Auditar y aplicar la copia de seguridad de Azure Files mediante Azure Policy

En este artículo se describe cómo Azure Backup usa definiciones integradas de Azure Policy para automatizar la auditoría y el cumplimiento de las configuraciones de copia de seguridad para Azure Files, lo que garantiza el cumplimiento de los estándares de protección de datos de la organización.

En función de la estructura de los equipos de copia de seguridad y de la organización de los recursos, puede elegir la directiva más adecuada de las siguientes opciones para garantizar la administración eficaz y coherente de las copias de seguridad.

Tipos de Azure Policy para la copia de seguridad de Azure Files

En la tabla siguiente se enumeran los distintos tipos de directiva que le permiten administrar automáticamente copias de seguridad de instancias de Azure Files:

Tipo de directiva Descripción
Política 1 Configura la copia de seguridad de Azure Files sin una etiqueta determinada en un almacén de Recovery Services existente en la misma ubicación.
Política 2 Configura la copia de seguridad de Azure Files con una etiqueta determinada en un almacén de Recovery Services existente en la misma ubicación.
Política 3 Configura la copia de seguridad de Azure Files sin una etiqueta determinada en una nueva bóveda de servicios de recuperación con una nueva política.
Directiva 4 Configura el backup de Azure Files con una etiqueta específica en una nueva bóveda de Recovery Services con una nueva directiva.
Directiva 5 Valida si Azure Backup está habilitado en Azure Files.

Directiva 1: Configuración de la copia de seguridad de los recursos compartidos de Azure Files sin una etiqueta dada en un almacén de Recovery Services existente en la misma ubicación

Esta directiva hace cumplir la copia de seguridad de todos los archivos de Azure configurándolos para usar una bóveda central de Servicios de Recuperación existente en la misma ubicación y suscripción que la cuenta de almacenamiento. Se adapta a escenarios en los que un equipo central administra las copias de seguridad en todos los recursos de una suscripción. Puede excluir Azure Files en cuentas de almacenamiento con una etiqueta específica para refinar el ámbito de la directiva.

La directiva comprueba TagNames y TagValues en las cuentas de almacenamiento para identificar exclusiones. Excluye cualquier cuenta de almacenamiento con una etiqueta especificada del informe de cumplimiento. La directiva evalúa cada cuenta de almacenamiento y sus recursos compartidos de archivos mediante los parámetros proporcionados y muestra los resultados en Azure Portal.

El flujo de trabajo de evaluación funciona según las condiciones siguientes:

  • La cuenta de almacenamiento se registra con un almacén de Recovery Services: si ya existe una copia de seguridad del recurso compartido de archivos, no se realiza ninguna acción. Si no es así y la cuenta de almacenamiento está vinculada al almacén de Recovery Services especificado en la directiva, la copia de seguridad está habilitada. Si está vinculado a otro almacén de Recovery Services, se omite la copia de seguridad.

  • La cuenta de almacenamiento no está registrada con un almacén de Recovery Services: la cuenta de almacenamiento se registra con el almacén de Recovery Services especificado y se realiza una copia de seguridad automática de todos los recursos compartidos de archivos de la cuenta de almacenamiento.

Directiva 2: Configuración de la copia de seguridad de los recursos compartidos de Azure Files con una etiqueta dada en un almacén de Recovery Services existente en la misma ubicación

Esta directiva aplica la copia de seguridad de todos los archivos de Azure al dirigirlas a un almacén de Recovery Services especificado en la misma ubicación y suscripción que la cuenta de almacenamiento. Se adapta a las organizaciones con un equipo central que administra copias de seguridad. Puede limitar el ámbito de directiva a las cuentas de almacenamiento con etiquetas específicas estableciendo los valores necesarios TagName y TagValue.

