery Services.

Rovina správy

  • Řízení přístupu: Trezory (trezory recovery services a trezory služby Backup) poskytují možnosti správy a jsou přístupné prostřednictvím webu Azure Portal, Centra zálohování, řídicích panelů trezorů, sady SDK, rozhraní příkazového řádku a dokonce rozhraní REST API. Je to také hranice řízení přístupu na základě role v Azure (Azure RBAC), které poskytuje možnost omezit přístup k zálohám jenom na autorizované Správa zálohování.

  • Správa zásad: Zásady zálohování Azure v rámci každého trezoru definují, kdy se mají zálohy aktivovat, a dobu, po kterou je potřeba zachovat. Tyto zásady můžete také spravovat a používat je napříč více položkami.

  • Monitorování a vytváření sestav: Azure Backup se integruje se službou Log Analytics a umožňuje zobrazit sestavy také prostřednictvím sešitů.

  • Správa snímků: Azure Backup vytváří snímky pro některé nativní úlohy Azure (virtuální počítače a soubory Azure), spravuje tyto snímky a umožňuje jejich rychlé obnovení. Tato možnost výrazně zkracuje dobu obnovení dat do původního úložiště.

Důležité informace o trezoru

Azure Backup k orchestraci, správě záloh a ukládání zálohovaných dat používá trezory (trezory Recovery Services a Backup). Efektivní návrh trezoru pomáhá organizacím vytvořit strukturu pro uspořádání a správu prostředků zálohování v Azure, aby podporovaly vaše obchodní priority. Při vytváření trezoru zvažte následující pokyny.

Jeden nebo více trezorů

Pokud chcete k uspořádání a správě zálohování použít jeden trezor nebo více trezorů, přečtěte si následující pokyny:

  • Ochrana prostředků napříč několika oblastmi globálně: Pokud má vaše organizace globální operace napříč Severní Amerika, Evropou a Asii a vaše prostředky se nasadí v oblastech USA – východ, Velká Británie – západ a Východní Asie. Jedním z požadavků služby Azure Backup je, že trezory musí být k dispozici ve stejné oblasti jako prostředek, který se má zálohovat. Proto byste měli vytvořit tři samostatné trezory pro každou oblast pro ochranu vašich prostředků.

  • Ochrana prostředků napříč různými organizačními jednotkami a odděleními: Vezměte v úvahu, že vaše obchodní operace jsou rozdělené do tří samostatných organizačních jednotek (BU) a každá organizační jednotka má svou vlastní sadu oddělení (pět oddělení – Finance, Prodej, HR, R & D a Marketing). Vaše obchodní potřeby mohou vyžadovat, aby každé oddělení spravovaly a přistupovaly k vlastním zálohám a obnovením; umožní jim také sledovat jednotlivé náklady na využití a náklady. V takových scénářích doporučujeme vytvořit jeden trezor pro každé oddělení v bu. Tímto způsobem budete mít ve vaší organizaci 15 trezorů.

  • Ochrana různých úloh: Pokud plánujete chránit různé typy úloh (například 150 virtuálních počítačů, 40 databází SQL a 70 databází PostgreSQL), doporučujeme vytvořit samostatné trezory pro každý typ úlohy (v tomto příkladu je potřeba vytvořit tři trezory pro každou úlohu – virtuální počítače, databáze SQL a databáze PostgreSQL). To vám pomůže oddělit hranice přístupu pro uživatele tím, že umožníte udělit přístup (pomocí řízení přístupu na základě role v Azure – Azure RBAC) příslušným zúčastněným stranám.

  • Ochrana prostředků spuštěných v několika prostředích: Pokud vaše operace vyžadují, abyste pracovali na několika prostředích, jako je produkční, neprodukční a vývojářský, doporučujeme pro každý z nich vytvořit samostatné trezory.

  • Chraňte velké číslo (1000 a více) virtuálních počítačů Azure: Zvažte, že máte 1500 virtuálních počítačů k zálohování. Azure Backup umožňuje zálohování pouze 1 000 virtuálních počítačů Azure v jednom trezoru. V tomto scénáři můžete vytvořit dva různé trezory a distribuovat prostředky jako 1 000 a 500 virtuálních počítačů do příslušných trezorů nebo v jakékoli kombinaci s ohledem na horní limit.

  • Chraňte velké množství úloh (2000 a více): Při správě záloh ve velkém měřítku budete chránit virtuální počítače Azure spolu s dalšími úlohami, jako je SQL a databáze SAP HANA spuštěná na těchto virtuálních počítačích Azure. Máte například 1300 virtuálních počítačů Azure a 2500 databází SQL k ochraně. Limity trezoru umožňují zálohovat 2000 úloh (s omezením 1 000 virtuálních počítačů) v každém trezoru. Proto můžete matematicky zálohovat 2000 úloh v jednom trezoru (1 000 virtuálních počítačů + 1000 databází SQL) a 1800 úloh v samostatném trezoru (300 virtuálních počítačů + 1500 databází SQL).

    Tento typ oddělení se ale nedoporučuje, protože nebudete moct definovat hranice přístupu a úlohy nebudou navzájem izolované. Pokud tedy chcete úlohy správně distribuovat, vytvořte čtyři trezory. Dva trezory pro zálohování virtuálních počítačů (1000 virtuálních počítačů + 300 virtuálních počítačů) a další dva trezory pro zálohování databází SQL (2000 databází + 500 databází).

