تحديد الأساليب المناسبة للحماية من تهديدات أمان البيانات وتكوينها، بما في ذلك الحذف المبدئي والنسخ الاحتياطي وتعيين الإصدار والتخزين غير القابل للتغيير
يوفر Azure Storage حماية شاملة للبيانات ل Blob Storage وAzure Data Lake Storage Gen2 لمساعدتك في الاستعداد للسيناريوهات التي تحتاج فيها إلى استعادة بيانات تم حذفها أو استبدالها. حماية البيانات هي عنصر أساسي في استراتيجيتك الأمنية، تتماشى مع مبادئ الثقة الصفرية من خلال افتراض الاختراق وضمان قدرتك على التعافي من الحوادث الأمنية. من المهم التفكير في أفضل الطرق لحماية بياناتك قبل وقوع حادث قد يعرضها للخطر، سواء كان ذلك بسبب جهات خبيثة أو حذف عرضي أو أخطاء تشغيلية.
توصيات لحماية البيانات الأساسية
إذا كنت تبحث عن تغطية أساسية لحماية البيانات لحساب التخزين والبيانات التي يحتوي عليها، فإن Microsoft تُوصي باتخاذ الخطوات التالية للبدء:
- قم بتكوين قفل Azure Resource Manager على حساب التخزين لحماية الحساب من الحذف أو تغييرات التكوين. هذا يمنع الحذف العرضي أو غير المصرح به لحساب التخزين بالكامل.
- تفعيل حذف الحاوية التجريبي لحساب التخزين لاستعادة الحاوية المحطوفة ومحتوياتها. يوفر هذا شبكة أمان ضد حذف الحاويات عن طريق الخطأ.
-
حفظ حالة الكتلة على فترات منتظمة:
- بالنسبة إلى أحمال عمل Blob Storage، مكِن تعيين إصدار كائن ثنائي كبير الحجم لحفظ حالة بياناتك تلقائياً في كل مرة يتم فيها استبدال كائن ثنائي كبير الحجم.
- بالنسبة لأحمال عمل Azure Data Lake Storage، خذ لقطات يدوية لحفظ حالة بياناتك في نقطة زمنية معينة.
نظرة عامة على خيارات حماية البيانات
يلخص الجدول التالي الخيارات المتوفرة في تخزين Azure لسيناريوهات حماية البيانات الشائعة. اختر السيناريوهات التي تنطبق على موقفك لمعرفة المزيد حول الخيارات المتاحة لك. لا تتوفر جميع الميزات في الوقت الحالي لحسابات التخزين مع تمكين مساحة أسماء هرمية.
ملاحظة أمنية: تطبيق طبقات متعددة من حماية البيانات يوفر دفاعا معمقا ويضمن إمكانية التعافي من أنواع مختلفة من الحوادث، بما في ذلك هجمات الفدية، والحذف العرضي، والتعديلات الخبيثة على البيانات.
| السيناريو | خيار حماية البيانات | التوصيات | ميزة الحماية | متوفر ل Data Lake Storage |
|---|---|---|---|---|
| منع حذف حساب تخزين أو تعديله. | قفل Azure Resource Manager تعرَّف على المزيد.... |
أمِن جميع حسابات التخزين خاصتك باستخدام Azure Resource Manager Lock لمنع حذف حساب التخزين. | يحمي حساب التخزين من الحذف أو تغييرات التكوين. لا يحمي الحاويات أو الكائنات الثنائية كبيرة الحجم في الحساب من الحذف أو الاستبدال. |
نعم |
| منع حذف إصدار كائن ثنائي كبير الحجم لفاصل زمني تتحكم فيه. | سياسة الثبات على إصدار كائن ثنائي كبير الحجم تعرَّف على المزيد.... |
