Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les préoccupations en matière de risques de sécurité, comme les logiciels malveillants, le ransomware et les intrusions, sont de plus en plus nombreuses. Ces problèmes de sécurité peuvent coûter cher, à la fois en termes d’argent et de données. Pour vous protéger contre ces attaques, Sauvegarde Azure fournit désormais des fonctionnalités de sécurité pour protéger les sauvegardes hybrides. Cet article explique comment activer et tirer parti de ces fonctionnalités pour protéger les charges de travail locales à l’aide du serveur de sauvegarde Microsoft Azure (MABS),du Gestionnaire de protection des données (DPM) et de l’agent MICROSOFT Azure Recovery Services (MARS). Ces fonctionnalités sont les suivantes :
- Prévention. Une couche supplémentaire d’authentification est ajoutée à chaque fois qu’une opération critique (par exemple, Modifier la phrase secrète) est effectuée. Cette validation permet de garantir que ces opérations ne peuvent être effectuées que par les utilisateurs ayant des informations d’identification Azure valides.
- Alertes. Une notification par e-mail est envoyée à l’administrateur de l’abonnement chaque fois qu’une opération critique comme la suppression des données de sauvegarde est effectuée. Ce courrier électronique garantit que l’utilisateur est rapidement averti de ces actions.
- Récupération. Les données de sauvegarde supprimées sont conservées pendant 14 jours supplémentaires à compter de la date de suppression. Cela garantit la possibilité de les récupérer dans un délai donné afin d’éviter toute perte, même en cas d’attaque. En outre, les points de récupération minimum sont conservés en plus grand nombre pour offrir une protection contre les données corrompues.
Remarque
Activez l’autorisation multi-utilisateur (MUA) sur votre coffre de services de récupération pour ajouter une couche supplémentaire de protection à l'opération cruciale de désactivation des fonctionnalités de sécurité. En savoir plus.
Exigences minimales de version
Activez les fonctionnalités de sécurité uniquement si vous utilisez :
- Agent Sauvegarde Azure : Version minimale de l'agent 2.0.9052. Après avoir activé ces fonctionnalités, mettez à niveau la version de l’agent pour effectuer des opérations critiques.
- Serveur de sauvegarde Azure : Agent de sauvegarde Azure minimum version 2.0.9052 avec la mise à jour 1 du serveur de sauvegarde Azure.
- System Center Data Protection Manager : Agent de sauvegarde Azure minimum version 2.0.9052 avec Data Protection Manager 2012 R2 UR12/ Data Protection Manager 2016 UR2.
Remarque
Vérifiez que vous n’activez pas les fonctionnalités de sécurité si vous utilisez la sauvegarde de machine virtuelle IaaS (Infrastructure as a Service). Actuellement, ces fonctionnalités ne sont pas disponibles pour la sauvegarde de machine virtuelle IaaS et, par conséquent, leur activation n’aura pas d’impact.
Activer les fonctionnalités de sécurité
Si vous créez un coffre Recovery Services, vous pouvez utiliser toutes les fonctionnalités de sécurité. Si vous utilisez un coffre existant, activez les fonctionnalités de sécurité en procédant comme suit :
Connectez-vous au portail Azure à l’aide de vos informations d’identification Azure.
Sélectionnez Parcourir et tapez Recovery Services.
La liste des archivages de Recovery Services s’affiche. Dans cette liste, sélectionnez un coffre. Le tableau de bord de l’archivage sélectionné s'ouvre.
Dans la liste des éléments qui s’affichent sous le coffre, sous Paramètres, sélectionnez Propriétés.
Sous Paramètres de sécurité, sélectionnez Mettre à jour.
Le lien de mise à jour ouvre le volet Paramètres de sécurité , qui fournit un résumé des fonctionnalités et vous permet de les activer.
Activez les fonctionnalités de sécurité et sélectionnez Enregistrer.