  • Můžete je spravovat pomocí:

    • Centrum zálohování umožňuje mít jedno podokno pro správu všech úloh zálohování. Další informace najdete tady.
    • Pokud potřebujete konzistentní zásady napříč trezory, můžete pomocí služby Azure Policy rozšířit zásady zálohování do více trezorů. Můžete napsat vlastní definici služby Azure Policy, která používá účinek deployifnotexists k šíření zásad zálohování do více trezorů. Tuto definici služby Azure Policy můžete také přiřadit konkrétnímu oboru (předplatnému nebo skupině prostředků), aby nasadil prostředek zásady zálohování do všech trezorů služby Recovery Services v oboru přiřazení služby Azure Policy. Nastavení zásad zálohování (například četnost zálohování, uchovávání atd.) by měl uživatel zadat jako parametry v přiřazení služby Azure Policy.
  • S tím, jak vaše organizace roste, můžete chtít přesunout úlohy mezi předplatnými z následujících důvodů: sladit zásady zálohování, konsolidovat trezory, snížit kompromis při nižší redundanci a ušetřit tak náklady (přechod z GRS na LRS). Azure Backup podporuje přesun trezoru služby Recovery Services mezi předplatnými Azure nebo do jiné skupiny prostředků v rámci stejného předplatného. Další informace najdete tady.

Kontrola výchozího nastavení

Před konfigurací záloh v trezoru zkontrolujte výchozí nastavení pro typ replikace úložiště a nastavení zabezpečení, abyste splnili vaše požadavky.

  • Typ replikace úložiště je standardně nastavený na geograficky redundantní (GRS). Jakmile nakonfigurujete zálohování, možnost úprav je zakázaná. Podle těchto kroků zkontrolujte a upravte nastavení.

    • Nekritické úlohy, jako jsou neprodukční úlohy a vývoj, jsou vhodné pro replikaci úložiště LRS.

    • Zónově redundantní úložiště (ZRS) je dobrou možností úložiště pro vysokou odolnost dat spolu s rezidencí dat.

    • Geograficky redundantní úložiště (GRS) se doporučuje pro klíčové úlohy, jako jsou úlohy spuštěné v produkčním prostředí, aby se zabránilo trvalé ztrátě dat a v případě úplného regionálního výpadku nebo havárie, ve které primární oblast nejde obnovit.

  • Obnovitelné odstranění je ve výchozím nastavení povolené u nově vytvořených trezorů, aby bylo možné chránit zálohovaná data před náhodnými nebo škodlivými odstraněními. Podle těchto kroků zkontrolujte a upravte nastavení.

  • Obnovení mezi oblastmi umožňuje obnovit virtuální počítače Azure v sekundární oblasti, což je spárovaná oblast Azure. Tato možnost umožňuje provádět podrobné postupy, které splňují požadavky na audit nebo dodržování předpisů, a obnovit virtuální počítač nebo jeho disk, pokud dojde k havárii v primární oblasti. CRR je funkce výslovného souhlasu pro všechny trezory GRS. Další informace najdete tady.

  • Před dokončením návrhu trezoru si projděte matice podpory trezoru a seznamte se s faktory, které můžou ovlivnit nebo omezit vaše volby návrhu.

Důležité informace o zásadách zálohování

Služba Azure Backup Policy má dvě komponenty: Plán (kdy provést zálohování) a uchovávání (jak dlouho se má uchovávat záloha). Zásadu můžete definovat na základě typu zálohovaných dat, požadavků RTO/RPO, provozních nebo zákonných požadavků a typu úlohy (například virtuální počítač, databáze, soubory). Další informace

Při vytváření zásad zálohování zvažte následující pokyny:

Aspekty plánu

Při plánování zásad zálohování zvažte následující body:

  • V případě důležitých prostředků zkuste naplánovat nejčastěji dostupné automatizované zálohy za den, aby měly menší cíl bodu obnovení. Další informace

    Pokud potřebujete provést více záloh za den pro virtuální počítač Azure prostřednictvím rozšíření, podívejte se na alternativní řešení v další části.

  • U prostředku, který vyžaduje stejný čas spuštění plánu, frekvenci a nastavení uchovávání, je potřeba je seskupit do jedné zásady zálohování.

  • Doporučujeme zachovat naplánovaný čas spuštění zálohování během mimoprodukčního času aplikace. Například je lepší naplánovat denní automatizované zálohování během noci, přibližně 2–3 AM, a neplánovat ho v denním čase, kdy je využití prostředků vysoké.

  • Pokud chcete distribuovat provoz zálohování, doporučujeme zálohovat různé virtuální počítače v různou denní dobu. Pokud například chcete zálohovat 500 virtuálních počítačů se stejným nastavením uchovávání informací, doporučujeme vytvořit 5 různých zásad, které je přidruží k 100 virtuálním počítačům a naplánovat je několik hodin od sebe.

Důležité informace o uchovávání informací

  • Krátkodobé uchovávání může být "denně". Uchovávání pro "týdenní", "měsíční" nebo "roční" záložní body se označuje jako dlouhodobé uchovávání.

