Compartir vía


Información general sobre la protección de datos

Azure Storage proporciona protección de datos para Blob Storage y Azure Data Lake Storage para ayudarle a prepararse para escenarios en los que necesita recuperar los datos eliminados o sobrescritos. Es importante pensar en la mejor manera de proteger los datos antes de que se produzca un incidente que podría ponerlos en peligro. Esta guía puede ayudarle a decidir por adelantado qué características de protección de datos requiere su escenario y cómo implementarlas. Si necesita recuperar datos que se eliminaron o sobrescribieron, esta introducción también incluye instrucciones sobre cómo proceder en función de su escenario.

En la documentación de Azure Storage, protección de datos trata sobre las estrategias para proteger la cuenta de almacenamiento y los datos que contiene contra la eliminación o modificación, o para restaurar los datos después de eliminarlos o modificarlos. Azure Storage también ofrece opciones para la recuperación ante desastres, incluidos varios niveles de redundancia para proteger los datos contra a interrupciones del servicio debido a problemas de hardware o desastres naturales. La conmutación por error administrada por el cliente (no planeada) es otra opción de recuperación ante desastres que permite conmutar por error a una región secundaria si la región primaria deja de estar disponible. Para obtener más información sobre cómo se protegen los datos frente a las interrupciones del servicio, consulte Recuperación ante desastres.

Recomendaciones para la protección de datos básica

Si está buscando cobertura básica de protección de datos para su cuenta de almacenamiento y los datos que contiene, Microsoft recomienda realizar los siguientes pasos para comenzar:

  • Configure un bloqueo de Azure Resource Manager en la cuenta de almacenamiento para protegerla de la eliminación o de los cambios de configuración. Más información...
  • Habilite la eliminación temporal de contenedores para la cuenta de almacenamiento con el fin de recuperar un contenedor eliminado y su contenido. Más información...
  • Guarde el estado de un blob a intervalos regulares:
    • En el caso de las cargas de trabajo de Blob Storage, habilite el control de versiones de blobs para guardar automáticamente el estado de los datos cada vez que se sobrescriba un blob. Más información...
    • En el caso de las cargas de trabajo de Azure Data Lake Storage, realice instantáneas manuales para guardar el estado de los datos en un momento determinado. Más información...

Estas y otras opciones de protección de datos adicionales se describen con más detalle en la sección siguiente, junto con otras para otros escenarios.

Para una introducción a los costos que conllevan estas características, consulte el Resumen de las consideraciones de costos.

Introducción a las opciones de protección de datos

En la tabla siguiente se resumen las opciones disponibles en Azure Storage para los escenarios comunes de protección de datos. Elija los escenarios correspondientes a su situación para obtener más información sobre las opciones disponibles. No todas las características están disponibles en este momento para las cuentas de almacenamiento que tienen habilitado un espacio de nombres jerárquico.

Escenario Opción de protección de datos Recomendaciones Ventaja de protección Disponible para Data Lake Storage
Evitar que se elimine o modifique una cuenta de almacenamiento. Bloqueo de Azure Resource Manager
Más información...
Bloquee todas las cuentas de almacenamiento con un bloqueo de Azure Resource Manager a fin de impedir su eliminación. Protege la cuenta de almacenamiento contra la eliminación o los cambios de configuración.

No protege los contenedores o blobs de la cuenta contra la eliminación o sobrescritura.
Impedir que una versión de blob se elimine durante un intervalo determinado por el usuario. Directiva de inmutabilidad de una versión de blob
Más información...
Establezca una directiva de inmutabilidad en una versión de blob individual para proteger documentos críticos para la empresa; por ejemplo, con el fin de cumplir los requisitos de cumplimiento normativo o legal. Protege una versión de blob frente a la eliminación y frente a la sobrescritura de sus metadatos. Una operación de sobrescritura crea una nueva versión.

Si al menos un contenedor tiene habilitada la inmutabilidad a nivel de versión, la cuenta de almacenamiento también está protegida contra la eliminación. Se produce un error en la eliminación del contenedor si existe al menos un blob en el contenedor.
No
Impedir que un contenedor y sus blobs se eliminen o modifiquen durante un intervalo determinado por el usuario. Directiva de inmutabilidad de un contenedor
Más información...
Establezca una directiva de inmutabilidad en un contenedor para proteger documentos críticos para la empresa; por ejemplo, con el fin de cumplir los requisitos de cumplimiento normativo o legal. Protege un contenedor y sus blobs de cualquier eliminación y sobrescritura.

