Tudnivalók a többfelhasználós engedélyezésről a Resource Guard használatával
Az Azure Backup többfelhasználós engedélyezése (MUA) lehetővé teszi egy további védelmi réteg hozzáadását a Helyreállítási tárak és a Backup-tárolók kritikus műveleteihez. A MUA esetében az Azure Backup egy másik Azure-erőforrást, a Resource Guardot használja annak biztosítására, hogy a kritikus műveletek csak a megfelelő engedélyekkel legyenek végrehajtva.
Feljegyzés
A Resource Guard for Backup-tárolóval történő többfelhasználós engedélyezés általánosan elérhető.
Hogyan működik a MUA a biztonsági mentéshez?
Az Azure Backup a Resource Guardot használja további engedélyezési mechanizmusként egy Recovery Services-tárolóhoz vagy egy Backup-tárolóhoz. Ezért egy kritikus művelet sikeres (alább ismertetett) sikeres végrehajtásához a társított Resource Guardra is megfelelő engedélyekkel kell rendelkeznie.
Fontos
A kívánt működéshez a Resource Guardnak egy másik felhasználónak kell lennie, és a tároló rendszergazdájának nem szabad közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel rendelkeznie a Resource Guardon. A Jobb védelem érdekében a Resource Guardot a tárolókat tartalmazó előfizetésben vagy bérlőben helyezheti el.
Kritikus műveletek
Az alábbi táblázat felsorolja a kritikus műveletekként definiált műveleteket, amelyeket egy Resource Guard védhet. A tárolók társításakor kizárhat bizonyos műveleteket a Resource Guard használatával történő védelem alól.
Feljegyzés
Nem zárhatja ki, hogy a Kötelezőként megadott műveletek védettek legyenek a Resource Guard használatával a hozzá társított tárolók esetében. Emellett a kizárt kritikus műveletek a Resource Guardhoz társított összes tárolóra vonatkoznak.
Tároló kiválasztása
| Művelet | Kötelező/ Nem kötelező | Leírás |
|---|---|---|
| Helyreállítható törlési vagy biztonsági funkciók letiltása | Kötelező | Tiltsa le a helyreállítható törlési beállítást egy tárolón. |
| MUA-védelem eltávolítása | Kötelező | Tiltsa le a MUA-védelmet egy tárolón. |
| Védelem törlése | Választható | A védelem törlése a biztonsági mentések leállításával és a törlési adatok végrehajtásával. |
| Védelem módosítása | Választható | Adjon hozzá egy új biztonsági mentési szabályzatot, amely csökkenti a megőrzést, vagy módosítja a szabályzat gyakoriságát az RPO növeléséhez. |
| Szabályzat módosítása | Választható | Módosítsa a biztonsági mentési szabályzatot a megőrzés csökkentése érdekében, vagy módosítsa a szabályzat gyakoriságát az RPO növelése érdekében. |
| Biztonsági PIN-kód lekérése biztonsági mentéshez | Választható | Módosítsa a MARS biztonsági PIN-kódát. |
| Biztonsági mentés leállítása és adatok megőrzése | Választható | Törölje a védelmet a biztonsági mentések leállításával és az adatok örökre történő megőrzésével vagy a szabályzatnak megfelelően történő megőrzésével. |
| A nem módosíthatóság letiltása | Választható | Tiltsa le a tárolók nem módosíthatósági beállítását. |
Fogalmak és folyamatok
A MUA Azure Backuphoz való használatakor használt fogalmakat és folyamatokat az alábbiakban ismertetjük.
Tekintsük át az alábbi két személyt a folyamat és a felelősség egyértelmű megértéséhez. Erre a két személyre a jelen cikkben hivatkozunk.
Biztonsági mentési rendszergazda: A Helyreállítási tár vagy a Biztonsági mentési tároló tulajdonosa, aki felügyeleti műveleteket végez a tárolón. Először is a biztonsági mentési rendszergazdának nem szabad engedélyekkel rendelkeznie a Resource Guardhoz. Ez lehet biztonsági mentési operátor vagy biztonsági mentési közreműködő RBAC-szerepkör a Recovery Services-tárolóban.
Biztonsági rendszergazda: A Resource Guard tulajdonosa, és a tároló kritikus műveleteinek kapuőreként szolgál. Ezért a biztonsági rendszergazda szabályozza azokat az engedélyeket, amelyeknek a biztonsági mentési rendszergazdának kritikus műveleteket kell végrehajtania a tárolón. Ez lehet a Resource Guard mua-rendszergazdai RBAC-szerepkörének biztonsági mentése.
Az alábbiakban egy diagramos ábrázolást követünk egy kritikus művelet végrehajtásához egy olyan tárolón, amelyen a MUA egy Resource Guard használatával van konfigurálva.
Egy tipikus forgatókönyv eseményeinek folyamata a következő:
A biztonsági mentési rendszergazda létrehozza a Recovery Services-tárolót vagy a Backup-tárolót.
A biztonsági rendszergazda létrehozza a Resource Guardot.
A Resource Guard egy másik előfizetésben vagy egy másik bérlőben lehet a tároló tekintetében. Győződjön meg arról, hogy a biztonsági mentési rendszergazda nem rendelkezik közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel a Resource Guardon.
A biztonsági rendszergazda az Olvasó szerepkört a Resource Guard biztonsági mentési rendszergazdájának (vagy egy releváns hatókörnek) adja. A biztonsági mentési rendszergazdának az olvasói szerepkörnek engedélyeznie kell a MUA-t a tárolóban.