ضع سياسة ثبات على إصدار فردي من كائن ثنائي كبير الحجم لحماية المستندات المهمة للأعمال، على سبيل المثال، من أجل تلبية متطلبات الامتثال القانونية أو التنظيمية. | يحمي إصدار كائن ثنائي كبير الحجم من الحذف و بيانات التعريف الخاصة به من استبدالها. تُنشِأ عملية الاستبدال إصدار جديد. إذا تم تمكين ثبات الثبات على مستوى الإصدار في حاوية واحدة على الأقل، يتم حماية حساب التخزين من الحذف أيضاً. يفشل حذف الحاوية في حالة وجود كائن ثنائي كبير الحجم واحد على الأقل في الحاوية. |
لا |
| امنع حذف الحاوية و الكائنات الثنائية كبيرة الحجم خاصتها أو تعديلها لفترة زمنية تتحكم فيها. | سياسة الثبات على الحاوية تعرَّف على المزيد.... |
ضع سياسة ثبات على حاوية لحماية المستندات المهمة للأعمال، على سبيل المثال، من أجل تلبية متطلبات الامتثال القانونية أو التنظيمية. | تحمي الحاوية و الكائنات الثنائية كبيرة الحجم خاصتها من الحذف واستبدالها. عندما يكون هناك تعليق قانوني أو سياسة استبقاء زمنية مقفلة سارية المفعول، فإن حساب التخزين محمي أيضًا من الحذف. الحاويات التي لم يُعيّن لها نهج عدم قابلية التغيير غير محمية من الحذف. |
نعم |
| استعادة حاوية محذوفة خلال فترة زمنية محددة. | حذف مبدئي للحاوية تعرَّف على المزيد.... |
تمكين الحذف المبدئي للحاوية لجميع حسابات التخزين بفترة استبقاء لا تقل عن سبعة أيام. مكِن إصدار كائن ثنائي كبير الحجم وحذف مبدئي لكائن ثنائي كبير الحجم مع حذف الحاوية المبدئي لحماية الكائنات الثنائية كبيرة الحجم الفردية في الحاوية. خزِن الحاويات التي تتطلب فترات احتفاظ مختلفة في حسابات تخزين منفصلة. |
ويمكن استعادة الحاوية المحذوفة ومحتوياتها خلال فترة الاحتفاظ. لا يمكن استعادة سوى العمليات على مستوى الحاوية (على سبيل المثال، حذف الحاوية). الحذف المبدئي للحاوية لا يُمَكنك من استعادة كائن ثنائي كبير الحجم فردي في الحاوية إذا حُذف ذلك الكائن الثنائي كبير الحجم. |
نعم |
| حفظ حالة كائن ثنائي كبير الحجم تلقائيًا في إصدار سابق عند استبدالها. | تعيين الإصدار للكائن الثنائي كبير الحجم تعرَّف على المزيد.... |
مكِن إصدار كائن ثنائي كبير الحجم، جنباً إلى جنب مع الحذف المبدئي للحاويات والحذف المبدئي لكائن ثنائي كبير الحجم، لحسابات التخزين حيث تحتاج إلى الحماية المثلى لبيانات كائن ثنائي كبير الحجم. تخزين بيانات كائن ثنائي كبير الحجم التي لا تتطلب تعيين الإصدار في حساب منفصل للحد من التكاليف. |
كل عملية كتابة كائن ثنائي كبير الحجم تنشئ إصداراً جديداً. يمكن استعادة الإصدار الحالي من كائن ثنائي كبير الحجم من إصدار سابق إذا تم حذف الإصدار الحالي أو استبداله. | لا |
| استعادة إصدار كائن ثنائي كبير الحجم أو كائن ثنائي كبير الحجم محذوف خلال فترة زمنية محددة. | حذف مبدئي لكائن ثنائي كبير الحجم تعرَّف على المزيد.... |
تمكين الحذف المبدئي لكائن ثنائي كبير الحجم لجميع حسابات التخزين بفترة استبقاء لا تقل عن سبعة أيام. تمكين إصدار كائن ثنائي كبير الحجم وحذف الحاوية مع حذف مبدئي لكائن ثنائي كبير الحجم لتوفير الحماية المثلى لبيانات كائن ثنائي كبير الحجم. خزِن الكائنات الثنائية كبير الحجم التي تتطلب فترات احتجاز مختلفة في حسابات تخزين منفصلة. |
قد تتم استعادة إصدار كائن ثنائي كبير الحجم أو كائن ثنائي كبير الحجم محذوف خلال فترة الاحتفاظ. | نعم |