Cuando está vigente una suspensión legal o una directiva de retención de duración limitada bloqueada, la cuenta de almacenamiento también está protegida contra la eliminación. Los contenedores para los que no se ha establecido ninguna directiva de inmutabilidad no están protegidos contra la eliminación.
Restaurar un contenedor eliminado en un intervalo específico. Eliminación temporal de contenedores
Más información...
Habilite la eliminación temporal de contenedores para todas las cuentas de almacenamiento, con un intervalo de retención mínimo de siete días.

Habilite el control de versiones de blobs y la eliminación temporal de blobs junto con la eliminación temporal de contenedores para proteger blobs concretos de un contenedor.

Almacene contenedores que requieran diferentes períodos de retención en cuentas de almacenamiento independientes.
Se puede restaurar un contenedor eliminado y su contenido dentro del período de retención.

Solo se pueden restaurar las operaciones de nivel de contenedor (por ejemplo, Eliminar contenedor). La eliminación temporal de contenedores no permite restaurar un blob individual en el contenedor si dicho blob se eliminó.
Guardar automáticamente el estado de un blob en una versión anterior cuando se sobrescribe. Control de versiones de blobs
Más información...
Habilite el control de versiones de blobs, junto con la eliminación temporal de contenedores y la eliminación temporal de blobs, para las cuentas de almacenamiento en las que necesita protección óptima para los datos de blobs.

Almacene datos de blobs que no requieran el control de versiones en una cuenta independiente para limitar los costos.
Cada operación de escritura de blobs crea una versión. La versión actual de un blob se puede restaurar a partir de una versión anterior si se elimina o sobrescribe la versión actual. No
Restaurar una versión de blob o un blob eliminado en un intervalo especificado. Eliminación temporal de blobs
Más información...
Habilite la eliminación temporal de blobs para todas las cuentas de almacenamiento, con un intervalo de retención mínimo de siete días.

Habilite el control de versiones de blobs y la eliminación temporal de contenedores junto con la eliminación temporal de blobs para una protección óptima de los datos del blob.

Almacene blobs que requieran diferentes períodos de retención en cuentas de almacenamiento independientes.
Se puede restaurar una versión de blob o un blob eliminado en el período de retención.
Restaurar un conjunto de blobs en bloques a un momento dado anterior. Restauración a un momento dado
Más información...
Si quiere restaurar a un momento dado para revertir a un estado anterior, diseñe la aplicación a fin de que elimine los blobs en bloques individuales en lugar de eliminar los contenedores. Un conjunto de blobs en bloques se puede revertir al estado que tenía en un punto concreto del pasado.

Solo se revierten las operaciones realizadas en los blobs en bloques. No se revierten las operaciones realizadas en contenedores, blobs en páginas o blobs en anexos.
No
Guardar manualmente el estado de un blob en un momento dado. Instantánea de blob
Más información...
Se recomienda como alternativa al control de versiones de blobs cuando el control de versiones no es adecuado para su escenario debido a los costos u otras consideraciones, o cuando la cuenta de almacenamiento tiene habilitado un espacio de nombres jerárquico. Un blob se puede restaurar a partir de una instantánea si se sobrescribe el blob. Si se elimina el blob, también se eliminan las instantáneas. Sí, en versión preliminar
Un blob se puede eliminar o sobrescribir, pero los datos se copian periódicamente en una segunda cuenta de almacenamiento. Copias de seguridad almacenadas de blobs de Azure
Más información
Habilite la copia de seguridad almacenada para tener una copia fuera del sitio de los datos de los que se ha realizado una copia de seguridad en un inquilino de Microsoft sin acceso directo Proporciona una copia de seguridad selectiva de contenedores esenciales y habilita la restauración de contenedores individuales en una cuenta de almacenamiento diferente de la cuenta de almacenamiento de origen. No

Implementación de una solución propia para copiar datos en una segunda cuenta

Se admiten AzCopy y Azure Data Factory.

No se admite la replicación de objetos.

Protección de datos por tipo de recurso

En la tabla siguiente se resumen las opciones de protección de datos de Azure Storage según los recursos protegidos.

