Auditar e impor backup para Arquivos do Azure usando a Política do Azure

Este artigo descreve como o Backup do Azure usa definições internas da Política do Azure para automatizar a auditoria e a imposição de configurações de backup para Arquivos do Azure, garantindo a conformidade com os padrões organizacionais de proteção de dados.

Com base na estrutura de suas equipes de backup e na organização de seus recursos, você pode escolher a política mais adequada entre as opções a seguir para garantir um gerenciamento de backup eficaz e consistente.

Tipos de Política do Azure para backup de Arquivos do Azure

A tabela a seguir lista os vários tipos de política que permitem gerenciar backups de instâncias do Azure Files automaticamente:

Tipo de política Descrição
Política 1 Configura o backup dos Arquivos do Azure sem uma determinada etiqueta para um cofre dos Serviços de Recuperação existente no mesmo local.
Política 2 Configura o backup dos Ficheiros do Azure com uma etiqueta específica para um cofre do Serviço de Recuperação existente na mesma localização.
Política 3 Configura o backup para Arquivos do Azure sem etiqueta especificada para um novo cofre de Serviços de Recuperação com uma nova política.
Política 4 Configura o backup do Azure Files com uma tag definida para um novo cofre dos Serviços de Recuperação utilizando uma nova política.
Política 5 Valida se o Backup do Azure está habilitado nos Arquivos do Azure.

Política 1: Configurar o backup para Compartilhamentos de Arquivos do Azure sem uma determinada tag para um cofre de serviços de recuperação existente no mesmo local

Esta política impõe o backup de todos os Arquivos do Azure configurando-os para usar um cofre central dos Serviços de Recuperação existente no mesmo local e assinatura da conta de armazenamento. Ele se adapta a cenários em que uma equipe central gerencia backups em todos os recursos de uma assinatura. Você pode excluir Arquivos do Azure em contas de armazenamento com uma marca específica para refinar o escopo da política.

A política verifica TagNames e TagValues nas contas de armazenamento para identificar exclusões. Ele exclui qualquer conta de armazenamento com uma tag especificada do relatório de conformidade. A política avalia cada conta de armazenamento e seus Compartilhamentos de Arquivos usando os parâmetros fornecidos e mostra os resultados no portal do Azure.

O fluxo de trabalho de avaliação funciona de acordo com as seguintes condições:

  • A conta de armazenamento está registada em um cofre dos Serviços de Recuperação: se o compartilhamento de ficheiros já estiver a ser respaldado, nenhuma ação será executada. Se não estiver, e se a conta de armazenamento estiver vinculada ao cofre dos Serviços de Recuperação especificado na política, o backup será ativado. Se estiver vinculado a um cofre dos Serviços de Recuperação diferente, o backup será ignorado.

  • A conta de armazenamento não está registada num cofre dos Serviços de Recuperação: a conta de armazenamento está registada no cofre dos Serviços de Recuperação especificado e o backup de todas as partilhas de ficheiros na conta de armazenamento é feito automaticamente.

Política 2: Configurar o backup para Compartilhamentos de Arquivos do Azure com uma determinada tag em um cofre de serviços de recuperação existente no mesmo local

Esta política impõe o backup de todos os Arquivos do Azure direcionando-os para um cofre dos Serviços de Recuperação especificado no mesmo local e assinatura da conta de armazenamento. Ele se adapta a organizações com uma equipe central gerenciando backups. Você pode limitar o escopo da política a contas de armazenamento com tags específicas, definindo os requisitos necessários em TagName e TagValue.

A política verifica as contas de armazenamento com base nas tags fornecidas e aplica as configurações de backup. Se encontrar uma partilha de ficheiros desprotegida numa conta elegível, aplica a seguinte lógica e mostra os resultados no portal do Azure:

  • A conta de armazenamento já está registrada em um cofre dos Serviços de Recuperação: se já tiver sido feito backup de todos os compartilhamentos de arquivos, a política não executará nenhuma ação. Se qualquer Compartilhamento de Arquivos não tiver backup configurado e a conta de armazenamento corresponder ao cofre dos Serviços de Recuperação especificado na política, o backup será habilitado. Se a conta de armazenamento estiver vinculada a um cofre dos Serviços de Recuperação diferente, a política não fará alterações.

  • A conta de armazenamento não está registrada em nenhum cofre dos Serviços de Recuperação: a política registra a conta de armazenamento no cofre dos Serviços de Recuperação especificado e inicia automaticamente a operação de backup para todos os seus Compartilhamentos de Arquivos.

Observação

As contas de armazenamento com as tags de inclusão especificadas aparecem durante a avaliação e nos relatórios de conformidade.

Política 3: Configurar o backup para Compartilhamentos de Arquivos do Azure sem uma determinada tag para um novo cofre de serviços de recuperação com uma nova política

Esta política impõe o backup para todos os Arquivos do Azure implantando um cofre dos Serviços de Recuperação no mesmo local e grupo de recursos que a conta de armazenamento. Ele se adapta a organizações onde as equipes de aplicativos gerenciam backups dentro de seus próprios grupos de recursos. Você pode excluir contas de armazenamento com tags específicas (TagName e TagValue) para refinar o escopo da política. A política verifica cada conta de armazenamento com base nos parâmetros definidos, ignora essas contas de armazenamento com marcas de exclusão e as omite dos relatórios de conformidade.

O fluxo de trabalho de avaliação funciona de acordo com as seguintes condições:

  • A conta de armazenamento já está registrada em um cofre dos Serviços de Recuperação: se já tiver sido feito backup de todos os compartilhamentos de arquivos, a política não executará nenhuma ação. Se um Compartilhamento de Arquivos não tiver backups configurados e estiver na mesma conta de armazenamento que o cofre dos Serviços de Recuperação especificado na política, o backup será iniciado após a execução de uma tarefa única de remediação. Esta tarefa é executada apenas uma vez; O backup de compartilhamentos de arquivos futuros na mesma conta é feito automaticamente.

