我有一个(物理,而不是Azure虚拟机!)Windows服务器的文件自动备份使用Azure备份 。
如果服务器受到攻击,攻击者可以对备份造成多大的损害?
背景 :新一代的勒索软件有不幸的趋势,主动search和删除备份(卷影副本,外部硬盘驱动器等)。 我猜这只是一个时间问题,他们也开始针对云备份。
我已经完成的研究 :我认为攻击者可以做的最坏的损害是将保留期限降低到最less7天,从而破坏超过一周的备份。 我查看了Azure备份Powershell Cmdlet (这似乎是Azure备份工具的官方API),并且没有find任何明确删除或覆盖恢复点的方法。
相关问题 : 保护Azure备份不被恶意删除 。 这个问题是关于Azurepipe理凭据受到侵害的情况。 我的问题是关于只有保pipe库注册的服务器被攻破的情况,但pipe理凭证是安全的。
不幸的是,相当狡猾,你是不正确的。 您可以使用Remove-OBPolicy ,该选项可以使用-DeleteBackup参数删除所有关联的备份。
我也想不到立即的办法来防止这一点。 也许有可能在一定程度上交换凭据。
你可以让他们备份到一个中间文件存储,从那里被推上去。 不幸的是,这是一个非常棒的解决scheme。
Remove-OBPolicy cmdlet删除当前设置的备份策略(OBPolicy对象)。 这会停止现有的每日定时备份。 如果指定了DeleteBackup参数,则删除在线备份服务器上根据此策略备份的所有数据。 如果未指定DeleteBackup参数,则根据在创build备份时生效的保留策略保留现有备份。
Azure(2016年11月) 将新的安全function添加到可在恢复保pipe库设置中激活的恢复服务保pipe库 ,并解决以下问题:
预防 :为删除备份数据,更改密码短语等关键操作添加了新的身份validation层。 这些操作现在要求只有具有有效Azure凭据的用户才能使用安全PIN码。
警报 :针对影响备份数据可用性的任何关键操作发送电子邮件通知。 这些通知使用户能够在发生攻击时立即检测到这些攻击。
恢复 :Azure备份保留删除的备份数据14天,确保使用任何旧的或最近的恢复点进行恢复。 此外,始终保持最less数量的恢复点,以便始终有足够的恢复点数。