Üzletileg kritikus blobadatok tárolása nem módosítható tárolóval egyszer íráskor, sok (WORM) állapotban
Az Azure Blob Storage nem módosítható tárolási funkciója lehetővé teszi a felhasználók számára, hogy fontos üzleti adataikat WORM- (Write Once Read Many, egyszer írható és többször olvasható) állapotban tárolhassák. WORM állapotban az adatok nem módosíthatók vagy törölhetők felhasználó által megadott időközönként. A blobadatok módosíthatósági szabályzatainak konfigurálásával megvédheti az adatokat a felülírásoktól és a törlésektől.
Az Azure Blob Storage nem módosítható tárolója kétféle nem módosítható házirendet támogat:
Időalapú adatmegőrzési szabályzatok: Az időalapú adatmegőrzési szabályzatokkal a felhasználók beállíthatnak olyan házirendeket, amelyek meghatározott időközönként tárolják az adatokat. Az időalapú adatmegőrzési szabályzat beállításakor az objektumok létrehozhatók és olvashatók, de nem módosíthatók vagy törölhetők. A megőrzési időszak lejárta után az objektumok törölhetők, de nem írhatók felül.
Jogi célú visszatartásra vonatkozó szabályzatok: A jogi célú visszatartás addig tárolja a nem módosítható adatokat, amíg a jogi célú zárolás explicit módon nem törlődik. Ha egy jogi célú visszatartás be van állítva, az objektumok létrehozhatók és olvashatók, de nem módosíthatók vagy törölhetők.
Ezek a szabályzatok egymással egy időben állíthatók be. Egy felhasználó például egyszerre rendelkezhet egy időalapú adatmegőrzési szabályzattal és egy jogi visszatartási beállítással ugyanazon a szinten és egyidejűleg. Ahhoz, hogy egy írás sikeres legyen, engedélyeznie kell a verziószámozást, vagy nem rendelkezik jogi visszatartási vagy időalapú adatmegőrzési szabályzattal az adatokon. Ahhoz, hogy a törlés sikeres legyen, nem lehet jogi célú visszatartási vagy időalapú adatmegőrzési szabályzat az adatokon.
Az alábbi ábra bemutatja, hogy az időalapú adatmegőrzési szabályzatok és a jogi visszatartások hogyan akadályozzák meg az írási és törlési műveleteket, amíg azok érvényben vannak.
A nem módosítható tárolóernyő két funkciót tartalmaz: a tárolószintű WORM-t és a verziószintű WORM-t. A tárolószintű WORM lehetővé teszi, hogy a házirendek csak a tároló szintjén legyenek beállítva, míg a verziószintű WORM lehetővé teszi, hogy a házirendek a fiók, a tároló vagy a verzió szintjén legyenek beállítva.
Tudnivalók a blobok nem módosítható tárhelyéről
A nem módosítható tárolás segít az egészségügyi szervezeteknek, a pénzügyi intézményeknek és a kapcsolódó iparágaknak , különösen a közvetítő-kereskedő szervezeteknek az adatok biztonságos tárolásában. A nem módosítható tároló bármely forgatókönyvben használható a kritikus adatok módosítással vagy törléssel szembeni védelmére.
Jellemző alkalmazási területek:
Jogszabályi megfelelőség: Az Azure Blob Storage nem módosítható tárolója segít a szervezeteknek a SEC 17a-4(f), CFTC 1.31(d), FINRA és egyéb szabályozások kezelésében.
Biztonságos dokumentummegőrzés: A blobok nem módosítható tárterülete biztosítja, hogy az adatok ne módosíthatók vagy törölhetők legyenek egyetlen felhasználó sem, még a fiókfelügyeleti jogosultságokkal rendelkező felhasználók sem.
Jogi célú visszatartás: A blobok nem módosítható tárhelye lehetővé teszi a felhasználók számára, hogy a peres vagy üzleti használat szempontjából kritikus bizalmas információkat illetéktelen hozzáféréssel védett állapotban tárolják a kívánt időtartamig, amíg el nem távolítják a zárolást. Ez a funkció nem csak a jogi használati esetekre korlátozódik, hanem eseményalapú visszatartásként vagy vállalati zárolásként is felfogható, ahol szükség van az eseményindítókon vagy vállalati szabályzaton alapuló adatok védelmére.
