Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Cada vez es mayor la preocupación que generan problemas de seguridad como malware, ransomware e intrusión. Estos problemas de seguridad pueden ser costosos, en términos de dinero y datos. Para protegerse contra estos ataques, Azure Backup ahora proporciona características de seguridad para ayudar a proteger las copias de seguridad híbridas. En este artículo se explica cómo habilitar y aprovechar estas características para proteger las cargas de trabajo locales mediante microsoft Azure Backup Server (MABS),Data Protection Manager (DPM) y el agente de Microsoft Azure Recovery Services (MARS). Estas características incluyen:
- Prevención. Se agrega una capa adicional de autenticación cada vez que se realiza una operación crítica, como cambiar la frase de contraseña. Esta validación se realiza para asegurarse de que dichas operaciones solo pueden realizarlas usuarios que tengan credenciales de Azure válidas.
- Alertas. Se envía una notificación por correo electrónico al administrador de la suscripción cada vez que se realiza una operación crítica, como eliminar los datos de copia de seguridad. Este correo electrónico garantiza que el usuario reciba una notificación rápidamente acerca de dichas acciones.
- Recuperación. Los datos de copia de seguridad eliminados se conservan durante 14 días a partir de la fecha de la eliminación. Esto garantiza la capacidad de recuperación de los datos en un período dado, con el fin de que no haya pérdida de datos aunque se produzca un ataque. Además, se mantiene un mayor número de puntos de recuperación mínimos para protegerse contra datos dañados.
Nota:
Habilite la autorización de varios usuarios (MUA) en el almacén de Recovery Services para agregar una capa adicional de protección a la operación crítica de deshabilitar las características de seguridad. Más información.
Requisitos mínimos de versión
Active las características de seguridad solo si está usando:
- Agente de Azure Backup: versión mínima del agente 2.0.9052. Después de habilitar estas características, actualice la versión del agente para realizar operaciones críticas.
- Azure Backup Server: versión mínima del agente de Azure Backup 2.0.9052 con la actualización 1 de Azure Backup Server.
- System Center Data Protection Manager: versión mínima del agente de Azure Backup 2.0.9052 con Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.
Nota:
Asegúrese de que no habilite las características de seguridad si usa la copia de seguridad de máquinas virtuales de infraestructura como servicio (IaaS). Actualmente, estas características no están disponibles para la copia de seguridad de máquinas virtuales de IaaS y, por tanto, habilitarlas no tendrán un impacto.
Habilitación de las características de seguridad
Si va a crear un almacén de Recovery Services, puede usar todas las características de seguridad. Si está trabajando con una bóveda existente, habilite las características de seguridad siguiendo estos pasos:
Inicie sesión en Azure Portal con sus credenciales de Azure.
Seleccione Examinar y escriba Recovery Services.
Aparece la lista de almacenes de Recovery Services. Seleccione un almacén en ella. Se abre el panel del almacén seleccionado.
De la lista de elementos que aparecen bajo la bóveda, en Configuración, seleccione Propiedades.
En Configuración de seguridad, seleccione Actualizar.
El vínculo de actualización abre el panel Configuración de seguridad , que proporciona un resumen de las características y le permite habilitarlas.
Habilite las características de seguridad y seleccione Guardar.
Recuperación de datos de copia de seguridad eliminados
Si la configuración de características de seguridad está habilitada, Azure Backup conserva los datos de copia de seguridad eliminados durante 14 días adicionales y no lo elimina inmediatamente si se realiza la operación Detener copia de seguridad con eliminación de datos de copia de seguridad . Para restaurar estos datos en el período de 14 días, siga estos pasos, en función de lo que use:
Para los usuarios del agente de Azure Recovery Services :
- Si el equipo en el que se estaban realizando copias de seguridad sigue estando disponible, vuelva a proteger los orígenes de datos eliminados y use la opción Recuperar datos en la misma máquina de Azure Recovery Services, para recuperarse de todos los puntos de recuperación antiguos.
- Si este equipo no está disponible, use Recuperar en una máquina alternativa para usar otro equipo de Azure Recovery Services para obtener estos datos.
Para los usuarios de Azure Backup Server :
- Si el servidor en el que se estaban realizando copias de seguridad sigue estando disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para recuperarse de todos los puntos de recuperación antiguos.
- Si este servidor no está disponible, use Recuperación de datos de otro servidor de Azure Backup server para usar otra instancia de Azure Backup Server para obtener estos datos.
Para los usuarios de Data Protection Manager :
- Si el servidor en el que se estaban realizando copias de seguridad sigue estando disponible, vuelva a proteger los orígenes de datos eliminados y use la característica Recuperar datos para recuperarse de todos los puntos de recuperación antiguos.
- Si este servidor no está disponible, use Agregar DPM externo para usar otro servidor de Data Protection Manager para obtener estos datos.
