Un archiviazione di backup immutabile è fondamentale per salvaguardare i dati aziendali critici da cancellazioni, modifiche e cyberattacchi. Con Azure Blob Storage, gli amministratori IT e gli MSP possono impostare la protezione Write Once, Read Many (WORM) con blocchi a tempo per tali dati.
Questa guida fornisce istruzioni passo passo per la configurazione dell’archiviazione di backup immutabile (protetta da WORM) in Azure Blob utilizzando criteri di conservazione basati sul tempo.
Impostazione di un backup dell’archiviazione immutabile con metodi diversi
L’impostazione di un backup dell’archiviazione immutabile è un processo in tre fasi. Mentre la prima fase del processo è piuttosto semplice, le fasi 2 e 3 possono essere eseguite utilizzando Azure CLI, PowerShell o lo strumento AzCopy.
📌 Prerequisiti:
Prima di procedere, accertati di disporre dei seguenti requisiti:
- Un abbonamento attivo ad Azure con accesso alla creazione di account di archiviazione
- Un contributore o un ruolo di proprietario dei dati di Storage Blob
- Modulo Az di PowerShell o Azure CLI
- Azure Resource Provider: Microsoft.Storage deve essere registrato.
💡 Suggerimento: l’etichettatura degli endpoint, il tracciamento di GPO/Registro e i requisiti di audit sono risorse opzionali ma preziose. Puoi impostarli utilizzando i metodi di supporto disponibili.
Fase 1: Creare un account di archiviazione con supporto per i blob immutabili
Prima di poter ospitare e configurare container immutabili, gli utenti devono creare un account di archiviazione con supporto per l’immutabilità a livello di versione.
Per creare l’account appropriato, procedi come segue:
- Apri il portale Azure e vai su Account di archiviazione > Crea.
- Configura le seguenti opzioni:
- Prestazioni: Standard
- Ridondanza: Ridondante a livello locale o geo-ridondante
- Abilita lo spazio dei nomi gerarchico: Opzionale (per Azure Data Lake)
- In Avanzate > Protezione dati, modifica quanto segue:
- Abilita il supporto dell’immutabilità a livello di versione.
- Abilita la funzionalità Blob soft delete (opzionale per una maggiore protezione).
⚠️ Importante: la mancata attivazione di entrambe le impostazioni può causare problemi al momento dell’applicazione. Per saperne di più, leggi la sezione Cose da tenere d’occhio .
- Termina la configurazione e fai il provisioning dell’account di archiviazione.
Fase 2: Creare un container immutabile con un blocco basato sul tempo
Per creare un container immutabile, puoi utilizzare Azure CLI o PowerShell.
Metodo A: Azure CLI
Azure CLI è uno strumento a riga di comando multi-piattaforma che consente agli utenti di connettersi ad Azure e di eseguire comandi che riguardano le risorse di Azure.
📌 Casi d’uso: Azure CLI è ideale per:
- Ambienti multi-piattaforma
- Pipeline DevOps
- Automazione delle attività tramite script di shell
- Amministratori IT che gestiscono le risorse Azure da remoto o tramite terminali SSH
Esegui questo comando:
az storage container create \
–name secure-backups \
–account-name mystorageaccount \
–auth-mode loginaz storage container immutability-policy set \
–account-name mystorageaccount \
–container-name secure-backups \
–period 30 \
–allow-protected-append-write true
Enable time-based lock:
az storage container legal-hold set \
–account-name mystorageaccount \
–container-name secure-backups \
–tag “WORM protection”
Il criterio impedisce l’eliminazione o la sovrascrittura per il numero di giorni specificato.
Metodo B: PowerShell
📌 Casi d’uso: PowerShell è ideale per gli amministratori IT e gli MSP che gestiscono gli endpoint Windows.
Apri PowerShell come amministratore ed esegui questo comando:
| Connettersi all’account AZ $ctx = New-AzStorageContext -StorageAccountName “mystorageaccount” -UseConnectedAccount New-AzStorageContainer -Name “secure-backups” -Context $ctx -Permission OffSet-AzStorageContainerImmutabilityPolicy ` -Context $ctx ` -ContainerName “secure-backups” ` -ImmutabilityPeriod 30Lock-AzStorageContainerImmutabilityPolicy ` -Context $ctx ` -ContainerName “secure-backups” |
Passo 3: Caricare i dati di backup nel container bloccato
Una volta configurato un container immutabile, l’utente può caricare i propri dati nel container protetto. Questa operazione è necessaria per completare il processo di backup. Per caricare i dati, puoi utilizzare Azure CLI o AzCopy.