  • Dlouhodobé uchovávání:

    • Plánované (požadavky na dodržování předpisů) – pokud předem víte, že data jsou povinná roky od aktuálního času, použijte dlouhodobé uchovávání. Azure Backup podporuje zálohování bodů dlouhodobého uchovávání v archivní úrovni spolu se snímky a úrovní Standard. Přečtěte si další informace o podporovaných úlohách pro konfiguraci archivní úrovně a uchovávání informací.
    • Neplánované (požadavek na vyžádání) – pokud předem nevíte, můžete použít na vyžádání s konkrétním vlastním nastavením uchovávání informací (tato vlastní nastavení uchovávání informací nejsou ovlivněná nastavením zásad).

  • Zálohování na vyžádání s vlastním uchováváním – pokud potřebujete provést zálohování, které není naplánované prostřednictvím zásad zálohování, můžete použít zálohování na vyžádání. To může být užitečné při vytváření záloh, které neodpovídají plánovanému zálohování nebo k provádění podrobných záloh (například více záloh virtuálních počítačů IaaS za den, protože plánované zálohování umožňuje pouze jedno zálohování za den). Je důležité si uvědomit, že zásady uchovávání informací definované v plánovaných zásadách se nevztahují na zálohy na vyžádání.

Optimalizace zásad zálohování

  • S tím, jak se mění vaše obchodní požadavky, může být potřeba prodloužit nebo zkrátit dobu uchování. Když to uděláte, můžete očekávat následující:

    • Pokud je uchovávání prodlouženo, stávající body obnovení se označí a uchovávají v souladu s novou zásadou.
    • Pokud se doba uchovávání sníží, body obnovení se označí k vyřazení v další úloze čištění a následně se odstraní.
    • Nejnovější pravidla uchovávání informací platí pro všechny body uchovávání (s výjimkou bodů uchovávání na vyžádání). Takže pokud je doba uchovávání prodloužena (například na 100 dnů), pak po vytvoření zálohy následuje snížení uchovávání informací (například z 100 na sedm dnů), budou všechna zálohovaná data zachována podle poslední zadané doby uchovávání (to znamená 7 dnů).

  • Azure Backup nabízí flexibilitu při zastavení ochrany a správy záloh:

    • Zastavte ochranu a zachovejte zálohovaná data. Pokud vyřazujete nebo vyřazujete zdroj dat z provozu (virtuální počítač, aplikace), ale potřebujete uchovávat data pro účely auditu nebo dodržování předpisů, můžete pomocí této možnosti zastavit ochranu zdroje dat všechny budoucí úlohy zálohování a zachovat zálohované body obnovení. Pak můžete obnovit nebo obnovit ochranu virtuálních počítačů.

    • Zastavte ochranu a odstraňte zálohovaná data. Tato možnost zastaví všechny budoucí úlohy zálohování v ochraně virtuálního počítače a odstraní všechny body obnovení. Virtuální počítač nebudete moct obnovit ani použít možnost Obnovení zálohování.

    • Pokud obnovíte ochranu (u zdroje dat zastaveného se zachováním dat), použijí se pravidla uchovávání informací. Všechny body obnovení, jejichž platnost vypršela, budou odebrány (v naplánovaném čase).

  • Před dokončením návrhu zásad je důležité vědět o následujících faktorech, které můžou ovlivnit vaše volby návrhu.

    • Zásady zálohování jsou vymezeny na trezor.
    • Počet položek na zásadu je omezený (například 100 virtuálních počítačů). Pokud chcete škálovat, můžete vytvořit duplicitní zásady se stejnými nebo různými plány.
    • Nemůžete selektivně odstranit konkrétní body obnovení.
    • Naplánované zálohování nemůžete úplně zakázat a zachovat zdroj dat v chráněném stavu. Nejméně časté zálohování, které můžete nakonfigurovat se zásadami, je mít týdenní naplánované zálohování. Alternativou je zastavení ochrany se zachováním dat a povolení ochrany při každém zálohování, provedení zálohování na vyžádání a vypnutí ochrany, ale zachování zálohovaných dat. Další informace najdete tady.

Bezpečnostní aspekty

Azure Backup vám pomůže chránit zálohovaná data a splňovat požadavky na zabezpečení vaší firmy, poskytuje důvěrnost, integritu a záruky dostupnosti před úmyslnými útoky a zneužitím cenných dat a systémů. Zvažte následující pokyny zabezpečení pro vaše řešení Azure Backup:

Ověřování a autorizace pomocí řízení přístupu na základě role v Azure (Azure RBAC)

  • Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje jemně odstupňovanou správu přístupu, oddělení povinností v rámci vašeho týmu a udělení přístupu pouze uživatelům potřebným k provádění jejich úloh. Další informace najdete tady.

  • Pokud máte více úloh pro zálohování (jako jsou virtuální počítače Azure, databáze SQL a databáze PostgreSQL) a máte několik zúčastněných stran, které tyto zálohy spravují, je důležité oddělit jejich povinnosti, aby uživatel měli přístup jenom k těmto prostředkům, za které zodpovídají. Řízení přístupu na základě role v Azure (Azure RBAC) umožňuje podrobnou správu přístupu, oddělení povinností v rámci vašeho týmu a udělení pouze typů přístupu uživatelům nezbytným k provádění jejich úloh. Další informace

  • Povinnosti můžete oddělit také poskytnutím minimálního požadovaného přístupu k provedení konkrétního úkolu. Například osoba odpovědná za monitorování úloh by neměla mít přístup k úpravě zásad zálohování nebo odstranění zálohovaných položek. Azure Backup poskytuje tři předdefinované role pro řízení operací správy zálohování: přispěvatelé zálohování, operátoři a čtenáři. Další informace najdete zde. Informace o minimální roli Azure vyžadované pro každou operaci zálohování pro virtuální počítače Azure, databáze SQL/SAP HANA a sdílenou složku Azure najdete v této příručce.