Előírásoknak való megfelelés
A Microsoft megtartott egy vezető független értékelő céget, amely a rekordkezelésre és az információszabályozásra specializálódott, a Cohasset Associates-t, hogy értékelje a blobok nem módosítható tárolóit, és hogy megfeleljen a pénzügyi szolgáltatási iparágra vonatkozó követelményeknek. A Cohasset igazolta, hogy a WORM-állapotban lévő blobok megőrzésére használt nem módosítható tároló megfelel az 1.31(c)-(d), a FINRA 4511-es és a 17a-4(f) SEC-szabály vonatkozó tárolási követelményeinek. A Microsoft azért célozta meg ezt a szabálykészletet, mert globálisan a legelőíróbb útmutatást képviselik a pénzintézetek rekordmegőrzéséhez.
A Cohasset-jelentés a Microsoft Szolgáltatásmegbízhatósági központban érhető el. Az Azure Adatvédelmi központ részletes információkat tartalmaz a Microsoft megfelelőségi tanúsítványairól. Ha igazolást szeretne kérni a Microsofttól a WORM nem módosíthatóságának megfelelőségével kapcsolatban, forduljon az Azure ügyfélszolgálatához.
Időalapú adatmegőrzési szabályzatok
Az időalapú adatmegőrzési szabályzatok a blobadatokat WORM formátumban tárolják egy megadott időközönként. Az időalapú adatmegőrzési szabályzat beállításakor az ügyfelek blobokat hozhatnak létre és olvashatnak, de nem módosíthatják vagy törölhetik őket. A megőrzési időköz lejárta után a blobok törölhetők, de nem írhatók felül.
Hatókör
Az időalapú adatmegőrzési szabályzat a következő hatókörökben konfigurálható:
- Verziószintű WORM-szabályzat: Az időalapú adatmegőrzési szabályzat a fiók, a tároló vagy a verzió szintjén konfigurálható. Ha a fiók vagy a tároló szintjén van konfigurálva, azt a megfelelő fiókban vagy tárolóban lévő összes blob örökli. Ha egy tárolón jogi mentesség van érvényben, a verziószintű WORM nem hozható létre ugyanahhoz a tárolóhoz. Ennek az az oka, hogy a verziók nem generálhatók a jogi visszatartás miatt.
- Tárolószintű WORM-szabályzat: A tároló szintjén konfigurált időalapú adatmegőrzési szabályzat a tárolóban lévő összes blobra vonatkozik. Az egyes blobok nem konfigurálhatók saját módosíthatósági szabályzatokkal.
Időalapú szabályzat megőrzési időköze
Az időalapú adatmegőrzési szabályzat minimális adatmegőrzési időköze egy nap, a maximális érték pedig 146 000 nap (400 év). Az időalapú adatmegőrzési szabályzat konfigurálásakor az érintett objektumok a tényleges megőrzési időszak alatt nem módosítható állapotban maradnak. Az objektumok tényleges megőrzési időtartama megegyezik a blob létrehozási ideje és a felhasználó által megadott megőrzési időköz közötti különbségkel. Mivel a szabályzat megőrzési időköze meghosszabbítható, a nem módosítható tároló a felhasználó által megadott megőrzési időköz legújabb értékét használja a tényleges megőrzési időtartam kiszámításához.
Tegyük fel például, hogy egy felhasználó létrehoz egy időalapú adatmegőrzési szabályzatot öt év megőrzési időközzel. A tárolóban egy meglévő blob, a testblob1 egy évvel ezelőtt lett létrehozva, így a testblob1 tényleges megőrzési ideje négy év. Amikor egy új blobot( testblob2) tölt fel a tárolóba, a testblob2 tényleges megőrzési ideje a létrehozás időpontjától számított öt év.