Opzione A: Azure CLI
📌 Casi d’uso: Utilizzate Azure CLI per i caricamenti su piccola scala e per gli ambienti multi-piattaforma.
az storage blob upload \
–account-name mystorageaccount \
–container-name secure-backups \
–name daily-backup-2025-07-01.bak \
–file “C:\Backups\2025-07-01.bak” \
–auth-mode login
Opzione B: Strumento AzCopy
AzCopy è un’utilità a riga di comando che consente di copiare blob o file da e verso un account di archiviazione.
📌 Casi d’uso: Lo strumento AzCopy è il migliore per:
- Trasferimenti di dati su larga scala o ad alta velocità verso Azure Blob Storage
- Lavori di backup automatizzati, configurazioni di disaster recovery o caricamenti iniziali di grandi quantità
- Caricamento tramite token SAS anziché login completo ad Azure
Esegui questo comando in AzCopy:
AzCopy.exe copy “C:\Backups” “https://mystorageaccount.blob.core.windows.net/secure-backups?<SAS>” –recursive
⚠️ Cose da tenere d’occhio
| Rischi | Potenziali conseguenze | Possibilità di tornare alla configurazione precedente |
| Non abilitare l’immutabilità a livello di versione (passo 1) | I criteri WORM a livello di container non verranno applicati. | Ricrea l’account di archiviazione con le impostazioni corrette. |
| Non abilitare l’eliminazione morbida di Blob (passo 1) | Le cancellazioni accidentali non saranno recuperate. | Abilita l’impostazione di eliminazione morbida dei blob. |
Metodi supplementari per migliorare la strategia di archiviazione dei backup
Una volta impostato un archivio di backup immutabile, puoi scegliere di migliorare la strategia e la sicurezza dell’archivio di backup utilizzando i metodi indicati di seguito:
Come verificare e controllare le impostazioni di immutabilità
La verifica e l’audit delle impostazioni di immutabilità sono importanti per i team IT che hanno bisogno di documentazione per garantire che i dati di backup siano immutabili e conservati correttamente. I metodi di seguito riportati sono utili anche per il rilevamento di configurazioni errate prima che abbiano un impatto sulla conformità.
Per verificare e controllare le impostazioni di immutabilità, gli utenti possono scegliere tra Azure CLI, PowerShell o Azure Portal. Esegui i comandi appropriati in base allo strumento scelto:
Azure CLI
az storage container show \
–name secure-backups \
–account-name mystorageaccount \
–query properties.immutabilityPolicy
PowerShell
Get-AzStorageContainerImmutabilityPolicy -Context
$ctx -ContainerName “secure-backups”
Portale Azure
- Vai a Container > Controllo degli accessi (IAM)
- Controlla il criterio di immutabilità, la data di conservazione e lo stato di accodamento.
Come convalidare il backup locale con l’Editor del Registro di sistema
Gli utenti possono rintracciare gli endpoint che contengono backup attraverso le modifiche del registro. A tal fine, apri l’Editor del Registro di sistema e segui i passaggi indicati di seguito:
- Accedi a HKEY_LOCAL_MACHINE\SOFTWARE\Org\ImmutableBackup
- Modifica i seguenti tasti:
- LastBackupDate (Stringa) = “2025-07-01T22:00:00Z”
- ContainerURI (Stringa) = “https://mystorageaccount.blob.core.windows.net/secure-backups”
Se utilizzate negli script personalizzati o negli strumenti di reporting, queste chiavi convalidano la conformità ai criteri per ogni dispositivo.
Come applicare la protezione dell’origine di backup con un criterio di gruppo
Se crei i backup sugli endpoint prima di essere inviarli ad Azure, la prevenzione della manomissione locale è fondamentale. I criteri di gruppo impediscono agli utenti di eliminare, modificare o manomettere i file di backup prima che venga attivata l’immutabilità.
Per abilitare la protezione della sorgente di backup:
- Apri l’Editor Criteri di gruppo locali.
- Accedi a Configurazione del computer > Modelli amministrativi > Componenti di Windows > Backup di Windows
- Abilita Disattiva la possibilità di eliminare i file di backup.
- Richiedi il servizio di copia shadow del volume per il backup.
- Applica a tutti gli endpoint rilevanti per impedire l’eliminazione accidentale prima che i dati di backup vengano inviati al container immutabile.
Come utilizzare CMD e CLI per la convalida operativa
Convalida l’accesso al container e l’integrità dei file:
dir \mystorageaccount.file.core.windows.net\secure-backups
Controlla l’accesso ad AzCopy:
AzCopy.exe login
Elenco lavori AzCopy.exe
Verifica dei criteri di immutabilità dei blob (via REST):
curl -X GET https://<account>.blob.core.windows.net/<container>?restype=container&comp=immutabilitypolicy
Ulteriori considerazioni quando si tratta di archiviazione di backup immutabile
I dati in archivi immutabili sono critici e devono essere gestiti con cura per evitarne la perdita. Ecco ulteriori considerazioni da tenere a mente:
Devi usare un blocco legale o un blocco a tempo?