A biztonsági mentési rendszergazda mostantól úgy konfigurálja a tárolót, hogy a MUA a Resource Guardon keresztül védve legyen.
Ha a biztonsági mentési rendszergazda vagy bármely olyan felhasználó, aki írási hozzáféréssel rendelkezik a tárolóhoz, egy olyan kritikus műveletet szeretne végrehajtani, amely a Tárolóban található Resource Guard-védelemmel van védve, akkor hozzáférést kell kérnie a Resource Guardhoz. A biztonsági mentési rendszergazda kapcsolatba léphet a biztonsági rendszergazdával az ilyen műveletek végrehajtásához való hozzáféréssel kapcsolatos részletekért. Ezt a Privileged Identity Management (PIM) vagy a szervezet által előírt egyéb folyamatok használatával tehetik meg. Kérhetik a "Backup MUA Operator" RBAC szerepkört, amely lehetővé teszi, hogy a felhasználók csak a Resource Guard által védett kritikus műveleteket hajthassanak végre, és nem teszik lehetővé az erőforrás-őr törlését.
A biztonsági rendszergazda ideiglenesen megadja a Resource Guard "Backup MUA-operátor" szerepkörét a biztonsági mentés rendszergazdájának a kritikus műveletek végrehajtásához.
Ezután a biztonsági mentési rendszergazda elindítja a kritikus műveletet.
Az Azure Resource Manager ellenőrzi, hogy a biztonsági mentési rendszergazda rendelkezik-e megfelelő engedélyekkel. Mivel a biztonsági mentési rendszergazda "Backup MUA Operator" szerepkörrel rendelkezik a Resource Guardon, a kérés befejeződött. Ha a biztonsági mentési rendszergazda nem rendelkezik a szükséges engedélyekkel/szerepkörökmel, a kérés sikertelen lesz.
A biztonsági rendszergazdának meg kell győződnie arról, hogy visszavonja a kritikus műveletek végrehajtásához szükséges jogosultságokat az engedélyezett műveletek végrehajtása után vagy egy meghatározott időtartam után. Ugyanezt a JIT-eszközöket használhatja a Microsoft Entra Privileged Identity Management szolgáltatással is.
Feljegyzés
- Ha ideiglenesen hozzáférést ad a Resource Guard közreműködői vagy biztonsági mentési MUA-rendszergazdai szerepkörének a biztonsági mentési rendszergazdához, az a Resource Guard törlési engedélyeit is biztosítja. Javasoljuk, hogy csak biztonsági mentési MUA-operátori engedélyeket adjon meg.
- A MUA csak a tárolóalapú biztonsági mentéseken végzett fent felsorolt műveletek védelmét biztosítja. A közvetlenül az adatforráson (azaz a védett Azure-erőforráson/számítási feladaton) végrehajtott műveletek túllépnek a Resource Guard hatókörén.
Használati forgatókönyvek
Az alábbi táblázat felsorolja a Resource Guard és a tárolók (Recovery Services-tároló és Backup-tároló) létrehozásának forgatókönyveit, valamint az egyes tárolók által nyújtott relatív védelmet.
Fontos
A biztonsági mentési rendszergazda nem rendelkezhet közreműködői, biztonsági mentési MUA-rendszergazdai vagy biztonsági mentési MUA-operátori engedélyekkel a Resource Guardhoz semmilyen esetben, mivel ez felülbírálja a MUA-védelem hozzáadását a tárolón.
| Használati forgatókönyv | A MUA miatti védelem | Egyszerű megvalósítás | Jegyzetek |
|---|---|---|---|
| A Tároló és a Resource Guard ugyanabban az előfizetésben található . A biztonsági mentési rendszergazda nem rendelkezik hozzáféréssel a Resource Guardhoz. |
A legkisebb elkülönítés a biztonsági mentési rendszergazda és a biztonsági rendszergazda között. | Viszonylag könnyen implementálható, mivel csak egy előfizetésre van szükség. | Az erőforrásszintű engedélyeket/ szerepköröket megfelelően kell hozzárendelni. |
| A Tároló és a Resource Guard különböző előfizetésekben található , de ugyanaz a bérlő. A biztonsági mentési rendszergazda nem rendelkezik hozzáféréssel a Resource Guardhoz vagy a megfelelő előfizetéshez. |
Közepes elkülönítés a biztonsági mentési rendszergazda és a biztonsági rendszergazda között. | Viszonylag közepesen könnyű implementációra van szükség, mivel két előfizetésre (de egyetlen bérlőre) van szükség. | Győződjön meg arról, hogy az engedélyek/ szerepkörök megfelelően vannak hozzárendelve az erőforráshoz vagy az előfizetéshez. |
| A tároló és a Resource Guard különböző bérlőkben található . A biztonsági mentési rendszergazda nem rendelkezik hozzáféréssel a Resource Guardhoz, a megfelelő előfizetéshez vagy a megfelelő bérlőhöz. |
A biztonsági mentési rendszergazda és a biztonsági rendszergazda közötti maximális elkülönítés, így a maximális biztonság. | Viszonylag nehéz tesztelni, mivel két bérlőt vagy könyvtárat kell tesztelni. | Győződjön meg arról, hogy az engedélyek/ szerepkörök megfelelően vannak hozzárendelve az erőforráshoz, az előfizetéshez vagy a címtárhoz. |
Következő lépések
Többfelhasználós engedélyezés konfigurálása a Resource Guard használatával.