Zárolt és feloldott szabályzatok
Amikor először konfigurál egy időalapú adatmegőrzési szabályzatot, a szabályzat tesztelési célokra lesz feloldva. A tesztelés befejezésekor zárolhatja a szabályzatot, hogy teljes mértékben megfeleljen a SEC 17a-4(f) és egyéb jogszabályi megfelelőségnek.
A zárolt és a zárolt szabályzatok egyaránt védelmet nyújtanak a törlésekkel és felülírásokkal szemben. A feloldott házirendeket azonban módosíthatja a megőrzési időszak lerövidítésével vagy meghosszabbításával. Zárolt szabályzatot is törölhet. Zárolt időalapú adatmegőrzési szabályzat nem törölhető. Meghosszabbíthatja a megőrzési időt, de nem csökkentheti azt. A tárolószinten definiált zárolt szabályzat élettartama alatt legfeljebb öt emelés adható meg a tényleges megőrzési időtartamra. A blobverzióhoz konfigurált szabályzatok esetében nincs korlátozva a tényleges időszakra történő növekedés száma.
Fontos
Az időalapú adatmegőrzési szabályzatot zárolni kell ahhoz, hogy a blob a SEC 17a-4(f) és egyéb jogszabályi megfelelőség esetén megfelelő nem módosítható (írási és törlési) állapotban legyen. A Microsoft azt javasolja, hogy a szabályzatot ésszerű időn belül, általában kevesebb mint 24 órán belül zárolja. Bár a feloldott állapot nem módosítható védelmet nyújt, a feloldott állapot használata a rövid távú tesztelésen kívül más célra nem ajánlott.
Adatmegőrzési szabályzat naplózása
Minden olyan tároló, amelyen engedélyezve van az időalapú adatmegőrzési szabályzat, egy szabályzatnaplót biztosít. A napló legfeljebb hét időalapú adatmegőrzési parancsot tartalmaz a zárolt időalapú adatmegőrzési szabályzatokhoz. A naplózás általában a szabályzat zárolása után kezdődik. A naplóbejegyzések közé tartozik a felhasználói azonosító, a parancs típusa, az időbélyegek és a megőrzési időköz. Az auditnapló a sec 17a-4(f) szabályozási irányelveknek megfelelően megmarad a szabályzat élettartama alatt.
Az Azure-tevékenységnapló átfogóbb naplót biztosít az összes felügyeleti szolgáltatási tevékenységről. Az Azure-erőforrásnaplók megőrzik az adatműveletekkel kapcsolatos információkat. A felhasználó felelőssége, hogy ezeket a naplókat folyamatosan tárolja, ahogy az szabályozási vagy egyéb célokból szükséges lehet.
Az időalapú adatmegőrzési szabályzatok verziószintű módosításait nem naplózták.
Jogi célú visszatartások
A jogi visszatartás ideiglenes megváltoztathatatlansági szabályzat, amely jogi vizsgálati célokra vagy általános védelmi szabályzatokra alkalmazható. A jogi célú visszatartás írásvédett, read-many (WORM) formátumban tárolja a blobadatokat, amíg a zárolás explicit módon nem törlődik. Ha egy jogi célú visszatartás érvényben van, blobok hozhatók létre és olvashatók, de nem módosíthatók vagy törölhetők. Akkor használjon jogi visszatartást, ha az adatok WORM állapotban való tárolásának időtartama ismeretlen.
Hatókör
A jogi célú visszatartás szabályzata az alábbi hatókörök egyikén konfigurálható:
Verziószintű WORM-szabályzat: A bizalmas adatok részletes kezeléséhez egy adott blobverzió szintjén konfigurálható egy jogi célú visszatartás.
Tárolószintű WORM-szabályzat: A tároló szintjén konfigurált jogi visszatartás az adott tárolóban lévő összes blobra vonatkozik. Az egyes blobok nem konfigurálhatók saját módosíthatósági szabályzatokkal.
Címkék
A tárolószintű jogi visszatartást egy vagy több felhasználó által definiált alfanumerikus címkével kell társítani, amelyek azonosító sztringekként szolgálnak. A címkék tartalmazhatnak például esetazonosítót vagy eseménynevet.