| استعادة مجموعة من كائنات ثنائية كبيرة الحجم للكتلة إلى نقطة زمنية سابقة. | استعادة النقطة الزمنية تعرَّف على المزيد.... |
لاستخدام استعادة النقطة في الوقت المناسب للعودة إلى حالة سابقة، صمم التطبيق خاصتك لحذف كائنات ثنائية كبيرة الحجم للكتلة الفردية بدلاً من حذف الحاويات. | يمكن إعادة مجموعة من كائنات ثنائية كبيرة الحجم للكتلة إلى حالتها في نقطة محددة في الماضي. يتم إرجاع العمليات التي يتم إجراؤها على كائنات ثنائية كبيرة الحجم للكتلة فقط. لا يمكن إرجاع أي عمليات أُجريت على الحاويات أو كائنات ثنائية كبيرة الحجم للصفحة أو كائنات ثنائية كبيرة الحجم مُلحقة. |
لا |
| احفظ حالة كائن ثنائي كبير الحجم يدوياً في نقطة زمنية معينة. | لقطة كائن ثنائي كبير الحجم تعرَّف على المزيد.... |
يُوصى به كبديل لتعيين إصدار كائن ثنائي كبير الحجم عندما يكون تعيين الإصدار غير مناسب لحالتك بسبب التكلفة أو اعتبارات أخرى، أو عندما يكون لحساب التخزين مساحة أسماء هرمية مُمكّنة. | يمكن استعادة كائن ثنائي كبير الحجم من لقطة إذا كان الكائن الثنائي كبير الحجم مُستبدَل. في حالة حذف الكائن الثنائي كبير الحجم، يتم أيضًا حذف اللقطات. | نعم |
| يمكن حذف كائن ثنائي كبير الحجم أو استبداله، ولكن يتم نسخ البيانات بانتظام إلى حساب تخزين ثانٍ. | قم بلف الحل خاصتك لنسخ البيانات إلى حساب ثانٍ باستخدام النسخ المتماثل لعنصر تخزين Azure أو أداة مثل AzCopy أو Azure Data Factory. | يوصى به لحماية أساسها الطمأنينة من الأفعال المتعمدة غير المتوقعة أو السيناريوهات غير المتوقعة. أنشئ حساب التخزين الثاني في نفس المنطقة التي يوجد بها الحساب الأساسي لتجنب تحمل رسوم الخروج. |
يمكن استعادة البيانات من حساب التخزين الثاني إذا تم اختراق الحساب الرئيسي بأي شكل من الأشكال. | يتم دعم AzCopy و Azure Data Factory. النسخ المتماثل للعنصر غير مدعوم. |
حماية البيانات حسب نوع المورد
يلخص الجدول التالي خيارات حماية بيانات تخزين Azure وفقًا للموارد التي تحميها.
| خيار حماية البيانات | حماية حساب من الحذف | حماية حاوية من الحذف | حماية كائن من الحذف | حماية كائن من الكتابة فوق |
|---|---|---|---|---|
| قفل Azure Resource Manager | نعم | لا | لا | لا |
| سياسة الثبات على إصدار كائن ثنائي كبير الحجم | نعم | نعم | نعم | نعم |
| سياسة الثبات على الحاوية | نعم | نعم | نعم | نعم |
| حذف مبدئي للحاوية | لا | نعم | لا | لا |
| تعيين الإصدار للكائن الثنائي كبير الحجم | لا | لا | نعم | نعم |
| حذف مبدئي لكائن ثنائي كبير الحجم | لا | لا | نعم | نعم |
| استعادة النقطة الزمنية | لا | لا | نعم | نعم |
| لقطة كائن ثنائي كبير الحجم | لا | لا | لا | نعم |
| قم بتدحرج الحل الخاص بك لنسخ البيانات إلى حساب ثان | لا | نعم | نعم | نعم |
فهم تفاصيل حماية البيانات في Azure Storage يكشف عن عدة رؤى تشغيلية وقيود مهمة لكل من الأمان والامتثال:
- قفل Azure Resource Manager لا يحمي الحاوية من الحذف، بل فقط حساب التخزين نفسه.
