У меня есть (физический, а не виртуальная машина Azure!) Windows-сервер, файлы которого автоматически копируются с помощью Azure Backup .
Если сервер будет скомпрометирован, какой ущерб для резервных копий может ли злоумышленник сделать?
Общие сведения : Новые поколения программ-вымогателей имеют прискорбную тенденцию активно искать и удалять резервные копии (теневые копии томов, внешние жесткие диски и т. д.). Я полагаю, что это только вопрос времени, когда они начнут использовать резервные копии в облаке.
Исследования, которые я уже провел : Я думаю , что худший урон, который может нанести злоумышленник, - это уменьшить минимальный срок хранения 7 дней, что приводит к уничтожению резервных копий старше недели. Защита Azure Backup от злонамеренного удаления . Этот вопрос касается случая, когда учетные данные управления Azure скомпрометированы. Мой вопрос касается случая, когда скомпрометирован только сервер, зарегистрированный в хранилище, но учетные данные управления в безопасности.
К сожалению, что довольно пугающе, вы ошиблись. вы можете использовать Remove-OBPolicy
, в котором есть возможность удалить все связанные резервные копии с параметром -DeleteBackup
.
Я тоже не могу придумать немедленного способа защиты от этого. Может быть, удастся как-нибудь поменять учетные данные.
Вы можете сделать так, чтобы они выполняли резервное копирование в промежуточное хранилище файлов, оттуда их выталкивали. К сожалению, это очень банальное решение.
Командлет Remove-OBPolicy удаляет текущую установленную политику резервного копирования (объект OBPolicy). Это останавливает существующее запланированное ежедневное резервное копирование. Если указан параметр DeleteBackup, то все данные, резервные копии которых созданы в соответствии с этой политикой на сервере оперативного резервного копирования, удаляются. Если параметр DeleteBackup не указан, существующие резервные копии сохраняются в соответствии с политикой хранения, действовавшей на момент создания резервной копии.
Только что в Azure (ноябрь 2016 г.) были добавлены новые функции безопасности в хранилища служб восстановления , которые можно активировать в настройках хранилища для восстановления и решить следующие проблемы:
Предотвращение : добавлен новый уровень аутентификации для критически важных операций, таких как удаление данных резервного копирования, изменение парольной фразы. Для этих операций теперь требуется ПИН-код безопасности, доступный только пользователям с действующими учетными данными Azure.
Оповещение : уведомления по электронной почте отправляются для любых критических операций, которые влияют на доступность данных резервного копирования. Эти уведомления позволяют пользователям обнаруживать атаки, как только они происходят.
Восстановление : Резервное копирование Azure сохраняет удаленные данные резервных копий в течение 14 дней, обеспечивая восстановление с использованием любых старых или недавних точек восстановления. Кроме того, всегда поддерживается минимальное количество точек восстановления, чтобы всегда было достаточное количество точек для восстановления.