Naplózás naplózása
Minden érvényben lévő jogi visszatartással rendelkező tároló egy szabályzatnaplót biztosít. A napló tartalmazza a felhasználói azonosítót, a parancs típusát, az időbélyegeket és a jogi célú visszatartás címkéit. Az auditnapló a sec 17a-4(f) szabályozási irányelveknek megfelelően megmarad a szabályzat élettartama alatt.
Az Azure-tevékenységnapló átfogóbb naplót biztosít az összes felügyeleti szolgáltatási tevékenységről. Az Azure-erőforrásnaplók megőrzik az adatműveletekkel kapcsolatos információkat. A felhasználó felelőssége, hogy ezeket a naplókat folyamatosan tárolja, ahogy az szabályozási vagy egyéb célokból szükséges lehet.
A verziószintű jogi mentességek módosításait nem naplózjuk.
Nem módosítható tárolási funkciók beállításai
Az alábbi táblázat a tárolószintű WORM és a verziószintű WORM közötti különbségeket mutatja be:
Kategória | Tárolószintű WORM | Verziószintű WORM |
---|---|---|
Szabályzat részletességi szintje | A szabályzatok csak a tároló szintjén konfigurálhatók. A tárolóba feltöltött összes objektum örökli a nem módosítható szabályzatkészletet. | A szabályzatok a fiók, a tároló vagy a blob szintjén konfigurálhatók. Ha egy szabályzat a fiók szintjén van beállítva, a fiókba feltöltött összes blob örökli a szabályzatot. Ugyanezt a logikát követi a tárolók is. Ha egy szabályzat több szinten van beállítva, az elsőbbségi sorrend mindig Blob – Container –>> Account. |
Elérhető szabályzattípusok | A tároló szintjén két különböző típusú szabályzat állítható be: időalapú adatmegőrzési szabályzatok és jogi visszatartások. | Fiók- és tárolószinten csak időalapú adatmegőrzési szabályzatok állíthatók be. Blobszinten az időalapú adatmegőrzési szabályzatok és a jogi visszatartások is beállíthatók. |
Funkciófüggőségek | A funkció működésének előfeltétele vagy követelménye nem más. | A verziószámozás előfeltétele ennek a funkciónak. |
Meglévő fiókok/tárolók engedélyezése | Ez a funkció a meglévő tárolók esetében bármikor engedélyezhető. | A részletesség szintjétől függően előfordulhat, hogy ez a funkció nem minden meglévő fiókhoz/tárolóhoz engedélyezve van. |
Fiók/tároló törlése | Ha egy időalapú adatmegőrzési szabályzat zárolva van egy tárolón, a tárolók csak akkor törölhetők, ha üresek. | Ha a verziószintű WORM engedélyezve van egy fiók vagy tároló szintjén, csak akkor törölhetők, ha üresek. |
Az Azure Data Lake Storage támogatása (hierarchikus névtérrel rendelkező tárfiókok) | A tárolószintű WORM-szabályzatok hierarchikus névtérrel rendelkező fiókokban támogatottak. | A verziószintű WORM-szabályzatok még nem támogatottak a hierarchikus névtérrel rendelkező fiókokban. |
A tárolószintű WORM-ról további információt a Tárolószintű WORM-szabályzatok című témakörben talál. Ha többet szeretne megtudni a verziószintű WORM-ról, látogasson el a verziószintű WORM-szabályzatokba.
Tárolószintű és verziószintű WORM
Az alábbi táblázat segít eldönteni, hogy milyen típusú WORM-szabályzatot használjon.
