我想定期将多台 Windows 服务器(所有 Azure VM)备份到 Azure 备份保管库。我担心的是,如果我的 Azure 帐户被盗用,攻击者可能会删除 VM、存储帐户和备份库。
- Azure Backup 是否针对这种情况提供任何保护?
- 如果没有,您推荐什么解决方案?一个明显的额外安全措施是为备份设置一个单独的 Azure 帐户。
答案1
您可以使用资源锁保护资源免遭意外/恶意删除。
例如,要将锁应用于保险库,您可以使用以下命令
New-AzureRmResourceLock -LockName "VaultLock" -LockLevel CanNotDelete `
-ResourceGroupName MyvaultRG `
-ResourceName MyVault `
-ResourceType Microsoft.KeyVault/vaults
如果您尝试删除,您将收到以下错误
Remove-AzureRmKeyVault:ScopeLocked:范围“{scope}”无法执行删除操作,因为以下范围已被锁定:{scope}
您需要发出命令来删除锁才能删除资源。
Remove-AzureRmResourceLock -LockName "VaultLock"
这与 RBAC 策略结合使用可以保证您的资源安全。