Sichere Backups mit Azure Recovery Service Vaults

Sicherungen von beispielsweise virtuellen Maschinen oder Datenbanken regelmäßig durchzuführen ist essentiell um Datenverlust im Notfall zu verhindern. Um diese Aufgabe zu erleichtern hat Microsoft den Azure Recovery Service Vault eingeführt. Hierbei handelt es sich um einen Speicher für Backup-Daten. Bisher werden Linux oder Windows VMs, Datenbanken auf Azure VMs, sowie Storage Accounts unterstützt. Der Service wird aber noch erweitert.

Vorteile des Recovery Service

Vorab möchte ich kurz einige Vorteile hervorheben, welche geboten werden, um uns das Leben zu erleichtern. Beziehungsweise darauf eingehen, warum es sich lohnt, sich ausgerechnet diesen Service genauer anzusehen.

  • Der Backup Vorgang an sich ist sehr vereinfacht und leicht auszuführen
  • Kritische Vorgänge im Vault (z.B Backup löschen)  können mittels eines PIN abgesichert werden (Multiple security layers)
  • Es gibt die Möglichkeit der Multifactor Authentication
  • Mittels des  Azure Identity und Access Management kann Rollenbasierte Zugriffsteuerung (RBAC) eingerichtet und genutzt werden
  •  Monitoring, Notifications und Alerting ist integriert und sofort nutzbar
  • Werden Backups gelöscht, sind sie zur Absicherung trotzdem noch 14 Tage zusätzlich wiederherstellbar um so Fehler zu vermeiden
  • Es ist eine einfache Verwaltung über das Azure Portal möglich, gibt aber auch die Möglichkeit der Nutzung von etwa PowerShell oder Azure CLI
  • Recovery Service Vault bieten die Möglichkeit in Bezug auf VM`s sämtliche vorgenommenen Konfigurationen ebenfalls zu sichern
  • Eine Nutzung für On-Premise Maschinen ist möglich
  • Einfache und gute Konfiguration von Backup Vorgängen über Backup Policies (Wann, welches Item)
  • Nutzung von mehreren Wiederherstellungspunkten statt einem Einzigen

Wie bereits erwähnt wird der Service stetig weiter ausgebaut und so auch die Einsatzmöglichkeiten erweitert.

Erstmalige Einrichtung

Der Service kann über viele Wege wie unter Anderem PowerShell, ARM Templates oder das Azure Portal angelegt werden. Über das Azure Portal wäre es beispielsweise durch das Erstellen einer neuen Resource möglich. 

Hier müssen dann nur ein paar Angaben wie Name, Subscription, Resourcen Gruppe und Region getätigt werden. 

Da der Recovery Service Vault auf dem Azure Storage basiert, ist es möglich hier georedundanten Speicher (GRS) oder lokal redundanten Speicher (LRS) zu verwenden. Diese Einstellung sollte möglichst gleich nach dem erstellen des Vaults erfolgen, da eine Änderung nicht mehr möglich ist, sobald die ersten Backups eingespielt sind (die Auswahl ist dann ausgegraut). Dies hat auch zur Folge, dass pro Vault nur entweder LRS oder GRS möglich ist.  

Einschub LRS und GRS 

Kurz zur Information, beim LRS findet eine Replikation der Daten zu einer sogenannten Storage Scale Unit (Sammlung von Racks) statt.  Die Durability liegt bei 99,999999999%. Hierbei handelt es sich um die günstigste Variante, da die Daten nur in einem Azure Rechenzentrum liegen, welches auch in der selben Region wie der Storage Account liegt. Beim GRS wird eine Durability von 99,99999999999999% geboten. Hier werden die Daten zu einem anderen Azure Rechenzentrum in einer anderen Region repliziert.  

Backup Policy 

Ist der Recovery Service Vault erstellt müssen noch sog. Backup Policies erstellt werden. Es sind zwei per Default vorhanden. Doch empfiehlt es sich den eigenen Anforderung entsprechenden angepasste Policies zu erstellen. Eine Backup Policy legt fest, wann ein Backup erstellt werden soll und wie lange es aufbewahrt wird. Es kann für VM, FileShare und SQL Server unter dem Reiter Backup Policies eine dementsprechende angelegt werden. Diese wird dann beim einrichten eines Backups zugewiesen. 


Ein Backup durchführen

Im Service Vault ist es nun möglich Backupvorgänge anzulegen. Dazu folgt man den Anweisungen im Azure Portal was in etwa dann so aussieht 

Hier gibt es noch ein paar Kleinigkeiten zu erwähnen. Es existiert, sofern SQL Datenbanken auf einer Azure VM gesichert werden sollen, eine autoprotect Funktion. Ist diese aktiviert, so werden alle Datenbanken, die nachträglich erstellt werden automatisch auch mit dieser Backup Policy versehen. Zudem wird lokal ein Benutzer NT Service\AzureWLBackupPluginSv angelegt, dem Adminrechte zugewiesen werden müssen, beschrieben hier: Azure Dokumentation 

Ein Backup einspielen 

Um ein Backup wiederherzustellen muss im Vault nur unter dem Reiter Backup Items das entsprechende Backup ausgewählt und wiederhergestellt werden. Im Folgenden können dann das Ziel und der Wiederherstellungszeitpunkt ausgewählt werden.

Sicherheitsmaßnahmen

Von Anfang an gibt es einige voreingestellte Sicherheitseinstellungen, welche gesetzt sind. So kann ein gelöschtes Backup noch bis zu 14 Tage nach Durchführung der Löschoperation wiederhergestellt werden. Auch wird bei einem solchen Vorgang ein Administrator per Email informiert.  

Es ist möglich, weitere Sicherheitseinstellungen für den Vault selbst einzustellen. So kann z. B. Multi Factor Authentication eingerichtet werden um den Zugriff abzusichern. Bestimmte kritische Operationen lassen sich durch die Einrichtung eines PIN, welcher bei der Ausführung eingegeben werden muss zusätzlich absichern. Dieser ist für 5 Minuten gültig.