Opción de protección de datos Protege una cuenta frente a la eliminación Protege un contenedor frente a la eliminación Protege un objeto frente a la eliminación Protege un objeto frente a la sobrescrituras
Copias de seguridad almacenadas de blobs de Azure
No
Bloqueo de Azure Resource Manager No1 No No
Directiva de inmutabilidad de una versión de blob 2 3 4
Directiva de inmutabilidad de un contenedor 5
Eliminación temporal de contenedores No No No
Control de versiones de blobs6 No No
Eliminación temporal de blobs No No
Restauración a un momento dado6 No No
Instantánea de blob No N.º No
Implementación de una solución propia para la copia de datos a una segunda cuenta7 No

1 Un bloqueo de Azure Resource Manager no protege un contenedor de la eliminación.
2 Se produce un error en la eliminación de la cuenta de almacenamiento si hay al menos un contenedor que tenga habilitado el almacenamiento inmutable a nivel de versión.
3 Se produce un error en la eliminación del contenedor si existe al menos un blob en el contenedor, independientemente de si la directiva está bloqueada o desbloqueada.
4 Sobrescribir el contenido de la versión actual del blob crea una nueva versión. Una directiva de inmutabilidad protege los metadatos de una versión frente a la sobrescritura.
5 Mientras está vigente una suspensión legal o una directiva de retención de duración definida bloqueada en el ámbito de un contenedor, la cuenta de almacenamiento también está protegida contra la eliminación.
6 No se admite actualmente para las cargas de trabajo de Data Lake Storage.
7 AzCopy y Azure Data Factory son opciones compatibles con las cargas de trabajo de Blob Storage y Data Lake Storage. La replicación de objetos solo se admite para las cargas de trabajo de Blob Storage.

Recuperación de datos eliminados o sobrescritos

Si necesita recuperar los datos que se han sobrescrito o eliminado, la forma de proceder dependerá de las opciones de protección de datos que haya habilitado y de los recursos afectados. En la tabla siguiente se describen las acciones que puede realizar para recuperar los datos.

Recurso eliminado o sobrescrito Posibles acciones de recuperación Requisitos para la recuperación
Cuenta de almacenamiento Tratar de recuperar la cuenta de almacenamiento eliminada.
Más información...
La cuenta de almacenamiento se creó originalmente con el modelo de implementación de Azure Resource Manager y se eliminó en los últimos 14 días. No se ha creado una cuenta de almacenamiento con el mismo nombre desde que se eliminó la cuenta original.
Contenedor Recuperar el contenedor eliminado temporalmente y su contenido.
Más información...
La eliminación temporal del contenedor está habilitada y el período de retención de la eliminación temporal del contenedor todavía no ha expirado.
Contenedores y blobs Restaurar datos a partir de una segunda cuenta de almacenamiento. Todas las operaciones de contenedores y blobs se han replicado eficazmente en una segunda cuenta de almacenamiento.
Blob (cualquier tipo) Restaurar un blob a partir de una versión anterior1
Más información...
El control de versiones de blobs está habilitado y el blob tiene una o más versiones anteriores.
Blob (cualquier tipo) Recuperar un blob eliminado temporalmente
Más información...
La eliminación temporal de blobs está habilitada y el intervalo de retención de la eliminación temporal no ha expirado.
Blob (cualquier tipo) Restaurar un blob a partir de una instantánea
Más información...
El blob tiene una o varias instantáneas.
Conjunto de blobs en bloques Recuperar un conjunto de blobs en bloques al estado en que estaban en un momento anterior en el tiempo1
Más información...
La restauración a un momento dado está habilitada y el punto de restauración se encuentra en el intervalo de retención. La cuenta de almacenamiento no se ha puesto en peligro ni está dañada.
Versión de un blob Recuperar una versión eliminada temporalmente1
Más información...
La eliminación temporal de blobs está habilitada y el intervalo de retención de la eliminación temporal no ha expirado.

1 No se admite actualmente para las cargas de trabajo de Data Lake Storage.

Resumen de las consideraciones de costos

En la tabla siguiente se resumen las consideraciones de costos para las distintas opciones de protección de datos descritas en esta guía.