- يفشل حذف حساب التخزين إذا كان هناك على الأقل حاوية واحدة مع تخزين غير قابل للتغيير على مستوى الإصدار مفعل، مما يوفر حماية ضد الحذف العرضي للحساب.
- يفشل حذف الحاوية إذا كان هناك كتلة واحدة على الأقل داخل الحاوية، بغض النظر عما إذا كانت سياسة عدم القابلية للتغيير مقفلة أو مفتوحة.
- يؤدي الكتابة فوق محتويات الإصدار الحالي من الكائن الثنائي كبير الحجم إلى إنشاء إصدار جديد. سياسة عدم التغيير تحمي بيانات الإصدار الوصفية من الكتابة فوقها، مما يضمن سلامة البيانات.
- بينما يكون هناك حجز قانوني أو سياسة احتجاز مقفل قائمة على الوقت سارية عند نطاق الحاوية، فإن حساب التخزين محمي أيضا من الحذف، مما يوفر حماية للامتثال.
- غير مدعوم حاليا لأحمال عمل Data Lake Storage (ينطبق على إصدار الكتلة واستعادة نقطة الزمن).
- AzCopy وAzure Data Factory هما خياران مدعومان لكل من Blob Storage وأحمال عمل Data Lake Storage. النسخ المتماثل للعنصر مدعوم لأحمال تخزين كائن ثنائي كبير الحجم فقط.
استعادة البيانات المحذوفة أو التي استُبدلت
إذا كنت بحاجة إلى استرداد البيانات التي استُبدلت أو حُذفت، فإن كيفية المتابعة تعتمد على خيارات حماية البيانات التي مكّنتها والمورد الذي تأثر. يُبين الجدول التالي الإجراءات التي يمكنك اتخاذها لاسترداد البيانات.
| المورد المحذوف أو المكتوب فوقه | إجراءات الاسترداد المحتملة | متطلبات الاسترداد |
|---|---|---|
| حساب التخزين | محاولة استرداد حساب التخزين المحذوف |
أُنشأ حساب التخزين في الأصل باستخدام نموذج نشر Azure Resource Manager و حُذف خلال الـ 14 يومًا الماضية. لم يُنشأ حساب تخزين جديد بنفس الاسم منذ حذف الحساب الأصلي. |
| الحاوية | استعادة الحاوية المحذوفة ومحتوياتها |
الحذف المبدئي للحاوية مُمكّن ولم تنتهي فترة استبقاء الحذف المبدئي للحاوية بعد. |
| الحاويات والكائنات الثنائية كبيرة الحجم | استعادة البيانات من حساب تخزين ثان | تم نسخ جميع عمليات الحاويات والكائنات ثنائية كبيرة الحجم بشكل فعال إلى حساب تخزين ثانٍ. |
| كائن ثنائي كبير الحجم (أي نوع) | استعادة كائن ثنائي كبير الحجم من إصدار سابق |
يتم تمكين إصدار كائن ثنائي كبير الحجم ويحتوي الكائن الثنائي كبير الحجم على إصدار سابق واحد أو أكثر. |
| كائن ثنائي كبير الحجم (أي نوع) | استعادة كائن ثنائي كبير الحجم محذوف مبدئياً |
الحذف المبدئي لكائن ثنائي كبير الحجم مُمكّن، ولم تنته فترة استبقاء الحذف المبدئي. |
| كائن ثنائي كبير الحجم (أي نوع) | استعادة كائن ثنائي كبير الحجم من لقطة |
يحتوي الكائن الثنائي كبير الحجم على لقطة واحدة أو أكثر. |
| مجموعة من كائنات ثنائية كبيرة الحجم للكتلة | استرداد مجموعة من الكائنات الثنائية كبيرة الحجم للكتلة إلى حالتها في نقطة زمنية سابقة |
يتم تمكين استعادة النقطة في الوقت المحدد وتصبح نقطة الاستعادة ضمن فترة الاحتفاظ. لم يُخترق حساب التخزين أو يُتلف. |
| إصدار الكائن الثنائي كبير الحجم | استرداد إصدار محذوف مبدئيا |
تم تمكين الحذف المبدئي للكائن الثنائي كبير الحجم |
مخلص اعتبارات التكلفة
| خيار حماية البيانات | اعتبارات التكلفة |
|---|---|
| Azure Resource Manager lock لحساب تخزين | لا توجد رسوم لتكوين قفل على حساب التخزين. |