  • Řízení přístupu na základě role v Azure (Azure RBAC) také poskytuje flexibilitu při vytváření vlastních rolí na základě vašich individuálních požadavků. Pokud si nejste jisti typy rolí doporučených pro konkrétní operaci, můžete využít předdefinované role poskytované řízením přístupu na základě role v Azure (Azure RBAC) a začít.

    Následující diagram vysvětluje, jak různé předdefinované role Azure fungují:

    Diagram vysvětluje, jak různé předdefinované role Azure fungují.

    • Ve výše uvedeném diagramu jsou User2 a User3 čtenáři služby Backup. Proto mají oprávnění pouze monitorovat zálohy a zobrazit služby zálohování.

    • Z hlediska rozsahu přístupu,

      • Uživatel 2 má přístup pouze k prostředkům předplatného1 a Uživatel3 má přístup pouze k prostředkům předplatného2.
      • User4 je operátor zálohování. Má oprávnění k povolení zálohování, aktivaci zálohování na vyžádání, obnovení triggerů spolu s možnostmi čtenáře zálohování. V tomto scénáři je ale jeho rozsah omezen pouze na předplatné 2.
      • Uživatel1 je přispěvatel zálohování. Má oprávnění vytvářet trezory, vytvářet, upravovat nebo odstraňovat zásady zálohování a zastavovat zálohy spolu s možnostmi operátora zálohování. V tomto scénáři je ale jeho rozsah omezen pouze na předplatné 1.

  • Účty úložiště používané trezory služby Recovery Services jsou izolované a uživatelé k žádným škodlivým účelům nemají přístup. Přístup je povolený jenom prostřednictvím operací správy služby Azure Backup, jako je obnovení.

Šifrování přenášených a neaktivních uložených dat

Šifrování chrání vaše data a pomáhá splnit závazky organizace týkající se zabezpečení a dodržování předpisů.

  • V Rámci Azure jsou přenášená data mezi úložištěm Azure a trezorem chráněná protokolem HTTPS. Tato data zůstávají v síti Azure.

  • Zálohovaná data se automaticky šifrují pomocí klíčů spravovaných Microsoftem. Alternativně můžete použít vlastní klíče, označované také jako klíče spravované zákazníkem. Navíc při použití šifrování CMK pro zálohování neúčtují další náklady. Použití služby Azure Key Vault, ve kterém je váš klíč uložený, se ale účtují náklady, což jsou přiměřené náklady na zajištění vyššího zabezpečení dat.

  • Azure Backup podporuje zálohování a obnovení virtuálních počítačů Azure, které mají svoje disky s operačním systémem a daty šifrované pomocí služby Azure Disk Encryption (ADE). Další informace

Ochrana zálohovaných dat před neúmyslným odstraněním pomocí obnovitelného odstranění

Můžete narazit na scénáře, ve kterých máte důležitá zálohovaná data v trezoru a která se omylem nebo omylem odstraní. Kromě toho může objekt actor se zlými úmysly odstranit vaše produkční zálohované položky. Často je nákladné a časově náročné tyto prostředky znovu sestavit a dokonce způsobit zásadní ztrátu dat. Azure Backup poskytuje ochranu před náhodným a škodlivým odstraněním pomocí funkce obnovitelného odstranění tím, že vám umožní obnovit tyto prostředky po jejich odstranění.

Pokud se při obnovitelném odstranění odstraní záloha (virtuální počítač, databáze SQL Serveru, sdílená složka Azure, databáze SAP HANA), zachovají se zálohovaná data po dobu 14 dnů, což umožňuje obnovení této zálohované položky bez ztráty dat. Za dalších 14 dnů uchovávání zálohovaných dat ve stavu obnovitelného odstranění se neúčtují žádné náklady. Další informace

Autorizace více uživatelů (MUA)

Jak byste chránili svá data, pokud správce zneužuje váš systém?

Každý správce, který má privilegovaný přístup k vašim zálohovaným datům, může způsobit nenapravitelné poškození systému. Podvodný správce může odstranit všechna důležitá obchodní data nebo dokonce vypnout všechna bezpečnostní opatření, která můžou opustit váš systém ohrožený kybernetickými útoky.

Azure Backup poskytuje funkci autorizace více uživatelů (MUA), která vás chrání před těmito podvodnými útoky správce. Autorizace více uživatelů pomáhá chránit před neautorovaným správcem provádějícím destruktivní operace (tj. zakázáním obnovitelného odstranění), a to tím, že zajišťuje, aby se všechny privilegované/destruktivní operace prováděly až po schválení správcem zabezpečení.