Récupérer les données de sauvegarde supprimées
Si le paramètre des fonctionnalités de sécurité est activé, Sauvegarde Azure conserve les données de sauvegarde supprimées pendant 14 jours supplémentaires et ne la supprime pas immédiatement si l’opération Arrêter la sauvegarde avec suppression des données de sauvegarde est effectuée. Pour restaurer ces données dans la période de 14 jours, procédez comme suit, en fonction de ce que vous utilisez :
Pour les utilisateurs de l’agent Azure Recovery Services :
- Si l’ordinateur sur lequel des sauvegardes se produisaient est toujours disponible, reprotégez les sources de données supprimées et utilisez les données Récupérer sur la même machine dans Azure Recovery Services, pour récupérer à partir de tous les anciens points de récupération.
- Si cet ordinateur n’est pas disponible, utilisez Récupérer sur un autre ordinateur pour utiliser un autre ordinateur Azure Recovery Services pour obtenir ces données.
Pour les utilisateurs du serveur de sauvegarde Azure :
- Si le serveur sur lequel des sauvegardes se produisaient est toujours disponible, reprotégez les sources de données supprimées et utilisez la fonctionnalité Récupérer des données pour récupérer à partir de tous les anciens points de récupération.
- Si ce serveur n’est pas disponible, utilisez Récupérer des données à partir d’un autre serveur de sauvegarde Azure pour utiliser une autre instance de serveur de sauvegarde Azure pour obtenir ces données.
Pour les utilisateurs de Data Protection Manager :
- Si le serveur sur lequel des sauvegardes se produisaient est toujours disponible, reprotégez les sources de données supprimées et utilisez la fonctionnalité Récupérer des données pour récupérer à partir de tous les anciens points de récupération.
- Si ce serveur n’est pas disponible, utilisez Ajouter DPM externe pour utiliser un autre serveur Data Protection Manager pour obtenir ces données.
Empêcher les attaques
Des vérifications ont été ajoutées pour que seuls les utilisateurs valides puissent effectuer diverses opérations. Celles-ci incluent l’ajout d’une couche supplémentaire d’authentification et la gestion d’une plage de rétention minimale à des fins de récupération.
Authentification pour effectuer des opérations critiques
Dans le cadre de l’ajout d’une couche supplémentaire d’authentification pour les opérations critiques, vous êtes invité à entrer un code confidentiel de sécurité lorsque vous effectuez des opérations Stop Protection avec suppression des données et modifier les phrases secrètes pour DPM, MABS et MARS.
En outre, avec MARS version 2.0.9262.0 et ultérieure, les opérations de suppression d’un volume à partir d’une sauvegarde de fichier/dossier MARS, ajoutent un nouveau paramètre d’exclusion pour un volume existant, réduisent la durée de rétention et passent à une planification de sauvegarde moins fréquente sont également protégées avec une broche de sécurité pour une sécurité supplémentaire.
Remarque
Actuellement, pour les versions DPM et MABS suivantes, le PIN de sécurité est pris en charge pour Arrêter la protection avec suppression des données dans le stockage en ligne :
- DPM 2016 UR9 ou version ultérieure
- DPM 2019 UR1 ou version ultérieure
- MABS v3 UR1 ou version ultérieure
Pour recevoir ce code confidentiel :
- Connectez-vous au portail Azure.
- Accédez à Coffre Recovery Services>Paramètres>Propriétés.
- Sous Code PIN de sécurité, sélectionnez Générer. Cela ouvre un volet qui contient le code confidentiel à entrer dans l’interface utilisateur de l’agent Azure Recovery Services. Ce code confidentiel est valide pendant seulement cinq minutes et se génère automatiquement après cette période.
Conserver une plage de rétention minimale
Pour vous assurer qu’il existe toujours un nombre valide de points de récupération disponibles, les vérifications suivantes ont été ajoutées :
- Pour une rétention quotidienne, une rétention de sept jours minimum doit être appliquée.
- Pour garantir la rétention hebdomadaire, il est nécessaire d'effectuer un minimum de quatre semaines de rétention.
- Pour la rétention mensuelle, un minimum de trois mois de rétention est nécessaire.
- Pour la rétention annuelle, au moins une année de rétention est nécessaire.
Notifications pour les opérations critiques
En règle générale, lorsqu’une opération critique est effectuée, l’administrateur de l’abonnement envoie une notification par e-mail avec des détails sur l’opération. Vous pouvez configurer des destinataires de courrier supplémentaires pour ces notifications à l’aide du portail Azure.