| سياسة الثبات على إصدار كائن ثنائي كبير الحجم | لا توجد رسوم لتمكين الثبات على مستوى الإصدار على حاوية. يؤدي إنشاء أو تعديل أو حذف نهج الاستبقاء المستند إلى الوقت أو الاحتجاز القانوني على إصدار الكائن الثنائي كبير الحجم إلى رسوم معاملة الكتابة. |
| سياسة الثبات على الحاوية | لا توجد رسوم لتكوين سياسة الثبات على الحاوية. |
| حذف مبدئي للحاوية | لا توجد رسوم لتمكين الحذف المبدئي للحاوية لحساب تخزين. تتم فوترة البيانات الموجودة في حاوية محذوفة مبدئياً بنفس معدل البيانات النشطة حتى يتم حذف الحاوية المحذوفة مبدئياً بشكل دائم. |
| تعيين الإصدار للكائن الثنائي كبير الحجم | لا توجد رسوم لتمكين تعيين إصدار كائن ثنائي كبير الحجم لحساب تخزين. بعد تمكين تعيين إصدار كائن ثنائي كبير الحجم، تقوم كل عملية كتابة أو حذف على كائن ثنائي كبير الحجم في الحساب بإنشاء إصدار جديد، مما قد يؤدي إلى زيادة تكاليف السعة. تتم فوترة إصدار كائن ثنائي كبير الحجم استناداً إلى كتل أو صفحات مميزة. وبالتالي تزداد التكاليف مع انحراف الكائن الثنائي كبير الحجم الأساسي عن إصدار معين. قد يكون لتغيير طبقة إصدار كائن ثنائي كبير الحجم أو إصدار كائن ثنائي كبير الحجم تأثير على الفوترة. لمزيد من المعلومات، راجع التسعير و الفوترة. استخدم إدارة دورة الحياة لحذف الإصدارات القديمة حسب الحاجة للتحكم في التكاليف. لمزيد من المعلومات، راجع تحسين التكاليف من خلال مستويات الوصول إلى تخزين Azure Blob تلقائياً. |
| حذف مبدئي لكائن ثنائي كبير الحجم | لا توجد رسوم لتمكين حذف مبدئي لكائن ثنائي كبير الحجم لحساب التخزين. تتم فوترة البيانات في الكائن الثنائي كبير الحجم المحذوف برفق بنفس معدل البيانات النشطة حتى يتم حذف الكائن الثنائي كبير الحجم المحذوف برفق بشكل دائم. |
| استعادة النقطة الزمنية | لا توجد رسوم لتمكين الاستعادة في الوقت المناسب لحساب التخزين؛ ومع ذلك، فإن تمكين الاستعادة في الوقت المناسب يتيح أيضًا تعيين إصدار الكائن الثنائي كبير الحجم والحذف المبدئي وتغيير الموجز، وقد يتسبب أي منها في رسوم أخرى. تُحاسَب على الاستعادة في الوقت المناسب عند إجراء عملية استعادة. تعتمد تكلفة عملية الاستعادة على كمية البيانات التي تتم استعادتها. لمزيد من المعلومات، راجع التسعير و الفوترة. |
| لقطات الكائن الثنائي كبير الحجم | تتم فوترة البيانات في لقطة استناداً إلى الكتل أو الصفحات الفريدة. وبالتالي تزداد التكاليف مع انحراف الكائن الثنائي كبير الحجم الأساسي عن اللقطة. قد يكون لتغيير مستوى كائن ثنائي كبير الحجم أو لقطة تأثير على الفوترة. لمزيد من المعلومات، راجع التسعير و الفوترة. استخدم إدارة دورة الحياة لحذف اللقطات القديمة حسب الحاجة للتحكم في التكاليف. لمزيد من المعلومات، راجع تحسين التكاليف من خلال مستويات الوصول إلى تخزين Azure Blob تلقائياً. |
| نسخ البيانات إلى حساب تخزين ثان | وسيؤدي الاحتفاظ بالبيانات في حساب تخزين ثان إلى تحمل تكاليف تتعلق بالسعة والمعاملات. إذا كان حساب التخزين الثاني موجودًا في منطقة مختلفة عن حساب المصدر، فسيترتب على نسخ البيانات إلى ذلك الحساب الثاني رسوم خروج إضافية. |
التعافي من الكوارث
يحتفظ "تخزين Azure" دائمًا بعِدة نسخ من بياناتك بحيث تكون محمية من الأحداث المُخطط لها وغير المُخطط لها، بما في ذلك حالات الفشل المؤقتة للأجهزة وانقطاع الشبكة أو الكهرباء والكوارث الطبيعية الهائلة. يضمن التكرار أن حساب التخزين الخاص بك يلبي أهداف التوفر والمتانة حتى في مواجهة الأعطال.
