변경이 불가능한 자격 증명 모음은 복구 지점 손실로 이어질 수 있는 작업을 차단하여 백업 데이터를 보호하는 데 도움이 될 수 있습니다. 또한 변경할 수 없는 볼트 설정을 잠가 되돌릴 수 없도록 하고, 백업에 WORM(Write Once, Read Many) 스토리지를 사용하여 악의적인 행위자가 불변성을 해제하고 백업을 삭제하지 못하도록 방지할 수 있습니다.
WORM 스토리지에 지원되는 시나리오
- 사용하도록 설정되고 잠긴 상태의 불변성 기능은 일반적으로 모든 Azure 지역의 Recovery Services 자격 증명 모음에서 사용할 수 있습니다.
- 잠금 상태의 변경 불가능한 자격 증명 모음에 WORM 스토리지를 사용하는 기능은 현재 다음 지역의 Recovery Services 자격 증명 모음에 대해 GA 단계에 있습니다. 오스트레일리아 중부 2, 스위스 서부, 남아프리카 공화국 서부, 한국 중부, 독일 북부, 한국 남부, 스페인 중부, 이스라엘 중부, 인도 남부, 인도 서부, 멕시코 중부, 노르웨이 서부, 폴란드 중부, 일본 동부.
- 잠금 상태에서 변경 불가능한 볼트에 대한 WORM 스토리지 사용은 현재 남아프리카 서부, 한국 중부, 인도 남부, 인도 서부, 폴란드 중부 지역의 백업 볼트에 대해 Preview로 제공됩니다.
- WORM 스토리지가 아직 일반 공급되지 않는 지역에서는 기능을 사용할 수 있게 되면 불변성이 활성화되고 잠긴 백업이 자동으로 WORM 지원 스토리지로 전환됩니다. 이 전환에는 사용자 작업이 필요하지 않으며 데이터 이동이 필요하지 않습니다.
- 잠금 상태에 있는 변경 불가능한 금고에 대한 WORM 스토리지 사용은 "Azure Virtual Machines", "Azure Virtual Machines의 SQL", "Azure Virtual Machines의 SAP HANA", "Azure Files", "Azure Backup Server", "Azure Backup Agent", "데이터 보호 관리자(DPM)", "Azure Kubernetes", "PostgreSQL - 플렉시블 서버" 워크로드에 적용됩니다.
시작하기 전에
- 변경할 수 없는 자격 증명 모음은 모든 Azure 퍼블릭 및 미국 정부 지역에서 사용할 수 있습니다.
- 변경이 불가능한 자격 증명 모음은 Recovery Services 자격 증명 모음 및 Backup 자격 증명 모음에 대해 지원됩니다.
- 변경이 불가능한 자격 증명 모음을 사용하도록 설정하면 자격 증명 모음 및 보호된 항목에 대한 특정 작업을 수행할 수 없습니다. 제한되는 작업을 참조하세요.
- 자격 증명 모음에 불변성을 사용하도록 설정하는 것은 되돌릴 수 있는 작업입니다. 그러나 악의적인 행위자가 이를 사용하지 않도록 하는 것을 방지하기 위해 되돌릴 수 없도록 선택할 수 있습니다(사용하지 않도록 하면 악의적인 행위자가 파괴적인 작업을 수행할 수 있음). 변경이 불가능한 자격 증명 모음을 되돌릴 수 없도록 만드는 방법에 대해 알아봅니다.
- 변경이 불가능한 자격 증명 모음은 자격 증명 모음의 모든 데이터에 적용됩니다. 따라서 자격 증명 모음에서 보호되는 모든 인스턴스에는 불변성이 적용됩니다.
- 불변성은 Blob, 파일 및 디스크의 운영 백업과 같은 운영 백업에는 적용되지 않습니다.
참고
Microsoft.RecoveryServices에 대한 구독에 리소스 공급자가 등록되어 있는지 확인합니다. 그렇지 않으면 "불변성 설정"과 같은 영역 중복 및 자격 증명 모음 속성 옵션에 액세스할 수 없습니다.