  • A conta de armazenamento não está registrada em nenhum cofre dos Serviços de Recuperação: a política cria um novo cofre dos Serviços de Recuperação no mesmo grupo de recursos e no mesmo local da conta de armazenamento. Em seguida, ele registra a conta de armazenamento com esse cofre e todos os compartilhamentos de arquivos dentro da conta são automaticamente copiados.

Política 4- Configurar o backup para Compartilhamentos de Arquivos do Azure com uma determinada tag para um novo cofre de serviços de recuperação com uma nova política

Esta política impõe o backup para todos os Arquivos do Azure criando um cofre dos Serviços de Recuperação no mesmo local e grupo de recursos que a conta de armazenamento. Ele se adapta a organizações onde as equipes de aplicativos gerenciam suas próprias operações de backup e restauração em grupos de recursos dedicados. Você pode limitar o escopo da política a contas de armazenamento com tags específicas (TagName e TagValue) para um controle preciso.

A política verifica cada conta de armazenamento com base nos parâmetros definidos. Inclui contas que correspondem às marcas especificadas e refletem o seu estado de conformidade no portal do Azure.

O fluxo de trabalho de avaliação funciona de acordo com as seguintes condições:

  • A conta de armazenamento já está registrada em um cofre dos Serviços de Recuperação: se já tiver sido feito backup de todos os compartilhamentos de arquivos, a política não executará nenhuma ação. Se qualquer compartilhamento de arquivos não tiver backup configurado e estiver na conta de armazenamento igual ao cofre dos Serviços de Recuperação especificado na política, o backup será iniciado após a execução de uma tarefa de correção única. Após a conclusão dessa tarefa, o backup de futuros compartilhamentos de arquivos na mesma conta será feito automaticamente.

  • A conta de armazenamento não está registrada em nenhum cofre dos Serviços de Recuperação: a política cria um novo cofre dos Serviços de Recuperação no mesmo local e grupo de recursos da conta de armazenamento, registra a conta de armazenamento nesse cofre e faz backup automático de todos os compartilhamentos de arquivos dentro dele.

Política 5: O Backup do Azure deve ser habilitado em compartilhamentos de arquivos do Azure

Esta política valida se a proteção dos seus Arquivos do Azure estiver configurada com o Backup do Azure — uma solução segura e econômica para proteger cargas de trabalho do Azure. Ele gera um relatório que lista recursos compatíveis e não compatíveis.

Cenários com e sem suporte para backup de Arquivos do Azure com o Azure Policy

A tabela a seguir lista os cenários com e sem suporte para os tipos de política disponíveis:

Tipos de políticas Suportado Sem suporte
Políticas 1 e 2 Pode ser atribuído a uma única localização e assinatura ao mesmo tempo. Para habilitar o backup de arquivos entre locais e assinaturas, várias instâncias da atribuição de política precisam ser criadas, uma para cada combinação de local e assinatura.

- O cofre especificado e os Arquivos do Azure configurados para backup podem estar em diferentes grupos de recursos.		 O escopo do grupo de gerenciamento não é suportado no momento.
Políticas 3 e 4 Pode ser atribuído a uma única assinatura de cada vez (ou a um grupo de recursos dentro de uma assinatura).

Atribuir a Política interna do Azure para o backup de Arquivos do Azure

Esta seção descreve as etapas de ponta a ponta para atribuir a Política 1. As mesmas instruções aplicam-se às outras políticas. Após a atribuição, a política configura automaticamente o backup para qualquer novo Compartilhamento de Arquivos criado dentro do escopo definido.

Para atribuir a Política 1 para backup de Arquivos do Azure, siga estas etapas:

  1. No portal do Azure, vá para Definições>de Criação de>Políticas para exibir todas as políticas internas nos Recursos do Azure.

    A captura de tela mostra como exibir as políticas internas.

  2. No painel Definições de Política, filtre a lista para Categoria como Backup, Tipo de política como Incorporado, e selecione a política chamada Configurar backup para Partilhas de Ficheiros do Azure sem uma etiqueta atribuída para um cofre de Serviços de Recuperação existente no mesmo local.

  3. No painel de política selecionado, revise os detalhes da política e selecione Atribuir política.

    A captura de tela mostra os detalhes da política selecionada.

  4. No painel Atribuir política, no separador Noções Básicas, selecione o ícone mais correspondente ao escopo.

    A captura de tela mostra como definir o escopo para a atribuição de política.

  5. No painel de contexto à direita, selecione a subscrição para a política a ser aplicada.

    Você também pode selecionar um grupo de recursos, para que a política seja aplicada somente para VMs em um grupo de recursos específico.

  6. Na guia Parâmetros , forneça o Local, Nome do Cofre, Nome da Política de Backup ao qual os Arquivos do Azure no escopo devem estar associados.

    A captura de tela mostra como definir os parâmetros de imposição de política.

    Você também pode especificar um nome de tag e uma matriz de valores de tag. Um Compartilhamento de Arquivos que contém qualquer um dos valores especificados para determinada tag é excluído do escopo da atribuição de política.

    Certifique-se de que Effect está definido como deployIfNotExists.

  7. Na aba Rever + criar, selecione Criar.

Observação

Evite atribuir essa política a mais de 200 compartilhamentos de arquivos de uma só vez, pois isso pode atrasar os gatilhos de backup em várias horas além do horário agendado.

Conteúdo relacionado

Sobre a Política do Azure.

  • Last updated on