إذا حدث فشل في مركز بيانات، وكان حساب التخزين لديك زائدا عبر منطقتين جغرافيتين (تكرار جغرافي)، فلديك خيار الفشل عبر حسابك من المنطقة الأساسية إلى المنطقة الثانوية. تعد هذه القدرة ضرورية لاستمرارية الأعمال وتخطيط التعافي من الكوارث.
Important
تجاوز الفشل الذي يُديره العميل غير مدعوم حالياً لحسابات التخزين التي بها مساحة أسماء هرمية مُمكّنة.
أفضل الممارسات لتنفيذ حماية البيانات
عند تنفيذ حماية البيانات لتخزين Azure، ضع في اعتبارك التوصيات التالية:
- تنفيذ الدفاع بشكل معمق: استخدم آليات حماية متعددة معا. على سبيل المثال، اجمع بين سياسات إصدار الكتل، والحذف البرمجي، وسياسات عدم التغيير للحماية الشاملة ضد أنواع مختلفة من فقدان البيانات.
- الاختبارات الدورية: اختبر إجراءات استعادة البيانات بشكل دوري للتأكد من أنها تعمل كما هو متوقع وأن فريقك على دراية بعملية الاسترداد.
- تخطيط فترة الاحتفاظ: حدد فترات احتفاظ مناسبة بناء على متطلبات الامتثال الخاصة بك، ولكن أيضا ضع في اعتبارك تكاليف التخزين المرتبطة بالاحتفاظ بالبيانات والإصدارات المحذوفة بشكل تجريبي.
- استخدم سياسات الثبات للامتثال: بالنسبة للصناعات المنظمة، نفذ سياسات عدم القابلية للتغيير على الحاويات أو نسخ blob لتلبية متطلبات الامتثال WORM (اكتب مرة واحدة، اقرأ الكثير).
- مراقبة حالة الحماية: استخدم Azure Monitor وAzure Policy لتتبع أي حسابات التخزين تحتوي على ميزات حماية البيانات مفعلة وتحديد أي ثغرات في استراتيجية الحماية الخاصة بك.
- وثق استراتيجيتك: حافظ على توثيق واضح لتكوين حماية البيانات الخاص بك، بما في ذلك الميزات المفعلة، وفترات الاحتفاظ، وإجراءات الاسترداد.
- فكر في التكلفة مقابل الحماية: بينما الحماية الشاملة للبيانات مهمة، وازن مستوى الحماية مقابل تكاليف التخزين. استخدم سياسات إدارة دورة الحياة لحذف الإصدارات القديمة واللقطات تلقائيا بناء على متطلباتك.
- التكرار الجغرافي للبيانات الحرجة: بالنسبة للبيانات الحيوية للأعمال، استخدم التخزين الإضافي الجغرافي (GRS أو GZRS) لضمان توفر البيانات حتى لو أصبحت المنطقة بأكملها غير متاحة.
- ادمج مع حلول النسخ الاحتياطي: للحصول على حماية إضافية، فكر في استخدام Azure Backup for Azure Files أو حلول نسخ احتياطي من طرف ثالث توفر خيارات استرداد إضافية واحتفاظا طويل الأمد.