Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Многопользовательская авторизация (MUA) для Azure Backup позволяет добавить дополнительный уровень защиты к критически важным операциям в хранилищах служб восстановления и хранилищах резервных копий. Для MUA служба Azure Backup использует ресурс Azure Resource Guard, чтобы обеспечить выполнение критических операций только с соответствующей авторизацией.
Примечание.
Авторизация с несколькими пользователями с помощью Resource Guard для хранилища резервных копий теперь общедоступна.
Как работает MUA для Backup?
Azure Backup использует Resource Guard в качестве дополнительного механизма авторизации для хранилища служб восстановления или хранилища резервных копий. Поэтому для успешного выполнения критической операции (описанной ниже) необходимо также иметь достаточные разрешения на связанную службу Resource Guard.
Внимание
Чтобы функционировать должным образом, Resource Guard должен принадлежать другому пользователю, а администратор хранилища не должен иметь разрешения Участника, Администратора MUA резервного копирования или Оператора MUA резервного копирования на Resource Guard. Вы можете разместить Resource Guard в подписке или клиенте, отличающемся от одного из хранилищ, чтобы обеспечить лучшую защиту.
Критические операции
В следующей таблице перечислены операции, определенные как критические. Их можно защитить с помощью службы Resource Guard. Вы можете выбрать исключение определенных операций из защиты с помощью Resource Guard при ассоциации хранилищ с ним.
Примечание.
Вы не можете исключить операции, обозначаемые как обязательные, от защиты с помощью Resource Guard для хранилищ, связанных с ним. Кроме того, критические операции с отключенной защитой Resource Guard будут применяться ко всем хранилищам, связанным с этой службой.
Выберите хранилище
| Операция | Обязательный или необязательный | Описание |
|---|---|---|
| Отключение обратимого удаления или функций безопасности | Обязательно | Отключить настройку мягкого удаления в хранилище. |
| Удаление защиты MUA | Обязательно | Отключите защиту MUA в хранилище. |
| Удаление защиты | Необязательно | Удаление защиты путем остановки резервных копий и удаления данных. |
| Изменение защиты | Необязательно | Добавьте новую политику резервного копирования с уменьшением срока хранения или изменения частоты политики для увеличения RPO. |
| Изменение политики | Необязательно | Измените политику резервного копирования, чтобы сократить период хранения или изменить частоту политики для увеличения RPO. |
| Получение ПИН-кода безопасности резервного копирования | Необязательно | Изменение ПИН-кода безопасности MARS. |
| Остановка резервного копирования и сохранение данных | Необязательно | Удалите защиту, остановив резервные копии и оставив данные навсегда или сохраняя их в соответствии с политикой. |
| Отключение неизменяемости | Необязательно | Отключите параметр неизменяемости в хранилище. |
Основные понятия и процесс
Ниже описаны основные понятия и процессы, связанные с использованием MUA для Azure Backup.
Рассмотрим следующие два человека для четкого понимания процесса и обязанностей. Эти две персоны упоминаются на протяжении всей статьи.
Администратор резервного копирования: владелец хранилища служб восстановления или хранилища резервного копирования, выполняющий операции управления в хранилище. Прежде всего, у администратора резервного копирования не должно быть разрешений для Resource Guard. Это может быть Оператор резервного копирования или Участник резервного копирования в роли RBAC в хранилище служб восстановления.
Администратор безопасности. Владелец Resource Guard, который следит за критическими операциями в хранилище. Следовательно, администратор безопасности контролирует разрешения, необходимые администратору резервного копирования для выполнения критических операций в хранилище. Это может быть роль администратора резервного копирования MUA RBAC на Resource Guard.
Ниже представлена схема выполнения критической операции в ваулте, где настроена конфигурация MUA при помощи Resource Guard.
Ниже приведен поток событий в типичном сценарии:
Администратор резервного копирования создает хранилище служб восстановления или хранилище резервных копий.
Администратор безопасности создает ресурс Resource Guard.
Resource Guard может находиться в другой подписке или у другого арендатора по отношению к хранилищу. Убедитесь, что администратор резервного копирования не имеет разрешений участника, администратора МУА резервного копирования или оператора МУА резервного копирования в системе Resource Guard.