Feltételek | Tárolószintű WORM-használat | Verziószintű WORM-használat |
---|---|---|
Adatok szervezése | Meghatározott adathalmazokhoz szeretne házirendeket beállítani, amelyek tároló szerint kategorizálhatók. A tárolóban lévő összes adatot ugyanolyan ideig kell WORM állapotban tartani. | Az objektumok nem csoportosíthatók megőrzési időszakok szerint. Minden blobot egyéni megőrzési idővel kell tárolni a blob forgatókönyvei alapján, vagy a felhasználó vegyes számítási feladattal rendelkezik, így egyes adatcsoportok tárolókba csoportosíthatók, míg más blobok nem. A tárolószintű szabályzatokat és a blobszintű szabályzatokat is érdemes ugyanabban a fiókban beállítani. |
Nem módosítható szabályzatot igénylő adatok mennyisége | Fiókonként nem kell több mint 10 000 tárolóra vonatkozó szabályzatokat beállítania. | Minden olyan adatra vagy nagy mennyiségű adatra vonatkozó szabályzatokat szeretne beállítani, amelyek fiókonként meghatározhatók. Tudja, hogy ha tárolószintű WORM-t használ, akkor meg kell haladnia a 10 000 tárolókorlátot. |
A verziószámozás engedélyezése iránti érdeklődés | Nem szeretne foglalkozni a verziószámozás engedélyezésével sem a költségek miatt, vagy azért, mert a számítási feladat számos további verziót hozna létre a kezeléshez. | Vagy verziószámozást szeretne használni, vagy nem bánja, ha használja. Tudja, hogy ha nem engedélyezik a verziószámozást, nem tarthatja meg a módosításokat vagy felülírhatja a nem módosítható blobokat külön verzióként. |
Tárolási hely (Blob Storage és Data Lake Storage) | A számítási feladat teljes mértékben az Azure Data Lake Storage-ra összpontosít. Nincs azonnali érdeklődése, vagy nem tervezi, hogy olyan fiók használatára váltson, amely nem rendelkezik engedélyezve a hierarchikus névtér funkcióval. | A számítási feladat vagy a Blob Storage-on van egy olyan fiókban, amely nem rendelkezik engedélyezve a hierarchikus névtér funkcióval, és most már használhatja a verziószintű WORM-t, vagy hajlandó megvárni, amíg a verziószámozás elérhető lesz a hierarchikus névtérrel rendelkező fiókok számára (Azure Data Lake Storage). |
Hozzáférési szintek
Minden blobelérési szint támogatja a nem módosítható tárolást. A blobok hozzáférési szintjét a Blobréteg beállítása művelettel módosíthatja. További információ: Access-szintek blobadatokhoz.
Redundanciakonfigurációk
Minden redundanciakonfiguráció támogatja a nem módosítható tárolást. A redundanciakonfigurációkkal kapcsolatos további információkért tekintse meg az Azure Storage-redundanciát.
Ajánlott blobtípusok
A Microsoft azt javasolja, hogy a nem módosítható házirendeket elsősorban blokkblobok és hozzáfűző blobok esetében konfigurálja. Az aktív virtuális gépeken VHD-lemezt tároló lapblobok nem módosíthatósági szabályzatának konfigurálása nem ajánlott, mivel a lemezre történő írás le lesz tiltva, vagy ha a verziószámozás engedélyezve van, minden írás új verzióként lesz tárolva. A Microsoft azt javasolja, hogy az időalapú szabályzatok zárolása előtt alaposan tekintse át a dokumentációt, és tesztelje a forgatókönyveket.
Nem módosítható tároló a blob helyreállítható törlésével
Ha a blob helyreállítható törlése egy tárfiókhoz van konfigurálva, az a fiókon belüli összes blobra vonatkozik, függetlenül attól, hogy érvényben van-e jogi visszatartási vagy időalapú adatmegőrzési szabályzat. A Microsoft javasolja a helyreállítható törlés engedélyezését a további védelem érdekében, mielőtt bármilyen módosíthatatlansági szabályzatot alkalmaz.
Ha engedélyezi a blobok helyreállítható törlését, majd módosíthatatlansági szabályzatot konfigurál, a helyreállítható törlési megőrzési szabályzat lejártát követően a rendszer véglegesen törli a már helyreállíthatóan törölt blobokat. A helyreállíthatóan törölt blobok visszaállíthatók a helyreállítható törlés megőrzési ideje alatt. A helyreállíthatóan törölt blobokat vagy verziókat a módosíthatatlansági szabályzat védi, és csak az időalapú adatmegőrzési szabályzat lejártát vagy a jogi célú visszatartást követően törölhető.
