У меня есть (физический, а не виртуальная машина Azure!) Windows-сервер, файлы которого автоматически копируются с помощью Резервное копирование Azure.
Если сервер будет скомпрометирован, какой ущерб резервным копиям может нанести злоумышленник?
Задний план: Новые поколения программ-вымогателей имеют прискорбную тенденцию активно искать и удалять резервные копии (теневые копии томов, внешние жесткие диски и т. Д.). Я думаю, это только вопрос времени, когда они начнут использовать резервное копирование в облаке.
Исследования, которые я уже провел: Я считать что худший ущерб, который может нанести злоумышленник, будет заключаться в снижении периода хранения до минимального 7 дней, что приведет к уничтожению резервных копий старше недели. Я просмотрел Командлеты Powershell для резервного копирования Azure (который, по-видимому, является официальным API для инструментов резервного копирования Azure) и не нашли никакого способа явно удалить или перезаписать точки восстановления.
Связанный вопрос: Защита Azure Backup от злонамеренного удаления. Этот вопрос касается случая, когда учетные данные управления Azure скомпрометированы. Мой вопрос касается случая, когда скомпрометирован только сервер, зарегистрированный в хранилище, но учетные данные управления в безопасности.
К сожалению, что довольно пугающе, вы ошибаетесь. ты можешь использовать Remove-OBPolicy
который имеет возможность удалить все связанные резервные копии с -DeleteBackup
параметр.
Я тоже не могу придумать немедленного способа защиты от этого. Возможно, удастся как-нибудь поменять учетные данные.
Вы можете сделать так, чтобы они выполняли резервное копирование в промежуточное файловое хранилище, откуда их выталкивали. К сожалению, это очень банальное решение.
Командлет Remove-OBPolicy удаляет текущую установленную политику резервного копирования (объект OBPolicy). Это останавливает существующее запланированное ежедневное резервное копирование. Если указан параметр DeleteBackup, то все данные, резервные копии которых созданы в соответствии с этой политикой на сервере оперативного резервного копирования, удаляются. Если параметр DeleteBackup не указан, существующие резервные копии сохраняются в соответствии с политикой хранения, действовавшей на момент создания резервной копии.
Azure just (ноябрь 2016 г.) добавлены новые функции безопасности в хранилища служб восстановления который можно активировать в настройках хранилища для восстановления и решить эти проблемы:
Профилактика: Добавлен новый уровень аутентификации для критических операций, таких как удаление данных резервного копирования, изменение парольной фразы. Для этих операций теперь требуется ПИН-код безопасности, доступный только пользователям с действующими учетными данными Azure.
Предупреждение: Уведомления по электронной почте отправляются для любых критических операций, которые влияют на доступность данных резервного копирования. Эти уведомления позволяют пользователям обнаруживать атаки, как только они происходят.
Восстановление: Служба резервного копирования Azure сохраняет удаленные данные резервной копии в течение 14 дней, обеспечивая восстановление с использованием любых старых или недавних точек восстановления. Кроме того, всегда поддерживается минимальное количество точек восстановления, чтобы всегда было достаточное количество точек для восстановления.