マルウェア、ランサムウェア、侵入などのセキュリティ問題への懸念が高まっています。 これらのセキュリティ問題は、金銭とデータの両方の観点からコストがかかる可能性があります。 このような攻撃から保護するために、Azure Backup にはハイブリッド バックアップを保護するためのセキュリティ機能が用意されています。 この記事では、Microsoft Azure Backup Server (MABS)、 Data Protection Manager (DPM)、Microsoft Azure Recovery Services (MARS) エージェントを使用して、これらの機能を有効にして活用してオンプレミスのワークロードを保護する方法について説明します。 次のような機能があります。
- 防止。 パスフレーズの変更など、重要な操作を実行するたびに、認証レイヤーが追加されます。 この検証により、有効な Azure 資格情報を持つユーザーのみがそのような操作を実行できるようになります。
- アラート。 バックアップ データの削除などの重要な操作が実行されるたびに、サブスクリプション管理者に電子メール通知が送信されます。 この電子メールにより、ユーザーはそのような操作に関する通知をすばやく受信できます。
- 復旧。 削除日から 14 日間は、削除されたバックアップ データが保持されます。 これにより、特定の期間内のデータの復旧性が確保され、攻撃が行われてもデータが失われることはありません。 また、保持される最小復旧ポイントの数が増えたため、データの破損を防ぐことができます。
注
Recovery Services コンテナーでマルチユーザー承認 (MUA) を有効にして、セキュリティ機能を無効にする重要な操作に保護レイヤーを追加します。 詳細については、こちらを参照してください。
最小バージョン要件
次を使用している場合にのみ、セキュリティ機能を有効にします。
- Azure Backup エージェント: エージェントの最小バージョン 2.0.9052。 これらの機能を有効にしたら、エージェントのバージョンをアップグレードして重要な操作を実行します。
- Azure Backup Server: Azure Backup エージェントの最小バージョンは 2.0.9052(Azure Backup Server Update 1) です。
- System Center Data Protection Manager: Azure Backup エージェントの最低バージョン 2.0.9052 は Data Protection Manager 2012 R2 UR12 および / に対応しています。
注
サービスとしてのインフラストラクチャ (IaaS) VM バックアップを使用している場合は、セキュリティ機能を有効にしないでください。 現時点では、これらの機能は IaaS VM バックアップでは使用できないため、有効にしても影響はありません。
セキュリティ機能を有効にする
Recovery Services コンテナーを作成する場合は、すべてのセキュリティ機能を使用できます。 既存のボールトを使用している場合は、以下の手順に従ってセキュリティ機能を有効にします。
Azure 資格情報を使用して Azure portal にサインインします。
Browse を選択し、Recovery Services と入力します。
![Azure portal の [参照] オプションのスクリーンショット](media/backup-azure-security-feature/browse-to-rs-vaults.png)
Recovery Services コンテナーの一覧が表示されます。 この一覧でコンテナーを選択します。 選択したコンテナーのダッシュボードが開きます。
コンテナーの下に表示される項目の一覧で、[ 設定] で [ プロパティ] を選択します。
[ セキュリティ設定] で [ 更新] を選択します。
更新リンクで [ セキュリティ設定] ウィンドウが開き、機能の概要が表示され、有効にすることができます。
セキュリティ機能を有効にし、[保存] を選択します。
削除されたバックアップ データを回復する
セキュリティ機能の設定が有効になっている場合、Azure Backup は削除されたバックアップ データをさらに 14 日間保持し、バックアップ データの削除を伴 うバックアップの停止 操作が実行された場合、すぐには削除されません。 このデータを 14 日間で復元するには、使用している内容に応じて次の手順を実行します。
Azure Recovery Services エージェント ユーザーの場合:
- バックアップが実行されていたコンピューターがまだ使用可能な場合は、削除されたデータ ソースを再保護し、Azure Recovery Services の 同じコンピューターにデータを回復 して、すべての古い復旧ポイントから復旧します。
- このコンピューターを使用できない場合は、[ 別のコンピューターに回復] を使用して別の Azure Recovery Services コンピューターを使用してこのデータを取得します。
Azure Backup Server ユーザーの場合:
- バックアップが実行されていたサーバーがまだ使用可能な場合は、削除されたデータ ソースを再保護し、 データの回復 機能を使用して、すべての古い復旧ポイントから復旧します。
- このサーバーを使用できない場合は、 別の Azure Backup Server からのデータの回復 を使用して、別の Azure Backup Server インスタンスを使用してこのデータを取得します。
Data Protection Manager ユーザーの場合:
- バックアップが実行されていたサーバーがまだ使用可能な場合は、削除されたデータ ソースを再保護し、 データの回復 機能を使用して、すべての古い復旧ポイントから復旧します。
