Azure 備份的虛刪除
本文說明如何啟用和停用虛刪除功能,並永久刪除處於虛刪除狀態的資料。
諸如惡意程式碼、勒索軟體及入侵等安全性問題,現在愈來愈受到重視。 這些安全性問題就成本面與資料面來說,代價都十分高昂。 為了防範這類攻擊,Azure 備份現在提供安全性功能來協助保護備份資料,甚至在刪除之後也是一樣。
其中一項這類功能是虛刪除。 使用虛刪除後,即使惡意執行者刪除備份 (或意外刪除備份資料),備份資料仍會額外保留 14 天,以允許復原該備份項目,而不會遺失任何資料。 將處於「虛刪除」狀態的備份資料額外保留 14 天,不會產生任何費用。
這些服務可使用虛刪除保護:
虛刪除備份項目的生命週期
此流程圖顯示備份項目在啟用虛刪除時的不同步驟和狀態:
啟用和停用虛刪除
新建立的保存庫預設會啟用虛刪除,以防止備份資料遭到意外或惡意刪除。 不建議停用此功能。 唯一應該考慮停用虛刪除的情況如下:如果您打算將受保護項目移至新的保存庫,但在刪除和重新保護 (例如在測試環境中) 之前無法等待 14 天。
若要停用保存庫上的虛刪除,您必須具有該保存庫的「備份參與者」角色 (您應該擁有在保存庫上執行 Microsoft.RecoveryServices/Vaults/backupconfig/write 的權限)。 如果您停用此功能,未來所有針對受保護項目的移除作業,都會立即移除項目而無法還原。 停用此功能之前處於虛刪除狀態的備份資料,將會在 14 天的期間內保持虛刪除狀態。 如果您想要立即永久刪除這些項目,則需要在取消刪除後重新將其刪除,即可永久刪除。
請務必記住,停用虛刪除之後,就會針對所有類型的工作負載停用此功能。 例如,您無法只針對 SQL Server 或 SAP HANA DB 停用虛刪除,同時讓相同保存庫中的虛擬機器都保持啟用狀態。 您可以建立不同的保存庫以進行細微的控制。
提示
若要在組織中的使用者停用保存庫的虛刪除時收到警示/通知,請使用 Azure 備份的 Azure 監視器警示。 因為虛刪除的停用是潛在的破壞性作業,所以建議您在此案例中使用警示系統來監視所有這類作業,並對任何非預期的作業採取動作。
注意
- 您也可以使用多使用者授權 (MUA) 新增額外的保護層,以防止虛刪除遭到停用。 深入了解。
- 目前僅針對復原服務保存庫支援適用於虛刪除的 MUA。
具有延長保留期的 [一律開啟虛刪除]
根據預設,虛刪除會在所有新建立的保存庫上啟用。 [一律開啟虛刪除] 狀態是選擇加入的功能。 啟用之後,就無法停用 (無法復原)。
此外,您可以延長已刪除之備份資料的保留期,範圍從 14 天到 180 天。 根據預設,保存庫的保留期設定為 14 天 (根據基本的虛刪除),而且您可以視需要加以延長。 虛刪除在保留的前 14 天內不會產生成本;不過,您必須為 14 天之後的期間支付費用。 深入了解價格。
停用虛刪除
您可以使用下列支援的用戶端來停用虛刪除功能。
選擇用戶端:
執行下列步驟:
- 在 Azure 入口網站中,移至您的保存庫,然後移至 [設定]>[屬性]。
- 在 [屬性] 窗格中,選取 [安全性設定更新]。
- 在 [安全性與虛刪除設定] 窗格中,清除所需的核取方塊以停用虛刪除。
使用 Set-AzRecoveryServicesVaultBackupProperty Cmdlet。
Set-AzRecoveryServicesVaultProperty -VaultId $myVaultID -SoftDeleteFeatureState Disable
StorageModelType :
StorageType :
StorageTypeState :
EnhancedSecurityState : Enabled
SoftDeleteFeatureState : Disabled
重要
使用 Azure PowerShell 停用虛刪除,所需的 Az.RecoveryServices 最低版本為 2.2.0。 請使用 Install-Module -Name Az.RecoveryServices -Force
取得最新版本。
若要使用 REST API 停用虛刪除功能,請參閱 下列步驟。
永久刪除虛刪除的備份項目
停用此功能之前處於虛刪除狀態的備份數據會維持在虛刪除狀態。 若要立即永久刪除這些項目,請取消刪除並再次刪除它們。 使用下列其中一個用戶端永久刪除虛刪除的資料。
選擇用戶端:
執行下列步驟:
停用虛刪除。
在 Azure 入口網站中,移至您的保存庫>[備份項目],然後選擇虛刪除項目。
選取 [取消刪除]。
接著會出現一個視窗。 選取 [取消刪除]。
選擇 [刪除備份資料] 以永久刪除備份資料。
輸入備份項目的名稱,以確認刪除復原點。
若要刪除項目的備份資料,請選取 [刪除]。 通知訊息可讓您知道備份資料已刪除。
執行下列步驟:
找出處於虛刪除狀態的項目。
$myVault = Get-AzRecoveryServicesVault -ResourceGroupName "yourResourceGroupName" -Name "yourVaultName"
Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultID $myVault.ID | Where-Object {$_.DeleteState -eq "ToBeDeleted"}
Name ContainerType ContainerUniqueName WorkloadType ProtectionStatus HealthStatus DeleteState
---- ------------- ------------------- ------------ ---------------- ------------ -----------
VM;iaasvmcontainerv2;selfhostrg;AppVM1 AzureVM iaasvmcontainerv2;selfhostrg;AppVM1 AzureVM Healthy Passed ToBeDeleted
$myBkpItem = Get-AzRecoveryServicesBackupItem -BackupManagementType AzureVM -WorkloadType AzureVM -VaultId $myVault.ID -Name AppVM1
將啟用虛刪除時已執行的刪除作業復原。
Undo-AzRecoveryServicesBackupItemDeletion -Item $myBKpItem -VaultId $myVault.ID -Force
WorkloadName Operation Status StartTime EndTime JobID
------------ --------- ------ --------- ------- -----
AppVM1 Undelete Completed 12/5/2019 12:47:28 PM 12/5/2019 12:47:40 PM 65311982-3755-46b5-8e53-c82ea4f0d2a2
虛刪除停用時,刪除作業會立即移除備份資料。
Disable-AzRecoveryServicesBackupProtection -Item $myBkpItem -RemoveRecoveryPoints -VaultId $myVault.ID -Force
WorkloadName Operation Status StartTime EndTime JobID
------------ --------- ------ --------- ------- -----
AppVM1 DeleteBackupData Completed 12/5/2019 12:44:15 PM 12/5/2019 12:44:50 PM 0488c3c2-accc-4a91-a1e0-fba09a67d2fb
下一步