Администратор безопасности предоставляет администратору резервного копирования роль читателя для Resource Guard (или соответствующей области). Администратору резервного копирования требуется роль «читатель», чтобы включить MUA в хранилище.
Администратор резервного копирования теперь настраивает хранилище для защиты с помощью muA с помощью Resource Guard.
Теперь, если администратор резервного копирования или любой пользователь, у которого есть доступ на запись в хранилище, хочет выполнить критически важные операции, защищенные с помощью Resource Guard в хранилище, они должны запросить доступ к Resource Guard. Администратор резервного копирования может обратиться к администратору безопасности, чтобы получить доступ к таким операциям. Это можно сделать с помощью функции управления привилегированными пользователями (PIM) или других процессов, разрешенных в организации. Они могут запросить роль оператора резервного копирования RBAC, которая позволяет пользователям выполнять только критически важные операции, защищенные Resource Guard, и не позволяет удалить Resource Guard.
Администратор безопасности временно предоставляет администратору резервного копирования роль "Оператор MUA резервного копирования" в системе Resource Guard для выполнения критически важных операций.
Затем администратор резервного копирования инициирует критически важную операцию.
Платформа Azure Resource Manager проверяет наличие у администратора резервного копирования необходимых разрешений. Теперь, поскольку администратор резервного копирования имеет роль "Оператор MUA резервного копирования" в Resource Guard, запрос выполнен. Если администратор резервного копирования не имеет необходимых разрешений или ролей, запрос завершится ошибкой.
Администратор безопасности должен гарантировать отмену привилегий для выполнения критически важных операций после выполнения авторизованных действий или после определенной длительности. Для обеспечения этого вы можете использовать средства JIT Microsoft Entra Privileged Identity Management.
Примечание.
- Если вы временно предоставите роль участника или резервного администратора MUA админу резервного копирования в Resource Guard, это также дает доступ на удаление в Resource Guard. Рекомендуется предоставлять только разрешения оператора MUA для резервного копирования.
- MUA обеспечивает защиту только операций, перечисленных выше, выполняемых с запечатанными резервными копиями. Все операции, выполняемые непосредственно в источнике данных (т. е. защищенный ресурс или рабочая нагрузка Azure), выходят за рамки Resource Guard.
Сценарии использования
В следующей таблице перечислены сценарии создания Защитника ресурсов и хранилищ (хранилище служб восстановления и резервное хранилище), а также относительная защита, предлагаемая каждым сценарием.
Внимание
Администратор резервного копирования не должен иметь права участника, права администратора MUA резервного копирования или права оператора MUA резервного копирования, так как это переопределяет добавление защиты MUA в хранилище в любом сценарии.
| Сценарий использования | Защита с помощью MUA | Простота реализации | Примечания |
|---|---|---|---|
| Хранилище и Resource Guard находятся в одной подписке . Администратор резервного копирования не имеет доступа к Resource Guard. |
Наименьшая изоляция администратора резервного копирования от администратора безопасности. | Относительно простая реализация, так как требуется только одна подписка. | Необходимо обеспечить правильное назначение разрешений и ролей на уровне ресурсов. |
| Хранилище и Resource Guard находятся в разных подписках, но в одном клиенте. Администратор резервного копирования не имеет доступа к Resource Guard или соответствующей подписке. |
Средний уровень изоляции администратора резервного копирования от администратора безопасности. | Средний уровень простоты реализации, так как требуются две подписки (но только один клиент). | Убедитесь, что разрешения и роли правильно назначены для ресурса или подписки. |
| Хранилище и Resource Guard находятся в разных арендаторах. Администратор резервного копирования не имеет доступа к Resource Guard, соответствующей подписке или соответствующему арендатору. |
Максимальная изоляция администратора резервного копирования от администратора безопасности, обеспечивающая максимальную защиту. | Относительно сложно протестировать, так как требуется два клиента или каталога. | Убедитесь, что разрешения или роли правильно назначены ресурсу, подписке или каталогу. |
Следующие шаги
Настройка многопользовательской авторизации с помощью Resource Guard.