Blobleltár használata a nem módosítható szabályzatok nyomon követéséhez
Az Azure Storage-blobleltár áttekintést nyújt a tárfiókokban lévő tárolókról, valamint a bennük található blobokról, pillanatképekről és blobverziókról. A blobleltár-jelentéssel megismerheti a blobok és tárolók attribútumait, beleértve azt is, hogy egy erőforrás rendelkezik-e módosíthatósági szabályzattal.
A blobleltár engedélyezésekor az Azure Storage naponta létrehoz egy leltárjelentést. A jelentés áttekintést nyújt az üzleti és megfelelőségi követelményekkel kapcsolatos adatokról.
A blobleltárról további információt az Azure Storage blobleltárában talál.
Feljegyzés
Nem konfigurálhat leltárházirendet egy fiókban, ha engedélyezve van a verziószintű nem módosíthatóság támogatása ezen a fiókon, vagy ha a verziószintű nem módosíthatóság támogatása engedélyezve van a készletszabályzatban meghatározott céltárolón.
Szabályzatok nagy léptékű konfigurálása
A tárolási feladatokkal több tárfiókban is konfigurálhat módosíthatósági szabályzatokat az Ön által meghatározott feltételek alapján. A tárolási feladat az Azure Storage Actionsben elérhető erőforrás; egy kiszolgáló nélküli keretrendszer, amellyel több tárfiókban több millió objektumon hajthat végre gyakori adatműveleteket. További információ: Mi az Azure Storage Actions?
Díjszabás
A nem módosítható tárterület használatáért nincs extra kapacitásdíj. A nem módosítható adatok ára megegyezik a módosítható adatokkal. Ha verziószintű WORM-t használ, a számla magasabb lehet, mert engedélyezte a verziószámozást, és a további verziók tárolásának költsége is felmerülhet. További információért tekintse át a verziószámozási díjszabási szabályzatot. Az Azure Blob Storage díjszabási részleteiért tekintse meg az Azure Storage díjszabási oldalát.
Egy blobverzió időalapú adatmegőrzési szabályzatának vagy jogi visszatartásának létrehozása, módosítása vagy törlése írási tranzakciós díjat eredményez.
Ha nem fizeti ki a számláját, és a fiókja aktív időalapú adatmegőrzési szabályzattal rendelkezik, a normál adatmegőrzési szabályzatok a Microsofttal kötött szerződés feltételeiben és feltételeiben meghatározottak szerint érvényesek. Általános információkért lásd : Adatkezelés a Microsoftnál.
Szolgáltatások támogatása
Ez a funkció nem kompatibilis az időponthoz kötött visszaállítással és az utolsó hozzáférés nyomon követésével. Ez a funkció kompatibilis az ügyfél által felügyelt, nem tervezett feladatátvétellel, azonban az utolsó szinkronizálási idő (például egy időalapú adatmegőrzési szabályzat zárolása, kiterjesztése stb.) után a nem módosítható házirend módosításai nem lesznek szinkronizálva a másodlagos régióba. A feladatátvétel befejezése után újra végrehajthatja a másodlagos régió módosításait, hogy azok naprakészek legyenek a nem módosíthatósági követelményekkel. A nem módosítható házirendek nem támogatottak azokban a fiókokban, amelyeken engedélyezve van a hálózati fájlrendszer (NFS) 3.0 protokollja vagy az SSH-fájlátviteli protokoll (SFTP).
Egyes számítási feladatok, például az SQL Backup URL-címre történő mentése, létrehoznak egy blobot, majd hozzáadják azt. Ha egy tároló aktív időalapú adatmegőrzési szabályzattal vagy jogi visszatartással rendelkezik, ez a minta nem fog sikerülni. További részletekért tekintse meg a Védett hozzáfűző blob írásának engedélyezése című témakört.
További információ: Blob Storage-funkciók támogatása az Azure Storage-fiókokban.