Ochrana před ransomwarem

  • Přímý přístup k datům Služby Azure Backup, která se šifrují škodlivým aktérem, se vyloučí, protože všechny operace se zálohovanými daty je možné provádět pouze prostřednictvím trezoru služby Recovery Services nebo trezoru služby Backup, které je možné zabezpečit řízením přístupu na základě role (Azure RBAC) a MUA v Azure.

  • Povolením obnovitelného odstranění u zálohovaných dat (která jsou ve výchozím nastavení povolená) budou obsahovat odstraněná data po dobu 14 dnů (bez poplatků). Zakázání obnovitelného odstranění je možné chránit pomocí MUA.

  • Používejte delší uchovávání (týdny, měsíce, roky), abyste zajistili předčasné vypršení platnosti čistých záloh (nešifrovaných ransomwarem) a existují strategie pro včasné zjišťování a zmírnění těchto útoků na zdrojová data.

Monitorování a výstrahy podezřelých aktivit

Může nastat situace, kdy se někdo pokusí narušit váš systém a zlými úmysly vypnout bezpečnostní mechanismy, jako je zakázání obnovitelného odstranění nebo pokus o provedení destruktivních operací, jako je odstranění prostředků zálohování.

Azure Backup poskytuje zabezpečení proti takovým incidentům odesláním kritických upozornění přes upřednostňovaný kanál oznámení (e-mail, ITSM, Webhook, runbook a sp pn) vytvořením pravidla akce nad výstrahou. Další informace

Funkce zabezpečení, které vám pomůžou chránit hybridní zálohy

Služba Azure Backup používá agenta Mars (Microsoft Azure Recovery Services) k zálohování a obnovení souborů, složek a stavu svazku nebo systému z místního počítače do Azure. Mars teď poskytuje funkce zabezpečení: přístupové heslo, které se má šifrovat před nahráním a dešifrováním po stažení ze služby Azure Backup, odstraněná zálohovaná data se uchovávají po dobu dalších 14 dnů od data odstranění a kritickou operaci (např. změnu přístupového hesla) můžou provádět jenom uživatelé, kteří mají platné přihlašovací údaje Azure. Další informace najdete tady.

Důležité informace z hlediska využívání sítě

Azure Backup vyžaduje přesun dat z vaší úlohy do trezoru služby Recovery Services. Azure Backup nabízí několik možností, jak chránit zálohovaná data před neúmyslným zveřejněním (například útokem typu man-in-the-middle na síť). Zvažte následující pokyny:

Připojení k internetu

  • Zálohování virtuálních počítačů Azure: Veškerá požadovaná komunikace a přenos dat mezi úložištěm a službou Azure Backup probíhá v síti Azure bez nutnosti přístupu k virtuální síti. Proto zálohování virtuálních počítačů Azure umístěných v zabezpečených sítích nevyžaduje povolení přístupu k žádným IP adresám nebo plně kvalifikovaným názvům domén.

  • Databáze SAP HANA na virtuálním počítači Azure, databáze SQL Serveru na virtuálním počítači Azure: Vyžaduje připojení ke službě Azure Backup, Azure Storage a Microsoft Entra ID. Toho lze dosáhnout pomocí privátních koncových bodů nebo povolením přístupu k požadovaným veřejným IP adresám nebo plně kvalifikovaným názvům domén. Nepovolení správného připojení k požadovaným službám Azure může vést k selhání operací, jako je zjišťování databází, konfigurace zálohování, provádění záloh a obnovení dat. Kompletní doprovodné materiály k síti při používání značek NSG, brány Azure Firewall a proxy protokolu HTTP najdete v těchto článcích o SQL a SAP HANA .

  • Hybridní: Agent MARS (Microsoft Azure Recovery Services) vyžaduje přístup k síti pro všechny důležité operace – instalace, konfigurace, zálohování a obnovení. Agent MARS se může připojit ke službě Azure Backup přes Azure ExpressRoute pomocí veřejného partnerského vztahu (k dispozici pro staré okruhy) a partnerského vztahu Microsoftu pomocí privátních koncových bodů nebo přes proxy server nebo bránu firewall s příslušnými řízeními přístupu.

Privátní koncové body pro zabezpečený přístup

Při ochraně důležitých dat pomocí služby Azure Backup byste nechtěli, aby vaše prostředky byly přístupné z veřejného internetu. Zvlášť pokud jste banka nebo finanční instituce, měli byste přísné požadavky na dodržování předpisů a zabezpečení, které chrání vaše data HBI (High Business Impact). I ve zdravotnictví existují striktní pravidla dodržování předpisů.

Ke splnění všech těchto potřeb použijte privátní koncový bod Azure, což je síťové rozhraní, které vás soukromě a bezpečně připojuje ke službě využívající Azure Private Link. Doporučujeme používat privátní koncové body pro zabezpečené zálohování a obnovení, aniž byste museli přidávat do seznamu povolených IP adres a plně kvalifikovaných názvů domén pro Službu Azure Backup nebo Azure Storage z vašich virtuálních sítí.

Přečtěte si další informace o vytváření a používání privátních koncových bodů pro Službu Azure Backup ve virtuálních sítích.

  • Když povolíte privátní koncové body pro trezor, použijí se jenom k zálohování a obnovení úloh SQL a SAP HANA na virtuálním počítači Azure, agentovi MARS, zálohách DPM/MABS. Trezor můžete použít i pro zálohování jiných úloh (nebudou ale vyžadovat privátní koncové body). Kromě zálohování úloh SQL a SAP HANA se k obnovení souborů v případě zálohování virtuálních počítačů Azure používají také privátní koncové body pomocí agenta MARS a serveru DPM/MABS. Další informace najdete tady.