Prevención de ataques
Se han agregado comprobaciones para asegurarse de que los usuarios válidos son los únicos que pueden realizar varias operaciones. Esto incluye agregar una capa adicional de autenticación y mantener un intervalo de retención mínimo con fines de recuperación.
Autenticación para realizar operaciones críticas
Como parte de agregar una capa adicional de autenticación para las operaciones críticas, se le pedirá que escriba un PIN de seguridad cuando realice Stop Protection with Delete data and Change Passphrase operations for DPM, MABS and MARS (Detener protección con datos de eliminación y cambiar frase de contraseña para DPM, MABS y MARS).
Además, con mars versión 2.0.9262.0 y posteriores, las operaciones para quitar un volumen de la copia de seguridad de archivos y carpetas de MARS, agregar una nueva configuración de exclusión para un volumen existente, reducir la duración de retención y pasar a una programación de copia de seguridad menos frecuente también están protegidas con un pin de seguridad para mayor seguridad.
Nota:
Actualmente, en el caso de las siguientes versiones de DPM y MABS, se admite el PIN de seguridad para Detener la protección con eliminación de datos en el almacenamiento en línea:
- DPM 2016 UR9 o versiones posteriores
- DPM 2019 UR1 o versiones posteriores
- MABS v3 UR1 o versiones posteriores
Para recibir este PIN:
- Inicie sesión en Azure Portal.
- Vaya a Recovery Services vault>Configuración>Propiedades.
- En PIN de seguridad, seleccione Generar. Se abre un panel que contiene el PIN que se va a escribir en la interfaz de usuario del agente de Azure Recovery Services. Este PIN es válido durante solo cinco minutos y se genera automáticamente después de ese período.
Mantenimiento de un intervalo de retención mínimo
Para asegurarse de que siempre hay un número válido de puntos de recuperación disponibles, se han agregado las siguientes comprobaciones:
- Para la retención diaria, se deben realizar un mínimo de siete días de retención.
- Para la retención semanal, se deben realizar un mínimo de cuatro semanas de retención.
- Para la retención mensual, se debe realizar un mínimo de tres meses de retención.
- Para la retención anual, se debe realizar un mínimo de un año de retención.
Notificaciones para operaciones críticas
Normalmente, cuando se realiza una operación crítica, el administrador de la suscripción envía una notificación por correo electrónico con detalles sobre la operación. Puede configurar destinatarios de correo electrónico adicionales para estas notificaciones mediante Azure Portal.
Las características de seguridad mencionadas en este artículo proporcionan mecanismos de defensa contra ataques dirigidos. Lo más importante es que, si se produce un ataque, estas características le ofrecen la capacidad de recuperar los datos.
Solución de errores
| Operación | Detalles del error | Resolución |
|---|---|---|
| Cambio de directiva | No se pudo modificar la directiva de copia de seguridad. Error: no se pudo realizar la operación actual debido a un error de servicio interno [0x29834]. Vuelva a intentar la operación después de algún tiempo. Si el problema persiste, comuníquese con el servicio de soporte técnico de Microsoft. |
Causa: Este error aparece cuando la configuración de seguridad está habilitada, intenta reducir el intervalo de retención por debajo de los valores mínimos especificados anteriormente y se encuentra en una versión no admitida (las versiones admitidas se especifican en la primera nota de este artículo). Acción recomendada: En este caso, debe establecer el período de retención por encima del período de retención mínimo especificado (siete días para el diario, cuatro semanas para el semanal, tres semanas para el mensual o un año para el anual) para continuar con las actualizaciones relacionadas con la política. Opcionalmente, un enfoque preferido sería actualizar el agente de copia de seguridad, Azure Backup Server o DPM UR para aprovechar todas las actualizaciones de seguridad. |
| Cambiar frase de contraseña | El PIN de seguridad especificado es incorrecto. (Id. : 100130) Proporcione el PIN de seguridad correcto para completar esta operación. |
Causa: Este error se produce cuando se especifica un PIN de seguridad no válido o expirado mientras se realiza una operación crítica (como cambiar frase de contraseña). Acción recomendada: Para completar la operación, debe escribir un PIN de seguridad válido. Para obtener el PIN, inicie sesión en Azure Portal y desplácese hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad. Use este PIN para cambiar la frase de contraseña. |
| Cambiar frase de contraseña | No se pudo realizar la operación. Identificador: 120002 |
Causa: Este error aparece cuando la configuración de seguridad está habilitada, intenta cambiar la frase de contraseña y está en una versión no admitida (versiones válidas especificadas en la primera nota de este artículo). Acción recomendada: Para cambiar la frase de contraseña, primero debe actualizar el agente de copia de seguridad a la versión 2.0.9052 como mínimo, Azure Backup Server a la actualización 1 como mínimo y/o DPM a DPM 2012 R2 UR12 o DPM 2016 UR2 como mínimo (enlaces de descarga a continuación), luego ingrese un PIN de seguridad válido. Para obtener el PIN, inicie sesión en Azure Portal y desplácese hasta Almacén de Recovery Services > Configuración > Propiedades > Generar PIN de seguridad. Use este PIN para cambiar la frase de contraseña. |
Compatibilidad con la inmutabilidad
Cuando la inmutabilidad del almacén de Recovery Services está habilitada, se bloquean las operaciones que reducen la retención de la copia de seguridad en la nube o que eliminan la copia de seguridad en la nube para los orígenes de datos locales.