La directiva comprueba las cuentas de almacenamiento en función de las etiquetas proporcionadas y aplica la configuración de copia de seguridad. Si encuentra un recurso compartido de archivos desprotegido en una cuenta apta, aplica la siguiente lógica y muestra los resultados en Azure Portal:

  • La cuenta de almacenamiento ya está registrada con un almacén de Recovery Services: si ya se ha realizado una copia de seguridad de todos los recursos compartidos de archivos, la directiva no realiza ninguna acción. Si algún recurso compartido de archivos no tiene configurada la copia de seguridad y la cuenta de almacenamiento coincide con el almacén de Recovery Services especificado en la directiva, la copia de seguridad está habilitada. Si la cuenta de almacenamiento está vinculada a otro almacén de Recovery Services, la directiva no realiza ningún cambio.

  • La cuenta de almacenamiento no está registrada en ningún almacén de Recovery Services: la directiva registra la cuenta de almacenamiento con el almacén de Recovery Services especificado e inicia automáticamente la operación de copia de seguridad para todos sus recursos compartidos de archivos.

Nota:

Las cuentas de almacenamiento con las etiquetas de inclusión especificadas aparecen durante la evaluación y en los informes de cumplimiento.

Directiva 3: Configuración de la copia de seguridad para recursos compartidos de Azure Files sin una etiqueta determinada en un nuevo almacén de Recovery Services con una nueva directiva

Esta directiva impone la copia de seguridad de todos los archivos de Azure mediante la implementación de un almacén de servicios de recuperación en la misma ubicación y grupo de recursos que la cuenta de almacenamiento. Se adapta a las organizaciones en las que los equipos de aplicaciones administran copias de seguridad dentro de sus propios grupos de recursos. Puede excluir cuentas de almacenamiento con etiquetas específicas (TagName y TagValue) para refinar el ámbito de la directiva. La directiva comprueba cada cuenta de almacenamiento en función de los parámetros definidos, omite esas cuentas de almacenamiento con etiquetas de exclusión y las omite de los informes de cumplimiento.

El flujo de trabajo de evaluación funciona según las condiciones siguientes:

  • La cuenta de almacenamiento ya está registrada con un almacén de Recovery Services: si ya se ha realizado una copia de seguridad de todos los recursos compartidos de archivos, la directiva no realiza ninguna acción. Si un recurso compartido de archivos no tiene copias de seguridad configuradas y se encuentra en la misma cuenta de almacenamiento que la bóveda de Recovery Services especificada en la directiva, la copia de seguridad se inicia después de ejecutar una tarea de corrección puntual. Esta tarea solo se ejecuta una vez; la copia de seguridad de los recursos compartidos de archivos futuros se realiza automáticamente.

  • La cuenta de almacenamiento no está registrada con ningún almacén de Recovery Services: la directiva crea un nuevo almacén de Recovery Services en el mismo grupo de recursos y ubicación que la cuenta de almacenamiento. A continuación, se registra la cuenta de almacenamiento con este almacén y se realiza automáticamente una copia de seguridad de todos los recursos compartidos de archivos de la cuenta.

Directiva 4: Configuración de la copia de seguridad para recursos compartidos de Azure Files con una etiqueta determinada en un nuevo almacén de Recovery Services con una nueva directiva

Esta directiva aplica la copia de seguridad de todos los archivos de Azure Mediante la creación de un almacén de Recovery Services en la misma ubicación y grupo de recursos que la cuenta de almacenamiento. Se adapta a las organizaciones en las que los equipos de aplicaciones administran sus propias operaciones de copia de seguridad y restauración dentro de grupos de recursos dedicados. Puede limitar el ámbito de directiva a las cuentas de almacenamiento con etiquetas específicas (TagName y TagValue) para un control preciso.

La directiva comprueba cada cuenta de almacenamiento en función de los parámetros definidos. Incluye cuentas que coinciden con las etiquetas especificadas y refleja su estado de cumplimiento en Azure Portal.

El flujo de trabajo de evaluación funciona según las condiciones siguientes:

  • La cuenta de almacenamiento ya está registrada con un almacén de Recovery Services: si ya se ha realizado una copia de seguridad de todos los recursos compartidos de archivos, la directiva no realiza ninguna acción. Si algún recurso compartido de archivos no tiene configurada la copia de seguridad y se encuentra en la cuenta de almacenamiento igual que el almacén de Recovery Services especificado en la directiva, la copia de seguridad se inicia después de ejecutar una tarea de corrección única. Una vez completada esta tarea, se realiza una copia de seguridad automática de las comparticiones de archivos futuras de la misma cuenta.