Les fonctionnalités de sécurité mentionnées dans cet article fournissent des mécanismes de défense contre les attaques ciblées. Plus important encore, si une attaque se produit, ces fonctionnalités vous permettent de récupérer vos données.
Résoudre les erreurs
| Opération | Détails de l’erreur | Résolution |
|---|---|---|
| Modification de la stratégie | Impossible de modifier la stratégie de sauvegarde. Erreur : Échec de l’opération en cours en raison d’une erreur de service interne [0x29834]. Réessayez l’opération après un certain temps. Si le problème persiste, contactez le support technique Microsoft. |
Cause : Cette erreur s’affiche lorsque les paramètres de sécurité sont activés, vous essayez de réduire la plage de rétention en dessous des valeurs minimales spécifiées ci-dessus et vous êtes sur une version non prise en charge (les versions prises en charge sont spécifiées dans la première note de cet article). Action recommandée : Dans ce cas, vous devez définir la période de rétention au-dessus de la période de rétention minimale spécifiée (sept jours pour les jours, quatre semaines pour les semaines, trois semaines pour les mois ou un an pour chaque année) afin de poursuivre les mises à jour liées à la stratégie. Si vous le souhaitez, une approche recommandée consiste à mettre à jour l’agent de sauvegarde, le serveur de sauvegarde Azure et/ou l’UR DPM pour tirer parti de toutes les mises à jour de sécurité. |
| Modifier la phrase secrète | Le code confidentiel de sécurité entré est incorrect. (ID : 100130) Fournissez le code confidentiel de sécurité approprié pour effectuer cette opération. |
Cause : Cette erreur se produit lorsque vous entrez un code confidentiel de sécurité non valide ou expiré lors de l’exécution d’une opération critique (par exemple, la phrase secrète de modification). Action recommandée : Pour terminer l’opération, vous devez entrer le code confidentiel de sécurité valide. Pour obtenir le code PIN, connectez-vous au portail Azure et accédez à > Recovery Services vault > Paramètres > Propriétés > Générer un code PIN de sécurité. Utilisez ce code confidentiel pour modifier la phrase secrète. |
| Modifier la phrase secrète | Échec de l’opération. ID : 120002 |
Cause : Cette erreur s’affiche lorsque les paramètres de sécurité sont activés, vous essayez de modifier la phrase secrète et que vous êtes sur une version non prise en charge (versions valides spécifiées dans la première note de cet article). Action recommandée : Pour modifier la phrase secrète, vous devez d’abord mettre à jour l’agent de sauvegarde vers la version minimale 2.0.9052, le serveur de sauvegarde Azure vers la mise à jour minimale 1 et/ou DPM au minimum DPM 2012 R2 UR12 ou DPM 2016 UR2 (liens de téléchargement ci-dessous), puis entrer un code confidentiel de sécurité valide. Pour obtenir le code PIN, connectez-vous au portail Azure et accédez à > Recovery Services vault > Paramètres > Propriétés > Générer un code PIN de sécurité. Utilisez ce code confidentiel pour modifier la phrase secrète. |
Prise en charge de l’immuabilité
Lorsque l’immuabilité de votre coffre Recovery Services est activée, les opérations qui réduisent la rétention des sauvegardes cloud ou suppriment la sauvegarde cloud pour les sources de données locales sont bloquées.
Prise en charge de l’immuabilité pour DPM et MABS
Cette fonctionnalité est prise en charge avec l’agent MARS version 2.0.9250.0 et ultérieure à partir de DPM 2022 UR1 et MABS v4.