Compatibilidad con la inmutabilidad en DPM y MABS
Esta característica es compatible con la versión 2.0.9250.0 del agente de MARS y versiones posteriores de DPM 2022 UR1 y MABS v4.
En la tabla siguiente se enumeran las operaciones no permitidas en DPM conectado a una recuperación inmutable:
| Operación en un almacén inmutable | Resultado con DPM 2022 UR1, MABS v4 y el agente de MARS más reciente. Con DPM 2022 UR2 o MABS v4 UR1, puede seleccionar la opción para conservar los puntos de recuperación en línea mediante directiva al detener la protección o quitar un origen de datos de un grupo de protección de la consola. |
Resultado con DPM/MABS o un agente MARS más antiguos |
|---|---|---|
| Eliminación del origen de datos del grupo de protección configurado para la copia de seguridad en línea | 81001: No se pueden eliminar los elementos de copia de seguridad porque tienen puntos de recuperación activos y el almacén seleccionado es inmutable. | 130001: Microsoft Azure Backup encontró un error interno. |
| Detener la protección con eliminación de datos | 81001: No se pueden eliminar los elementos de copia de seguridad porque tienen puntos de recuperación activos y el almacén seleccionado es inmutable. Con DPM 2022 UR2 o MABS v4 UR1, puede seleccionar la opción para conservar los puntos de recuperación en línea mediante directiva al detener la protección o quitar un origen de datos de un grupo de protección de la consola. |
130001: Microsoft Azure Backup encontró un error interno. |
| Reducir el período de retención en línea | 810002: No se permite la reducción de la retención durante la modificación de la directiva o protección, ya que el almacén seleccionado es inmutable. | 130001: Microsoft Azure Backup encontró un error interno. |
| comandoRemove-DPMChildDatasource | 81001: No se pueden eliminar los elementos de copia de seguridad porque tienen puntos de recuperación activos y el almacén seleccionado es inmutable. Use la nueva opción -EnableOnlineRPsPruning con -KeepOnlineData para conservar los datos solo hasta la duración de la directiva. Con DPM 2022 UR2 o MABS v4 UR1, puede seleccionar la opción para conservar los puntos de recuperación en línea mediante directiva al detener la protección o quitar un origen de datos de un grupo de protección de la consola. |
130001: Microsoft Azure Backup encontró un error interno. Use la marca -KeepOnlineData para conservar los datos. |
Soporte de inmutabilidad para MARS
En la tabla siguiente se enumeran las operaciones no permitidas para MARS cuando la inmutabilidad está habilitada en el almacén de Recovery Services. Se permiten otras operaciones, como aumentar la retención y excluir un archivo o carpeta de la copia de seguridad.
| Operación no permitida | Resultado con el agente de MARS más reciente | Resultado con el agente de MARS antiguo |
|---|---|---|
| Detener la protección con la eliminación de datos sobre el estado del sistema | Error 810001 El usuario intenta eliminar el elemento de copia de seguridad o detener la protección con la eliminación de datos donde el elemento de copia de seguridad tiene un punto de recuperación válido (no expirado). |
Error 130001 Microsoft Azure Backup encontró un error interno. |
| Detener la protección con eliminación de datos | Error 810001 El usuario intenta eliminar el elemento de copia de seguridad o detener la protección con la eliminación de datos donde el elemento de copia de seguridad tiene un punto de recuperación válido (no expirado). |
Error 130001 Microsoft Azure Backup encontró un error interno. MARS 2.0.9262.0 y versiones posteriores proporcionan la opción de detener la protección y conservar los puntos de recuperación según la directiva de la consola. |
| Reducir el período de retención en línea | El usuario intenta modificar la directiva o la protección con la reducción de la retención. | 130001 Microsoft Azure Backup encontró un error interno. |
| Remove-OBPolicy con la marca -DeleteBackup | 810001 El usuario intenta eliminar el elemento de copia de seguridad o detener la protección con la eliminación de datos donde el elemento de copia de seguridad tiene un punto de recuperación válido (no expirado). Use el indicador –EnablePruning para conservar las copias de seguridad hasta su período de retención. |
130001 Microsoft Azure Backup encontró un error interno. No use la marca -DeleteBackup . MARS 2.0.9262.0 y versiones posteriores proporcionan la opción de detener la protección y conservar los puntos de recuperación según la directiva de la consola. |
Pasos siguientes
- Comience a usar el almacén de Azure Recovery Services para habilitar estas características.
- Descargue el agente de Azure Recovery Services más reciente para ayudar a proteger los equipos Windows y proteger los datos de copia de seguridad frente a ataques.