Insieme di credenziali non modificabile per Backup di Azure
L'insieme di credenziali non modificabile consente di proteggere i dati di backup bloccando eventuali operazioni che potrebbero causare la perdita di punti di ripristino. Inoltre, è possibile bloccare l'impostazione Dell'insieme di credenziali non modificabile per renderla irreversibile e usare l'archiviazione WORM per i backup per impedire a qualsiasi utente malintenzionato di disabilitare l'immutabilità ed eliminare i backup.
Scenari supportati per l'archiviazione WORM
- L'uso dell'archiviazione WORM per insiemi di credenziali non modificabili in stato bloccato è attualmente disponibile a livello generale per gli insiemi di credenziali dei servizi di ripristino nelle aree seguenti: Australia centrale 2, Svizzera occidentale, Sudafrica occidentale, Corea centrale, Germania settentrionale, Corea del Sud, Spagna centrale.
- L'uso dell'archiviazione WORM per gli insiemi di credenziali non modificabili in stato bloccato è applicabile per i carichi di lavoro seguenti: Macchine virtuali di Azure, SQL in macchina virtuale di Azure, SAP HANA in macchina virtuale di Azure, Backup di Azure Server, agente Backup di Azure, DPM.
Prima di iniziare
- L'insieme di credenziali non modificabile è disponibile in tutte le aree pubbliche di Azure e US Government.
- L'insieme di credenziali non modificabile è supportato per gli insiemi di credenziali di Servizi di ripristino e gli insiemi di credenziali di Backup.
- L'abilitazione dell'insieme di credenziali non modificabile impedisce di eseguire operazioni specifiche nell'insieme di credenziali e negli elementi protetti al suo interno. Vedere le Operazioni con restrizioni.
- L'abilitazione della non modificabilità per l'insieme di credenziali è un'operazione reversibile. Tuttavia, è possibile scegliere di renderla irreversibile per impedire a qualsiasi soggetto malintenzionato di disabilitarla (una volta disabilitata, tali soggetti possono eseguire operazioni distruttive). Informazioni su come rendere irreversibile l'insieme di credenziali non modificabile.
- L'insieme di credenziali non modificabile si applica a tutti i dati nell'insieme di credenziali. Di conseguenza, a tutte le istanze protette nell'insieme di credenziali è applicata la non modificabilità.
- La non modificabilità non si applica ai backup operativi, ad esempio il backup operativo di BLOB, file e dischi.
Nota
Assicurarsi che il provider di risorse sia registrato nella sottoscrizione per Microsoft.RecoveryServices
, altrimenti le opzioni delle proprietà con ridondanza della zona e insieme di credenziali come "Impostazioni di non modificabilità" non saranno accessibili.
Come funziona la non modificabilità?
Anche se Backup di Azure archivia i dati in isolamento dai carichi di lavoro di produzione, consente di eseguire operazioni di gestione per gestire i backup, incluse le operazioni che permettono di eliminare i punti di ripristino. In alcuni scenari, tuttavia, è possibile rendere i dati di backup non modificabili impedendo tali operazioni che, se usate da soggetti malintenzionati, potrebbero causare la perdita di backup. L'impostazione Insieme di credenziali non modificabile nell'insieme di credenziali consente di bloccare tali operazioni per assicurarsi che i dati di backup siano protetti, anche se gli utenti malintenzionati tentano di eliminarli per influire sulla recuperabilità dei dati.
Rendere irreversibile la non modificabilità
La non modificabilità di un insieme di credenziali è un'impostazione reversibile che consente di disabilitare la non modificabilità (che consente l'eliminazione dei dati di backup), se necessario. Tuttavia, è consigliabile, dopo essere soddisfatti dell'impatto dell'immutabilità, bloccare l'insieme di credenziali per rendere irreversibili le impostazioni dell'insieme di credenziali non modificabili e abilitare l'archiviazione WORM per i backup, in modo che qualsiasi attore malintenzionato non possa disabilitarlo. Di conseguenza, le impostazioni dell'insieme di credenziali non modificabile accettano i tre stati seguenti.
Stato dell'impostazione dell'insieme di credenziali non modificabile | Descrizione |
---|---|
Disabilitato | Nell'insieme di credenziali non è abilitata la non modificabilità e nessuna operazione è bloccata. |
Abilitato | Nell'insieme di credenziali la non modificabilità è abilitata e non sono consentite operazioni che potrebbero causare la perdita di backup. Tuttavia, l'impostazione può essere disabilitata. |
Abilitata e bloccata | L'insieme di credenziali ha un'immutabilità con l'archiviazione WORM abilitata e non consente operazioni che potrebbero causare la perdita di backup. Poiché l'impostazione dell'insieme di credenziali non modificabile è ora bloccata, non può essere disabilitata. Si noti che il blocco della non modificabilità è irreversibile, quindi assicurarsi di valutare attentamente la decisione in merito al blocco. |
Operazioni con restrizioni
L'insieme di credenziali non modificabile impedisce di eseguire nell'insieme di credenziali le operazioni seguenti che potrebbero causare la perdita di dati:
Scegliere un insieme di credenziali
Tipo di operazione | Descrizione |
---|---|
Arrestare la protezione eliminando i dati | Non è possibile eliminare i punti di ripristino di un elemento protetto prima della rispettiva data di scadenza. Tuttavia, è comunque possibile arrestare la protezione delle istanze mantenendo i dati per sempre o fino alla scadenza. |
Modificare i criteri di backup per ridurre il periodo di conservazione | Tutte le azioni che riducono il periodo di conservazione in un criterio di backup non sono consentite nell'insieme di credenziali non modificabile. Tuttavia, è possibile apportare ai criteri modifiche che comportano l'aumento del periodo di conservazione. È anche possibile apportare modifiche alla pianificazione di un criterio di backup. Si noti che l'aumento del periodo di conservazione non può essere applicato se i backup di un elemento sono sospesi (arresto del backup). |
Modificare i criteri di backup per ridurre il periodo di conservazione | Qualsiasi tentativo di sostituire un criterio di backup associato a un elemento di backup con un altro criterio con un periodo di conservazione inferiore a quello esistente viene bloccato. Tuttavia, è possibile sostituire un criterio con un altro con un periodo di conservazione più elevato. |