- このサーバーを使用できない場合は、[ 外部 DPM の追加] を使用して、別の Data Protection Manager サーバーを使用してこのデータを取得します。
攻撃を防ぐ
有効なユーザーのみが各種操作を実行できるようにするためのチェックが追加されました。 これには、追加の認証層の追加や、回復のために最小限のリテンション期間の範囲を維持することが含まれます。
重要な操作を実行するための認証
重要な操作に対して追加の認証レイヤーを追加する一環として、DPM、MABS、MARS に対してデータの削除とパスフレーズの変更操作による保護の停止を実行するときに、セキュリティ PIN を入力するように求められます。
さらに、MARS バージョン 2.0.9262.0 以降では、MARS ファイル/フォルダー バックアップからボリュームを削除し、既存のボリュームに新しい除外設定を追加し、保持期間を短縮し、頻度の低いバックアップ スケジュールに移行する操作もセキュリティピンで保護され、セキュリティが強化されます。
注
現在、次の DPM および MABS バージョンでは、オンライン ストレージへの データの削除による保護の停止 に対してセキュリティ PIN がサポートされています。
- DPM 2016 UR9 以降
- DPM 2019 UR1 以降
- MABS v3 UR1 以降
この PIN を受信するには:
- Azure portal にサインインします。
- [Recovery Services コンテナー]>[設定]>[プロパティ] の順に参照します。
- [セキュリティ PIN] の下にある [生成] を選択します。 Azure Recovery Services エージェントのユーザー インターフェイスに入力する PIN を含むウィンドウが開きます。 この PIN は 5 分間だけ有効であり、その期間の後に自動的に生成されます。
最小保有期間の範囲を維持する
使用可能な復旧ポイントの数が常に有効であることを確認するために、次のチェックが追加されています。
- 日単位の保持の場合、実行される保持の期間の最小値は 7 日間です。
- 毎週の保持期間には、少なくとも 4 週間の維持期間を行う必要があります。
- 毎月のリテンション期間の場合は、少なくとも 3 か月間のリテンション期間を行う必要があります。
- 年単位の保持の場合、実行される保持の期間の最小値は 1 年です。
重要な操作の通知
通常、重要な操作が実行されると、サブスクリプション管理者は操作に関する詳細を含む電子メール通知を送信します。 Azure portal を使用して、これらの通知に対して追加の電子メール受信者を構成できます。
この記事で説明するセキュリティ機能は、標的型攻撃に対する防御メカニズムを提供します。 さらに重要なのは、攻撃が発生した場合、これらの機能を使用してデータを回復できることです。
エラーをトラブルシューティングする
| オペレーション | エラーの詳細 | 解決策 |
|---|---|---|
| ポリシーの変更 | バックアップ ポリシーを変更できませんでした。 エラー: サービスの内部エラー [0x29834] が発生したため、現在の操作を実行できませんでした。 しばらくしてから操作を再試行してください。 問題が解決しない場合は、Microsoft サポートにお問い合わせください。 |
原因: このエラーは、セキュリティ設定が有効になっている場合に表示されます。保持範囲を上記で指定した最小値を下回り、サポートされていないバージョンを使用しています (サポートされているバージョンは、この記事の最初のメモで指定されています)。 推奨される操作: この場合、ポリシー関連の更新を続行するには、指定された最小保有期間 (毎日 7 日間、毎週 4 週間、毎月 3 週間、または年 1 年) を超える保持期間を設定する必要があります。 必要に応じて、バックアップ エージェント、Azure Backup Server、DPM UR を更新して、すべてのセキュリティ更新プログラムを利用することをお勧めします。 |
| パスフレーズの変更 | 入力されたセキュリティ PIN が正しくありません。 (ID: 100130)この操作を完了するには、正しいセキュリティ PIN を指定します。 |
原因: このエラーは、重要な操作 (パスフレーズの変更など) の実行中に、無効または期限切れのセキュリティ PIN を入力したときに発生します。 推奨される操作: 操作を完了するには、有効なセキュリティ PIN を入力する必要があります。 PIN を取得するには、Azure portal にサインインし、[Recovery Services コンテナー] > [設定] > [プロパティ] > [セキュリティ PIN の生成] に移動します。 パスフレーズを変更するには、この PIN を使用します。 |
| パスフレーズの変更 | 操作に失敗しました。 ID: 120002 |
原因: このエラーは、セキュリティ設定が有効になっていて、パスフレーズを変更しようとして、サポートされていないバージョン (この記事の最初のメモで指定されている有効なバージョン) を使用している場合に表示されます。 推奨される操作: パスフレーズを変更するには、まずバックアップ エージェントを最小バージョン 2.0.9052 に更新し、Azure Backup Server を最小更新プログラム 1 に、DPM を DPM 2012 R2 UR12 または DPM 2016 UR2 (以下のダウンロード リンク) に更新してから、有効なセキュリティ PIN を入力する必要があります。 PIN を取得するには、Azure portal にサインインし、[Recovery Services コンテナー] > [設定] > [プロパティ] > [セキュリティ PIN の生成] に移動します。 パスフレーズを変更するには、この PIN を使用します。 |