  • ID Microsoft Entra v současné době nepodporuje privátní koncové body. Ip adresy a plně kvalifikované názvy domén vyžadované pro ID Microsoft Entra proto musí být při zálohování databází ve virtuálních počítačích Azure a zálohování pomocí agenta MARS povolené odchozí přístup z zabezpečené sítě. Můžete také použít značky NSG a značky služby Azure Firewall pro povolení přístupu k ID Microsoft Entra podle potřeby. Další informace o požadavcích najdete tady.

Požadavky na zásady správného řízení

Zásady správného řízení v Azure se primárně implementuje se službou Azure Policy a Azure Cost Management. Azure Policy umožňuje vytvářet, přiřazovat a spravovat definice zásad pro vynucení pravidel pro vaše prostředky. Tato funkce udržuje tyto prostředky v souladu s vašimi firemními standardy. Azure Cost Management umožňuje sledovat využití cloudu a výdaje za prostředky Azure a další poskytovatele cloudu. Také následující nástroje, jako je cenová kalkulačka Azure a Azure Advisor , hrají důležitou roli v procesu správy nákladů.

Automatická konfigurace nově zřízené infrastruktury zálohování pomocí služby Azure Policy ve velkém měřítku

  • Kdykoli se zřídí nová infrastruktura a vytvoří se nové virtuální počítače jako správce zálohování, musíte zajistit jejich ochranu. Zálohování pro jeden nebo dva virtuální počítače můžete snadno nakonfigurovat. Stává se ale složitým, když potřebujete nakonfigurovat stovky nebo dokonce tisíce virtuálních počítačů ve velkém měřítku. Pro zjednodušení procesu konfigurace záloh vám Azure Backup poskytuje sadu předdefinovaných zásad Azure, které řídí vaše zálohovací aktiva.

  • Automatické povolení zálohování na virtuálních počítačích pomocí zásad (model týmu centrálního zálohování):: Pokud má vaše organizace centrální záložní tým, který spravuje zálohy napříč týmy aplikací, můžete pomocí této zásady nakonfigurovat zálohování do existujícího centrálního trezoru služby Recovery Services ve stejném předplatném a umístění jako virtuální počítače. Můžete zahrnout nebo vyloučit virtuální počítače, které obsahují určitou značku z oboru zásad. Další informace.

  • Automatické povolení zálohování na virtuálních počítačích pomocí zásad (kde zálohování vlastní týmy aplikací):: Pokud uspořádáte aplikace ve vyhrazených skupinách prostředků a chcete je zálohovat stejným trezorem, použijte tuto zásadu k automatické správě této akce. Můžete zahrnout nebo vyloučit virtuální počítače, které obsahují určitou značku z oboru zásad. Další informace.

  • Zásady monitorování: Pokud chcete vygenerovat sestavy zálohování pro vaše prostředky, povolte při vytváření nového trezoru nastavení diagnostiky. Často může být ruční přidání nastavení diagnostiky pro každý trezor těžkopádným úkolem. Můžete tedy využít předdefinované zásady Azure, které nakonfigurují nastavení diagnostiky ve velkém měřítku pro všechny trezory v každém předplatném nebo skupině prostředků s log Analytics jako cílem.

  • Zásady jen pro audit: Azure Backup také poskytuje zásady jen pro audit, které identifikují virtuální počítače bez konfigurace zálohování.

Důležité informace o nákladech služby Azure Backup

Služba Azure Backup nabízí flexibilitu efektivní správy nákladů; splnit také obchodní požadavek BCDR (provozní kontinuita a zotavení po havárii). Zvažte následující pokyny:

  • Pomocí cenové kalkulačky můžete vyhodnotit a optimalizovat náklady úpravou různých pák. Další informace

  • Optimalizace zásad zálohování

    • Optimalizujte nastavení plánu a uchovávání na základě archetypů úloh (například kritické, nekritické).
    • Optimalizujte nastavení uchovávání informací pro okamžité obnovení.
    • Při provádění podporovaných typů zálohování (úplných, přírůstkových, protokolů, rozdílových) úloh ve službě Azure Backup zvolte správný typ zálohování, který splňuje požadavky.

  • Snížení nákladů na úložiště zálohování pomocí selektivních záložních disků: Funkce vyloučení disku poskytuje efektivní a nákladově efektivní volbu pro selektivní zálohování důležitých dat. Pokud například nechcete zálohovat všechny disky připojené k virtuálnímu počítači, můžete zálohovat jenom jeden disk. To je užitečné také v případě, že máte více řešení zálohování. Pokud například chcete zálohovat databáze nebo data pomocí řešení zálohování úloh (databáze SQL Serveru v zálohování virtuálních počítačů Azure), použijte pro vybrané disky zálohování na úrovni virtuálního počítače Azure.