Le tableau suivant liste les opérations non autorisées sur DPM connecté à une récupération immuable :
| Opération sur le coffre immuable | Résultat avec DPM 2022 UR1, MABS v4 et l’agent MARS le plus récent. Avec DPM 2022 UR2 ou MABS v4 UR1, vous pouvez sélectionner l’option permettant de conserver les points de récupération en ligne par stratégie lors de l’arrêt de la protection ou de la suppression d’une source de données d’un groupe de protection à partir de la console. |
Résultat avec une version antérieure de DPM/MABS et un agent MARS plus ancien |
|---|---|---|
| Supprimer la source de données du groupe de protection configuré pour la sauvegarde en ligne | 81001 : Le ou les éléments de sauvegarde ne peuvent pas être supprimés, car il a des points de récupération actifs et le coffre sélectionné est un coffre immuable. | 130001 : Microsoft Azure Backup a rencontré une erreur interne. |
| Arrêter la protection avec données supprimées | 81001 : Le ou les éléments de sauvegarde ne peuvent pas être supprimés, car il a des points de récupération actifs et le coffre sélectionné est un coffre immuable. Avec DPM 2022 UR2 ou MABS v4 UR1, vous pouvez sélectionner l’option permettant de conserver les points de récupération en ligne par stratégie lors de l’arrêt de la protection ou de la suppression d’une source de données d’un groupe de protection à partir de la console. |
130001 : Microsoft Azure Backup a rencontré une erreur interne. |
| Réduire la période de rétention en ligne | 810002 : La réduction de la rétention pendant la modification de la stratégie/protection n’est pas autorisée, car le coffre sélectionné est immuable. | 130001 : Microsoft Azure Backup a rencontré une erreur interne. |
| commandeRemove-DPMChildDatasource | 81001 : Le ou les éléments de sauvegarde ne peuvent pas être supprimés, car il a des points de récupération actifs et le coffre sélectionné est un coffre immuable. Utilisez la nouvelle option -EnableOnlineRPsPruning avec -KeepOnlineData pour conserver les données uniquement jusqu’à la durée de la stratégie. Avec DPM 2022 UR2 ou MABS v4 UR1, vous pouvez sélectionner l’option permettant de conserver les points de récupération en ligne par stratégie lors de l’arrêt de la protection ou de la suppression d’une source de données d’un groupe de protection à partir de la console. |
130001 : Microsoft Azure Backup a rencontré une erreur interne. Utilisez l’indicateur -KeepOnlineData pour conserver les données. |
Prise en charge de l’immuabilité pour MARS
Le tableau suivant liste les opérations non autorisées pour MARS lorsque l’immuabilité est activée sur le coffre Recovery Services. D’autres opérations, telles que l’augmentation de la rétention et l’exclusion d’un fichier/dossier de sauvegarde, sont autorisées.
| Opération non autorisée | Résultat avec le dernier agent MARS | Résultat avec l’ancien agent MARS |
|---|---|---|
| Arrêter la protection et supprimer les données pour l'état système | Erreur 810001 L'utilisateur essaie de supprimer un élément de sauvegarde ou d'arrêter la protection en supprimant des données, alors que l'élément de sauvegarde a un point de récupération valide (non expiré). |
Erreur 130001 Sauvegarde Microsoft Azure a rencontré une erreur interne. |
| Arrêter la protection avec données supprimées | Erreur 810001 L'utilisateur essaie de supprimer un élément de sauvegarde ou d'arrêter la protection en supprimant des données, alors que l'élément de sauvegarde a un point de récupération valide (non expiré). |
Erreur 130001 Sauvegarde Microsoft Azure a rencontré une erreur interne. MARS 2.0.9262.0 et versions ultérieures permettent d’arrêter la protection et de conserver les points de récupération conformément à la politique dans la console. |
| Réduire la période de rétention en ligne | L’utilisateur tente de modifier la stratégie ou la protection avec une réduction de la rétention. | 130001 Sauvegarde Microsoft Azure a rencontré une erreur interne. |
| Remove-OBPolicy avec indicateur de -DeleteBackup | 810001 L'utilisateur essaie de supprimer un élément de sauvegarde ou d'arrêter la protection en supprimant des données, alors que l'élément de sauvegarde a un point de récupération valide (non expiré). Utilisez l’indicateur –EnablePruning pour conserver les sauvegardes jusqu’à leur période de rétention. |
130001 Sauvegarde Microsoft Azure a rencontré une erreur interne. N’utilisez pas l’indicateur -DeleteBackup . MARS 2.0.9262.0 et versions ultérieures permettent d’arrêter la protection et de conserver les points de récupération conformément à la politique dans la console. |
Étapes suivantes
- Commencez avec le coffre Azure Recovery Services pour activer ces fonctionnalités.
- Téléchargez la dernière version de l’agent Azure Recovery Services pour protéger les ordinateurs Windows et protéger vos données de sauvegarde contre les attaques.