불변성이 작동하는 방식
Azure Backup은 프로덕션 워크로드와 별도로 데이터를 저장하지만 복구 지점을 삭제할 수 있는 작업을 포함하여 백업을 관리하는 데 도움이 되는 관리 작업을 수행할 수 있습니다. 그러나 특정 시나리오에서는 악의적인 행위자가 사용하는 경우 백업 손실로 이어질 수 있는 이러한 작업을 방지하여 백업 데이터를 변경할 수 없도록 만들 수 있습니다. 자격 증명 모음의 변경이 불가능한 자격 증명 모음 설정을 사용하면 악의적인 행위자가 데이터를 삭제하여 데이터 복구 가능성에 영향을 주더라도 백업 데이터가 보호되도록 이러한 작업을 차단할 수 있습니다.
불변성을 되돌릴 수 없도록 하기
자격 증명 모음의 불변성은 필요한 경우 불변성을 사용하지 않도록(백업 데이터 삭제 허용) 할 수 있는 되돌릴 수 있는 설정입니다. 그러나 불변성의 영향에 만족한 후에는 자격 증명 모음을 잠가 변경이 불가능한 자격 증명 모음 설정을 되돌릴 수 없도록 하고 백업용 WORM 스토리지를 사용하도록 설정하여, 악의적인 행위자가 이를 사용하지 않도록 설정할 수 없도록 하는 것이 좋습니다. 따라서 변경이 불가능한 자격 증명 모음 설정은 다음 세 가지 상태를 허용합니다.
| 변경이 불가능한 자격 증명 모음 설정의 상태 | 설명 |
|---|---|
| 사용 안 함 | 자격 증명 모음에서 불변성을 사용하도록 설정하지 않았으며 작업이 차단되지 않습니다. |
| 활성화됨 | 자격 증명 모음에서 불변성을 사용하도록 설정했으며 백업 손실이 발생할 수 있는 작업을 허용하지 않습니다. 그러나 설정을 사용하지 않도록 할 수 있습니다. |
| 사용 설정됨 및 잠김 | 자격 증명 모음은 WORM에 대해 불변성을 가지며, 백업 손실이 발생할 수 있는 작업을 허용하지 않습니다. 이제 변경이 불가능한 자격 증명 모음 설정이 잠겨 있으므로 사용하지 않도록 설정할 수 없습니다. 불변성 잠금은 되돌릴 수 없으므로 잠금을 선택할 때 내용을 잘 파악하고 결정을 내려야 합니다. |
제한되는 작업
변경이 불가능한 자격 증명 모음은 자격 증명 모음에서 데이터 손실로 이어질 수 있는 다음 작업을 수행할 수 없도록 합니다.
자격 증명 모음 선택
| 작업 유형 | 설명 |
|---|---|
| 데이터 삭제를 통해 보호 중지 | 보호된 항목은 해당 만료 날짜 이전에 해당 복구 지점을 삭제할 수 없습니다. 그러나 데이터를 영원히 보존하거나 만료될 때까지 인스턴스 보호를 계속 중지할 수 있습니다. |
| 보존 기간을 줄이기 위해 백업 정책 수정 | 백업 정책의 보존 기간을 줄이는 모든 작업은 변경이 불가능한 자격 증명 모음에서 허용되지 않습니다. 하지만 보존 기간을 늘리도록 정책을 변경할 수 있습니다. 백업 정책 일정을 변경할 수도 있습니다. 백업이 일시 중단된 항목(백업 중지)이 있는 경우 보존 증가는 적용할 수 없습니다. |
| 보존 기간을 줄이기 위해 백업 정책 변경 | 백업 항목과 연결된 백업 정책을 기존 정책보다 짧은 보존 기간의 다른 정책으로 바꾸려는 시도는 차단됩니다. 그러나 정책을 보존 기간이 더 긴 정책으로는 바꿀 수 있습니다. |