  • Urychlíte obnovení a minimalizujete RTO pomocí funkce Okamžité obnovení: Azure Backup pořídí snímky virtuálních počítačů Azure a uloží je spolu s disky, aby se zvýšilo vytváření bodů obnovení a urychlilo operace obnovení. To se nazývá Okamžité obnovení. Tato funkce umožňuje operaci obnovení z těchto snímků snížením doby obnovení. Zkracuje dobu potřebnou k transformaci a kopírování dat zpět z trezoru. Proto se za snímky pořízené během tohoto období účtují náklady na úložiště. Přečtěte si další informace o možnostech okamžitého obnovení služby Azure Backup.

  • Zvolte správný typ replikace: Ve výchozím nastavení je typ replikace úložiště služby Azure Backup nastavený na geograficky redundantní (GRS). Tuto možnost nelze po zahájení ochrany položek změnit. Geograficky redundantní úložiště (GRS) poskytuje vyšší úroveň odolnosti dat než místně redundantní úložiště (LRS), umožňuje výslovný souhlas používat obnovení mezi oblastmi a další náklady. Projděte si kompromisy mezi nižšími náklady a vyšší odolností dat a zvolte nejlepší možnost pro váš scénář. Další informace

  • Použití archivní úrovně pro dlouhodobé uchovávání (LTR) a úspora nákladů: Zvažte scénář, ve kterém máte starší zálohovaná data, ke kterým přistupujete zřídka, ale kvůli dodržování předpisů je potřeba je uchovávat po dlouhou dobu (například 99 let). Ukládání takových obrovských dat na úrovni Standard je nákladné a není ekonomické. Kvůli optimalizaci nákladů na úložiště vám Azure Backup poskytuje archivní úroveň, což je úroveň přístupu, která je speciálně určená pro dlouhodobé uchovávání dat záloh.

  • Pokud chráníte úlohy spuštěné uvnitř virtuálního počítače i samotného virtuálního počítače, ujistěte se, že je potřeba tato duální ochrana.

Důležité informace o monitorování a upozorňování

Jako zálohovací uživatel nebo správce byste měli být schopni monitorovat všechna řešení zálohování a dostávat oznámení o důležitých scénářích. Tato část podrobně popisuje možnosti monitorování a oznámení poskytované službou Azure Backup.

Monitor

  • Azure Backup poskytuje integrované monitorování úloh pro operace, jako je konfigurace zálohování, zálohování, obnovení, odstranění zálohování atd. Toto je vymezeno na trezor a je ideální pro monitorování jednoho trezoru. Další informace najdete tady.

  • Pokud potřebujete monitorovat provozní aktivity ve velkém měřítku, Průzkumník služby Backup poskytuje agregované zobrazení celého majetku zálohování, které umožňuje podrobnou analýzu podrobností a řešení potíží. Jedná se o integrovaný sešit služby Azure Monitor, který poskytuje jedno centrální umístění, které vám pomůže monitorovat provozní aktivity v rámci celého majetku zálohování v Azure, zahrnující tenanty, umístění, předplatná, skupiny prostředků a trezory. Další informace najdete tady.

    • Použijte ho k identifikaci prostředků, které nejsou nakonfigurované pro zálohování, a ujistěte se, že jste nikdy nezmeškali ochranu důležitých dat ve vašich rostoucích aktivech.
    • Řídicí panel poskytuje provozní aktivity za posledních sedm dnů (maximum). Pokud potřebujete tato data zachovat, můžete je exportovat jako excelový soubor a zachovat je.
    • Pokud jste uživatel Služby Azure Lighthouse, můžete zobrazit informace napříč více tenanty a povolit monitorování bez hranic.

  • Pokud potřebujete zachovat a zobrazit provozní aktivity pro dlouhodobé účely, použijte sestavy. Běžným požadavkem pro správce zálohování je získání přehledů o zálohách na základě dat, která přesahují delší dobu. Mezi případy použití takového řešení patří:

    • Přidělování a prognózování spotřebovaného cloudového úložiště
    • Auditování záloh a obnovení
    • Identifikace klíčových trendů na různých úrovních členitosti

  • Navíc

    • Data (například úlohy, zásady atd.) můžete odesílat do pracovního prostoru služby Log Analytics . To umožní funkcím protokolů služby Azure Monitor povolit korelaci dat s dalšími daty monitorování shromážděnými službou Azure Monitor, konsolidovat položky protokolu z několika předplatných a tenantů Azure do jednoho umístění pro analýzu společně, používat dotazy protokolu k provádění komplexní analýzy a získání podrobných přehledů o položkách protokolu. Další informace najdete tady.
    • Data můžete posílat do centra událostí Azure a odesílat položky mimo Azure, například do systému SIEM (Security Information and Event Management) nebo do jiného řešení log Analytics. Další informace najdete tady.
    • Data můžete odeslat do účtu Azure Storage, pokud chcete uchovávat data protokolů déle než 90 dnů pro účely auditu, statické analýzy nebo zálohování. Pokud potřebujete uchovávat události jenom po dobu 90 dnů nebo méně, nemusíte nastavovat archivy pro účet úložiště, protože události protokolu aktivit se uchovávají na platformě Azure po dobu 90 dnů. Další informace.

Výstrahy

Ve scénáři, kdy úloha zálohování nebo obnovení selhala kvůli neznámému problému. Pokud chcete technikovi přiřadit ladění, měli byste být upozorněni na selhání co nejdříve. Může také dojít ke scénáři, kdy někdo zlými úmysly provádí destruktivní operaci, jako je odstranění zálohovaných položek nebo vypnutí obnovitelného odstranění, a vy byste pro takový incident vyžadovali upozornění.