  • La cuenta de almacenamiento no está registrada con ningún almacén de Recovery Services: la directiva crea un nuevo almacén de Recovery Services en la misma ubicación y grupo de recursos que la cuenta de almacenamiento, registra la cuenta de almacenamiento con este almacén y realiza automáticamente una copia de seguridad de todos los recursos compartidos de archivos dentro de él.

Directiva 5: Azure Backup debe estar habilitado en recursos compartidos de archivos de Azure

Esta directiva valida si la protección de Azure Files está configurada con Azure Backup, una solución segura y rentable para proteger las cargas de trabajo de Azure. Genera un informe que enumera los recursos compatibles y no conformes.

Escenarios admitidos y no admitidos para la copia de seguridad de Azure Files con Azure Policy

En la tabla siguiente se enumeran los escenarios admitidos y no admitidos para los tipos de directiva disponibles:

Tipos de directiva Compatible Sin fundamento
Políticas 1 y 2 Se puede asignar a una única ubicación y suscripción a la vez. Para habilitar la copia de seguridad de archivos entre ubicaciones y suscripciones, es necesario crear varias instancias de la asignación de directiva, una para cada combinación de ubicación y suscripción.

: el almacén especificado y los archivos de Azure configurados para la copia de seguridad pueden estar en grupos de recursos diferentes.		 Actualmente no se admite el ámbito del grupo de administración.
Políticas 3 y 4 Se puede asignar a una sola suscripción a la vez (o a un grupo de recursos dentro de una suscripción).

Asignación de una copia de seguridad integrada de Azure Policy para Azure Files

En esta sección se describen los pasos de un extremo a otro para asignar la directiva 1. Las mismas instrucciones se aplican a las demás directivas. Después de la asignación, la directiva configura automáticamente la copia de seguridad de cualquier nuevo recurso compartido de archivos creado dentro del ámbito definido.

Para asignar la directiva 1 para la copia de seguridad de Azure Files, siga estos pasos:

  1. En el Portal de Azure, vaya a Policy>Authoring>Definitions (Definiciones de creación de directivas) para ver todas las directivas integradas en los recursos de Azure.

    Captura de pantalla que muestra cómo ver las directivas integradas.

  2. En el panel Definiciones de directiva, filtre la lista de Categoría como Copia de seguridad, Tipo de directiva como Integrada y, a continuación, seleccione la directiva denominada Configurar copia de seguridad para recursos compartidos de Azure Files sin una etiqueta determinada en un almacén de Recovery Services existente en la misma ubicación.

  3. En el panel directiva seleccionado, revise los detalles de la directiva y, a continuación, seleccione Asignar directiva.

    Captura de pantalla que muestra los detalles de la directiva seleccionada.

  4. En el panel Asignar directiva, en la pestaña Aspectos básicos, seleccione el icono Más que corresponde al Ámbito.

    Captura de pantalla que muestra cómo establecer el ámbito de la asignación de directiva.

  5. En el panel contextual derecho, seleccione la suscripción en la que se aplicará la directiva.

    También puede seleccionar un grupo de recursos para que la directiva solo se aplique para las máquinas virtuales de un grupo de recursos determinado.

  6. En la pestaña Parámetros , proporcione la ubicación, el nombre del almacén, el nombre de la directiva de copia de seguridad a la que se deben asociar los archivos de Azure en el ámbito.

    Captura de pantalla que muestra cómo establecer los parámetros de cumplimiento de directivas.

    También puede especificar un nombre de etiqueta y una matriz de valores de etiqueta. Una compartición de archivos que contiene cualquiera de los valores especificados para la etiqueta determinada se excluye del ámbito de la asignación de política.

    Asegúrese de que Effect esté establecido en deployIfNotExists.

  7. En la pestaña Revisar y crear, seleccione Crear.

Nota:

Evite asignar esta directiva a más de 200 recursos compartidos de archivos a la vez, ya que podría retrasar los desencadenadores de copia de seguridad varias horas más allá de la hora programada.

Contenido relacionado

Acerca de Azure Policy.

  • Last updated on