不変性のサポート
Recovery Services コンテナーの 不変性 が有効になっている場合、クラウド バックアップの保有期間を短縮したり、オンプレミスデータ ソースのクラウド バックアップを削除したりする操作はブロックされます。
DPM と MABS の不変性のサポート
この機能は、DPM 2022 UR1 および MABS v4 の MARS エージェント バージョン 2.0.9250.0 以降でサポートされています。
次の表に、変更できない回復に接続されている DPM に対して許可されていない操作を示します。
| 不変コンテナーに対する操作 | DPM 2022 UR1、MABS v4、および最新の MARS エージェントを使用した結果。 DPM 2022 UR2 または MABS v4 UR1 では、保護を停止するとき、または本体から保護グループからデータ ソースを削除するときに、ポリシーによってオンライン回復ポイントを保持するオプションを選択できます。 |
古い DPM/MABS エージェントまたは MARS エージェントを使用した結果 |
|---|---|---|
| オンライン バックアップ用に構成された保護グループからデータ ソースを削除する | 81001: バックアップ項目はアクティブな復旧ポイントを持ち、選択したコンテナーは不変コンテナーであるため、削除できません。 | 130001: Microsoft Azure Backup で内部エラーが発生しました。 |
| データを削除して保護を停止 | 81001: バックアップ項目はアクティブな復旧ポイントを持ち、選択したコンテナーは不変コンテナーであるため、削除できません。 DPM 2022 UR2 または MABS v4 UR1 では、保護を停止するとき、または本体から保護グループからデータ ソースを削除するときに、ポリシーによってオンライン回復ポイントを保持するオプションを選択できます。 |
130001: Microsoft Azure Backup で内部エラーが発生しました。 |
| オンラインリテンション期間を短縮する | 810002: 選択したボールトは不変であるため、ポリシー/保護の変更中のリテンション期間の短縮は許可されません。 | 130001: Microsoft Azure Backup で内部エラーが発生しました。 |
| Remove-DPMChildDatasource コマンド | 81001: バックアップ項目はアクティブな復旧ポイントを持ち、選択したコンテナーは不変コンテナーであるため、削除できません。 新しいオプション -EnableOnlineRPsPruning と -KeepOnlineData を使用して、ポリシー期間までのみデータを保持します。 DPM 2022 UR2 または MABS v4 UR1 では、保護を停止するとき、または本体から保護グループからデータ ソースを削除するときに、ポリシーによってオンライン回復ポイントを保持するオプションを選択できます。 |
130001: Microsoft Azure Backup で内部エラーが発生しました。 -KeepOnlineData フラグを使用してデータを保持します。 |
MARS の不変性のサポート
次の表に、Recovery Services ボールトで不変性が有効になっている場合に MARS で許可されていない操作を示します。 その他の操作 (リテンション期間の増加、バックアップからのファイル/フォルダーの除外など) が許可されます。
| 許可されていない操作 | 最新の MARS エージェントを使用した結果 | 古い MARS エージェントを使用した結果 |
|---|---|---|
| システム状態のデータを削除して保護を停止する | エラー 810001 バックアップ項目に有効な(期限切れでない)復旧ポイントがある場合に、データを削除したり、保護を停止しようとしているユーザー。 |
エラー 130001 Microsoft Azure Backup で内部エラーが発生しました。 |
| データを削除して保護を停止 | エラー 810001 バックアップ項目に有効な(期限切れでない)復旧ポイントがある場合に、データを削除したり、保護を停止しようとしているユーザー。 |
エラー 130001 Microsoft Azure Backup で内部エラーが発生しました。 MARS 2.0.9262.0 以降では、保護を停止し、コンソールのポリシーに従って復旧ポイントを保持するオプションが用意されています。 |
| オンラインリテンション期間を短縮する | リテンション期間を短縮してポリシーまたは保護を変更しようとしているユーザー。 | 130001 Microsoft Azure Backup で内部エラーが発生しました。 |
| Remove-OBPolicy と -DeleteBackup フラグ | 810001 バックアップ項目に有効な(期限切れでない)復旧ポイントがある場合に、データを削除したり、保護を停止しようとしているユーザー。 –EnablePruning フラグを使用して、保有期間までバックアップを保持します。 |
130001 Microsoft Azure Backup で内部エラーが発生しました。 DeleteBackup フラグは使用しないでください。 MARS 2.0.9262.0 以降では、保護を停止し、コンソールのポリシーに従って復旧ポイントを保持するオプションが用意されています。 |
次のステップ
- これらの機能を有効にするには、Azure Recovery Services コンテナーの使用を開始します。
- 最新の Azure Recovery Services エージェントをダウンロード して、Windows コンピューターを保護し、攻撃からバックアップ データを保護します。