Opción de protección de datos Consideraciones sobre los costos
Bloqueo de Azure Resource Manager para una cuenta de almacenamiento No se cobra por configurar un bloqueo en una cuenta de almacenamiento.
Directiva de inmutabilidad de una versión de blob No se cobra por la inmutabilidad en un contenedor a nivel de versión. La creación, modificación o eliminación de una directiva de retención con duración definida o una suspensión legal en una versión de blob generan un cargo por transacciones de escritura.
Directiva de inmutabilidad de un contenedor No se cobra por configurar una directiva de inmutabilidad en un contenedor.
Eliminación temporal de contenedores No se cobra por habilitar la eliminación temporal de contenedores para una cuenta de almacenamiento. Los datos de un contenedor eliminado temporalmente se facturan a la misma tarifa que los datos activos hasta que el contenedor se elimina permanentemente.
Control de versiones de blobs No se cobra por habilitar el control de versiones de blobs para una cuenta de almacenamiento. Una vez habilitado el control de versiones de blobs, cada operación de escritura o eliminación que se realice en un blob de la cuenta creará una nueva versión, lo que puede generar mayores costos de capacidad.

Una versión de blob se factura en función de los bloques o páginas únicos. Por lo tanto, los costos aumentan a medida que el blob base difiere de una versión determinada. Cambiar el nivel de un blob o de una versión de blob puede tener un impacto en la facturación. Para obtener más información, consulte la sección Precios y facturación.

Use la administración del ciclo de vida para eliminar versiones anteriores según sea necesario para controlar los costos. Para más información, consulte Optimización de los costos mediante la automatización de los niveles de acceso de Azure Blob Storage.
Eliminación temporal de blobs No se cobra por habilitar la eliminación temporal de blobs para una cuenta de almacenamiento. Los datos de un blob eliminado temporalmente se facturan a la misma tarifa que los datos activos hasta que el blob se elimina permanentemente.
Restauración a un momento dado No se aplica ningún cargo por habilitar la restauración a un momento dado para una cuenta de almacenamiento; sin embargo, habilitar la restauración a un momento dado también habilita el control de versiones de blobs, la eliminación temporal y la fuente de cambios, cada uno de los cuales puede generar otros cargos.

Se le facturará por la restauración a un momento dado cuando realice operaciones de restauración. El costo de una operación de restauración depende de la cantidad de datos que se restaurarán. Para obtener más información, consulte la sección Precios y facturación.
Instantáneas de blob Los datos de una instantánea se facturan en función de los bloques o páginas únicos. Por lo tanto, los costos aumentan a medida que el blob base difiere de la instantánea. Cambiar el nivel de un blob o una instantánea puede tener un impacto en la facturación. Para obtener más información, consulte la sección Precios y facturación.

Use la administración del ciclo de vida para eliminar instantáneas anteriores según sea necesario para controlar los costos. Para más información, consulte Optimización de los costos mediante la automatización de los niveles de acceso de Azure Blob Storage.
Copia de seguridad almacenada En el caso de Vaulted Backup, incurrirá en cargos de almacenamiento de copia de seguridad o tarifas de instancia y el costo del lado de origen (asociado a la replicación de objetos) en la cuenta de origen de copia de seguridad. Consulte Precios.
Copia de datos en una segunda cuenta de almacenamiento El mantenimiento de los datos en una segunda cuenta de almacenamiento generará costos de capacidad y de transacción. Si la segunda cuenta de almacenamiento se encuentra en una región diferente de la cuenta de origen, la copia de datos a esa segunda cuenta también generará en cargos de salida.

Recuperación ante desastres

Azure Storage siempre mantiene varias copias de los datos, con el fin de protegerlos de eventos planeados y no planeados, como errores transitorios del hardware, interrupciones del suministro eléctrico o cortes de la red, y desastres naturales masivos. La redundancia garantiza que la cuenta de almacenamiento cumple sus objetivos de disponibilidad y durabilidad, aunque se produzcan errores. Para obtener más información sobre cómo configurar la cuenta de almacenamiento para la alta disponibilidad, consulte Redundancia de Azure Storage.

Si la cuenta de almacenamiento está configurada para la redundancia geográfica, tiene la opción de iniciar una conmutación por error no planeada desde la región principal a la secundaria durante un error del centro de datos. Para más información, consulte Planeamiento y conmutación por error de recuperación ante desastres.

La conmutación por error administrada por el cliente admite actualmente cuentas de almacenamiento con un espacio de nombres jerárquico habilitado solo en estado de versión preliminar. Para más información, consulte Planeamiento y conmutación por error de recuperación ante desastres.

Pasos siguientes