Un blocco legale impedisce l’eliminazione o la modifica dei dati di backup a tempo indeterminato, mentre un blocco temporale impedisce l’eliminazione o la modifica per una durata specifica. Il blocco corretto aiuta a bloccare l’eliminazione prematura dei dati, l’eccesso di dati e le violazioni della conformità.
Puoi modificare l’archiviazione di backup immutabile?
I container immutabili non possono essere rinominati o eliminati finché non scadono tutti i lock. Pianificare i periodi di conservazione e le detenzioni legali è fondamentale per evitare inutili costi di archiviazione e ambienti ingombri.
Puoi caricare i file di backup dopo l’applicazione del blocco?
Una volta bloccato un container, gli utenti non possono più modificare o eliminare i blob. Caricare sempre prima il backup, verificarne il completamento e quindi eseguire il commit dell’immutabilità. I caricamenti parziali o interrotti possono diventare inaccessibili o non validi con l’applicazione anticipata del blocco.
Ho bisogno di GRS o RA-GRS per il mio backup immutabile?
I dati immutabili sono spesso informazioni aziendali di importanza cruciale, per questo motivo è molto utile disporre di un sistema di archiviazione geo-ridondante (GRS) o di un GRS di sola lettura (RA-GRS). Entrambi offrono opzioni di replica dell’archiviazione di Azure in caso di guasto dell’archiviazione regionale.
Risoluzione dei problemi più comuni
Criterio non applicabile
Se i criteri di conservazione a tempo o legali non vengono applicati come previsto, assicurati che l’immutabilità a livello di versione sia abilitata per l’account di archiviazione appropriato.
Il caricamento dei blob non riesce
I caricamenti di blob possono fallire per diversi motivi, tra cui stringhe di connessione errate, token SAS non validi e file di grandi dimensioni. Per risolvere questo problema, conferma le autorizzazioni dell’utente e utilizza un append blob dove necessario.
Errori di AzCopy
Se si verificano problemi con AzCopy, verifica che le autorizzazioni del container corrispondano al tipo di blob e alla validità del token SAS. Puoi anche consultare la guida delle funzionalità di Microsoft per problemi specifici di AzCopy.
Impossibile eliminare il container
Se non riesci ad eliminare un container, verifica se è attivo un blocco a tempo o un blocco legale. Gli utenti non possono eliminare o modificare i container con un criterio attivato.
Servizi NinjaOne per proteggere l’archiviazione di backup immutabile
I servizi NinjaOne supportano i team IT e gli MSP con l’automazione, la verifica e la convalida dei flussi di lavoro di archiviazione immutabile in ambienti di grandi dimensioni. Ecco alcuni modi in cui NinjaOne può aiutarti:
| Servizio NinjaOne | Cosa fa | Come migliora l’implementazione della strategia di backup immutabile |
| Scripting automatizzato | Invia script PowerShell o Azure CLI per configurare i container Azure e caricare i backup | Accelera la distribuzione di configurazioni di backup immutabili tra gli endpoint |
| Audit del registro | Traccia gli endpoint che hanno completato le operazioni di backup con convalida locale | Contribuisce a consentire la verifica per dispositivo del completamento del backup e il monitoraggio della conformità |
| Monitoraggio personalizzato | Avvisa gli amministratori IT in caso di problemi specifici | Consente agli amministratori IT e agli MSP di ottenere visibilità immediata sui processi di backup che non vanno a buon fine, sui container non configurati correttamente o sui casi in cui non si verifica la rotazione; supporta inoltre una riparazione più rapida |
| Dashboard cross-tenant | Fornisce agli MSP visibilità sulla conformità dei backup immutabili in tutti i tenant dei clienti | Migliora la visibilità e semplifica i rapporti di conformità per gli MSP che gestiscono più ambienti |
| Applicazione dei criteri | Utilizza il motore dei criteri per verificare che tutti i processi di backup siano indirizzati a container bloccati | Mantiene l’integrità dei dati e garantisce l’applicazione coerente dei criteri di protezione WORM |
Proteggi i tuoi file di backup utilizzando uno storage di backup immutabile
Gli archivi immutabili proteggono i file di backup da ransomware, minacce interne e perdita di dati per un periodo specifico. Il processo in tre fasi per la creazione di un archivio di backup immutabile è semplice e flessibile. Gli amministratori IT e gli MSP possono scegliere le opzioni migliori per la loro organizzazione grazie a questa guida.
Argomenti correlati:
