Azure Backup を使用してファイルが自動的にバックアップされる(Azure VMではなく物理的な)Windowsサーバーがあります。
サーバーが危険にさらされた場合、攻撃者はバックアップにどの程度の損害を与える可能性がありますか?
背景:新世代のランサムウェアは、残念ながら、バックアップ(ボリュームシャドウコピー、外付けハードドライブなど)を積極的に検索して削除する傾向があります。彼らがクラウドバックアップもターゲットにし始めるのは時間の問題だと思います。
私がすでに行った調査:私考える攻撃者が行う可能性のある最悪の被害は、保持期間を最低7日間に短縮し、それより古いバックアップを破壊することです一週間。 Azure Backup Powershellコマンドレット (Azure Backupインストルメンテーションの公式APIのようです)を調べましたが、リカバリポイントを明示的に削除または上書きする方法が見つかりませんでした。
関連する質問: Azure Backupを悪意のある削除から保護する 。その質問は、Azure管理資格情報が危険にさらされた場合についてです。私の質問は、ボールトに登録されたサーバーのみが侵害されたが、管理資格情報は安全である場合についてです。
残念ながら、そしてむしろ恐ろしいことに、あなたは間違っています。 Remove-OBPolicy
を使用できます。これには、-DeleteBackup
パラメーターを使用して関連するすべてのバックアップを削除するオプションがあります。
これを防ぐための即時の方法も考えられません。たぶん、何らかの方法で資格情報を交換することは可能でしょう。
中間のファイルストアにバックアップして、そこからプッシュすることができます。残念ながら、それは非常にバンドエイドの解決策です。
Remove-OBPolicyコマンドレットは、現在設定されているバックアップポリシー(OBPolicyオブジェクト)を削除します。これにより、既存のスケジュールされた毎日のバックアップが停止します。 DeleteBackupパラメータが指定されている場合、オンラインバックアップサーバーでこのポリシーに従ってバックアップされたデータはすべて削除されます。 DeleteBackupパラメータが指定されていない場合、既存のバックアップは、バックアップの作成時に有効だった保持ポリシーに従って保持されます。
Azure just(2016年11月) Recovery Servicesボールトに新しいセキュリティ機能を追加 これはリカバリボールト設定でアクティブ化でき、これらの問題に正確に対処できます。
防止:バックアップデータの削除、パスフレーズの変更などの重要な操作のために新しい認証レイヤーが追加されました。これらの操作には、有効なAzure資格情報を持つユーザーのみが利用できるセキュリティPINが必要です。
Alerting:バックアップデータの可用性に影響を与える重要な操作については、電子メール通知が送信されます。これらの通知により、ユーザーは攻撃が発生するとすぐにそれを検出できます。
回復:Azureバックアップは削除されたバックアップデータを14日間保持し、古いまたは最近の回復ポイントを使用して回復できるようにします。また、回復するのに十分な数のポイントが常に存在するように、最小数の回復ポイントが常に維持されます。