Takové kritické výstrahy můžete nakonfigurovat a směrovat je do libovolného upřednostňovaného kanálu oznámení (e-mail, ITSM, webhook, runbook atd.). Azure Backup se integruje s několika službami Azure, aby splňovaly různé požadavky na upozorňování a oznámení:

  • Protokoly služby Azure Monitor (Log Analytics):: Trezory můžete nakonfigurovat tak, aby odesílaly data do pracovního prostoru služby Log Analytics, zapisovaly vlastní dotazy do pracovního prostoru a na základě výstupu dotazu konfigurovaly výstrahy, které se mají vygenerovat. Výsledky dotazu můžete zobrazit v tabulkách a grafech; exportujte je také do Power BI nebo Grafany. (Log Analytics je také klíčovou součástí funkce generování sestav a auditování popsané v dalších částech).

  • Upozornění služby Azure Monitor: Pro určité výchozí scénáře, jako je selhání zálohování, selhání obnovení, odstranění zálohovaných dat atd., Azure Backup ve výchozím nastavení odesílá výstrahy, které se zobrazí pomocí služby Azure Monitor, aniž by uživatel potřeboval nastavit pracovní prostor služby Log Analytics.

  • Azure Backup poskytuje integrovaný mechanismus upozornění prostřednictvím e-mailu pro selhání, upozornění a kritické operace. Můžete zadat jednotlivé e-mailové adresy nebo distribuční seznamy, které mají být při vygenerování výstrahy upozorněny. Můžete také zvolit, jestli chcete dostávat oznámení o jednotlivých výstrahách, nebo je seskupit do hodinového přehledu a pak dostávat oznámení.

    • Tyto výstrahy jsou definovány službou a poskytují podporu pro omezené scénáře – selhání zálohování/obnovení, zastavení ochrany se zachováním dat nebo zastavením ochrany s odstraněním dat atd. Další informace najdete tady.
    • Pokud se provede destruktivní operace, jako je zastavení ochrany s daty odstranění, vyvolá se upozornění a pošle se e-mail vlastníkům předplatného, správcům a spolusprávců, i když nejsou pro trezor služby Recovery Services nakonfigurovaná oznámení.
    • Některé úlohy můžou generovat vysokou frekvenci selhání (například SQL Server každých 15 minut). Aby se zabránilo zahlcení upozorněními vyvolanými pro každý výskyt selhání, jsou výstrahy sloučeny. Další informace najdete tady.
    • Předdefinovaná upozornění se nedají přizpůsobit a jsou omezená na e-maily definované na webu Azure Portal.

  • Pokud potřebujete vytvořit vlastní upozornění (například výstrahy úspěšných úloh), použijte Log Analytics. Ve službě Azure Monitor můžete vytvořit vlastní upozornění v pracovním prostoru služby Log Analytics. Hybridní úlohy (DPM/MABS) můžou také odesílat data do la a používat LA k poskytování běžných upozornění napříč úlohami podporovanými službou Azure Backup.

  • Oznámení můžete dostávat také prostřednictvím integrovaných protokolů aktivit trezoru služby Recovery Services. Podporuje ale omezené scénáře a není vhodný pro operace, jako je plánované zálohování, které je v souladu s protokoly prostředků lépe než s protokoly aktivit. Další informace o těchtoomezeních

Automatické opakování neúspěšných úloh zálohování

Mnohé chyby selhání nebo scénáře výpadku jsou přechodné a můžete je napravit nastavením správných oprávnění řízení přístupu na základě role v Azure (Azure RBAC) nebo opětovným spuštěním úlohy zálohování/obnovení. Vzhledem k tomu, že řešení takových selhání je jednoduché, nemusíte investovat čas čekání na ruční aktivaci úlohy technikem nebo přiřazení příslušného oprávnění. Proto chytřejší způsob, jak tento scénář zpracovat, je automatizovat opakování neúspěšných úloh. Tím se velmi minimalizuje doba potřebná k zotavení po selhání. Toho dosáhnete načtením relevantních zálohovaných dat přes Azure Resource Graph (ARG) a jejich kombinováním s opravným postupem PowerShellu nebo rozhraní příkazového řádku.

V následujícím videu se dozvíte, jak znovu aktivovat zálohování pro všechny neúspěšné úlohy (mezi trezory, předplatnými, tenanty) pomocí ARG a PowerShellu.

Směrování upozornění do upřednostňovaného kanálu oznámení

I když je možné opravit přechodné chyby, některé trvalé chyby můžou vyžadovat podrobnou analýzu a opakování úloh nemusí být proveditelným řešením. Možná máte vlastní mechanismy monitorování nebo lístků, abyste zajistili, že se taková selhání správně sledují a opravují. Pokud chcete takové scénáře zpracovat, můžete se rozhodnout směrovat výstrahy do upřednostňovaného kanálu oznámení (e-mail, ITSM, Webhook, runbook atd.) vytvořením pravidla akce pro upozornění.

V následujícím videu se dozvíte, jak využít Azure Monitor ke konfiguraci různých mechanismů oznámení pro kritické výstrahy.

Další kroky

Přečtěte si následující články jako výchozí body pro používání služby Azure Backup: