Válassza ki és konfigurálja a megfelelő módszereket az adatbiztonsági fenyegetések elleni védelemhez, beleértve a helyreállítható törlést, a biztonsági mentéseket, a verziószámozást és a nem módosítható tárolást
Az Azure Storage átfogó adatvédelmet biztosít a Blob Storage és az Azure Data Lake Storage Gen2 számára, így felkészülhet a törölt vagy felülírt adatok helyreállítására. Az adatvédelem a biztonsági stratégia kritikus eleme, amely megfelel a zéró megbízhatósági alapelveknek azáltal, hogy biztonsági incidenseket feltételez, és biztosítja a biztonsági incidensek utáni helyreállítást. Fontos átgondolni, hogyan védheti meg a legjobban az adatokat egy olyan incidens előtt, amely veszélyeztetheti azokat, legyen szó rosszindulatú szereplőkről, véletlen törlésről vagy működési hibákról.
Javaslatok az alapvető adatvédelemhez
Ha alapszintű adatvédelmi lefedettséget keres a tárfiókhoz és a benne lévő adatokhoz, a Microsoft a következő lépéseket javasolja a kezdéshez:
- Konfiguráljon egy Azure Resource Manager-zárolást a tárfiókon, hogy megvédje a fiókot a törléstől vagy a konfiguráció változásaitól. Ez megakadályozza a teljes tárfiók véletlen vagy jogosulatlan törlését.
- Engedélyezze a tároló helyreállítható törlését a tárfiók számára a törölt tároló és tartalma helyreállításához. Ez biztonsági hálót biztosít a tároló véletlen törlése ellen.
-
Mentse a blob állapotát rendszeres időközönként:
- Blob Storage-számítási feladatok esetén engedélyezze, hogy a blobverzió automatikusan mentse az adatok állapotát minden alkalommal, amikor felülír egy blobot.
- Az Azure Data Lake Storage számítási feladataihoz készítsen manuális pillanatképeket az adatok állapotának mentéséhez egy adott időpontban.
Az adatvédelmi beállítások áttekintése
Az alábbi táblázat az Azure Storage-ban elérhető általános adatvédelmi forgatókönyveket foglalja össze. Válassza ki a helyzetre vonatkozó forgatókönyveket, hogy többet tudjon meg az Ön számára elérhető lehetőségekről. Jelenleg nem minden funkció érhető el hierarchikus névtérrel rendelkező tárfiókokhoz.
Biztonsági megjegyzés: Az adatvédelem több rétegének implementálása részletes védelmet biztosít, és biztosítja a helyreállítást a különböző típusú incidensekből, beleértve a ransomware-támadásokat, a véletlen törléseket és a rosszindulatú adatmódosításokat.
| Forgatókönyv | Adatvédelmi beállítás | Ajánlások | Védelmi előny | Elérhető a Data Lake Storage-hoz |
|---|---|---|---|---|
| A tárfiókok törlésének vagy módosításának megakadályozása. | Azure Resource Manager-zárolás Tudj meg többet... |
Zárolja az összes tárfiókot egy Azure Resource Manager-zárolással a tárfiók törlésének megakadályozása érdekében. | Védi a tárfiókot a törlés és a konfiguráció változásai ellen. Nem védi a fiókban lévő tárolókat vagy blobokat a törléstől vagy felülírástól. |
Igen |
| A blobverziók törlésének megakadályozása az Ön által meghatározott időközönként. | Nem módosítható házirend blobverzión Tudj meg többet... |
Állítsa be az egyes blobverziók módosíthatósági szabályzatát az üzletileg kritikus fontosságú dokumentumok védelméhez, például a jogi vagy jogszabályi megfelelőségi követelmények teljesítéséhez. | Védi a blobverziót a törléstől és a metaadatok felülírásától. Egy felülírási művelet új verziót hoz létre. Ha legalább egy tárolóban engedélyezve van a verziószintű nem módosíthatóság, a tárfiókot is védi a törlés. A tároló törlése meghiúsul, ha legalább egy blob létezik a tárolóban. |
Nem |
| A tároló és a blobok törlésének vagy módosításának megakadályozása egy ön által meghatározott időközönként. | Egy tároló változhatatlansági politikája Tudj meg többet... |
Beállíthat egy nem módosítható házirendet egy tárolón az üzletileg kritikus fontosságú dokumentumok védelmére, például a jogi vagy jogszabályi megfelelőségi követelmények teljesítéséhez. | Védi a tárolót és annak blobjait az összes törléstől és felülírástól. Ha egy jogi célú visszatartási vagy egy zárolt időalapú adatmegőrzési szabályzat van érvényben, a tárfiókot is védik a törléstől. Azok a tárolók, amelyekhez nincs módosíthatatlansági szabályzat beállítva, nem lesznek védve a törléstől. |
Igen |
| Törölt tároló visszaállítása megadott időközönként. | Tároló helyreállítható törlése Tudj meg többet... |
Engedélyezze a tároló helyreállítható törlését az összes tárfiókhoz, legalább hét napos megőrzési időközzel. Engedélyezze a blobok verziószámozását és a blobok helyreállítható törlését a tárolók helyreállítható törlésével együtt, hogy megvédje a tároló egyes blobokat. Különböző megőrzési időtartamot igénylő tárolókat tárolhatja külön tárfiókokban. |
A törölt tároló és tartalma a megőrzési időn belül visszaállítható. Csak tárolószintű műveletek (például Tároló törlése) állíthatók vissza. A tároló helyreállítható törlése nem teszi lehetővé egy adott blob visszaállítását a tárolóban, ha a blobot törölték. |
Igen |
| A blobok állapotának automatikus mentése az előző verzióban felülíráskor. | Blob verziószámozása Tudj meg többet... |
Engedélyezze a blobok verziószámozását, valamint a tárolók helyreállítható törlését és a blobok helyreállítható törlését olyan tárfiókokhoz, ahol a blobadatok optimális védelmére van szükség. Olyan blobadatokat tárolhat, amelyek nem igényelnek verziószámozást egy külön fiókban a költségek korlátozásához. |
Minden blobírási művelet létrehoz egy új verziót. A blob aktuális verziója visszaállítható egy korábbi verzióból, ha az aktuális verziót törölték vagy felülírták. | Nem |
| Törölt blob- vagy blobverzió visszaállítása megadott időközönként. | Blob áltörlése Tudj meg többet... |
Engedélyezze a blobok helyreállítható törlését az összes tárfiókhoz, a minimális megőrzési időköz pedig hét nap. A blobok verziószámozásának és a tároló helyreállítható törlésének engedélyezése a blobadatok optimális védelme érdekében a blobok helyreállítható törlésével együtt. Különböző megőrzési időtartamot igénylő blobokat külön tárfiókokban tárol. |
A törölt blob- vagy blobverziók visszaállíthatók a megőrzési időszakon belül. | Igen |
| Blokkblobok egy korábbi időpontra való visszaállítása. | Adott időpontnak megfelelő helyreállítás Tudj meg többet... |
Ha az időponthoz kötött visszaállítást egy korábbi állapotra szeretné visszaállítani, úgy tervezheti meg az alkalmazást, hogy a tárolók törlése helyett törölje az egyes blokkblobokat. | Előfordulhat, hogy a blokkblobok egy adott időpontban visszaállnak az állapotukra. Csak a blokkblobokon végrehajtott műveletek lesznek visszaállítva. A tárolókon, lapblobokon vagy hozzáfűző blobokon végrehajtott műveletek nem lesznek visszaállítva. |
Nem |
| Mentse manuálisan egy blob állapotát egy adott időpontban. | Blob-pillanatkép Tudj meg többet... |
A blobok verziószámozásának alternatívaként ajánlott, ha a verziószámozás nem felel meg a forgatókönyvnek költség vagy egyéb szempontok miatt, vagy ha a tárfiókban engedélyezve van a hierarchikus névtér. | A blobok visszaállíthatók egy pillanatképből, ha a blob felülírva van. Ha a blob törlődik, a pillanatképek is törlődnek. | Igen |
| A blobok törölhetők vagy felülírhatók, de az adatok rendszeresen átmásolódnak egy második tárfiókba. | Saját megoldás az adatok második fiókba való másolásához az Azure Storage objektumreplikálásával vagy egy olyan eszközzel, mint az AzCopy vagy az Azure Data Factory. | Ajánlott a váratlan szándékos cselekedetekkel vagy kiszámíthatatlan forgatókönyvekkel szembeni békés védelemhez. Hozza létre a második tárfiókot ugyanabban a régióban, mint az elsődleges fiók, hogy elkerülje a kimenő díjakat. |
Az adatok visszaállíthatók a második tárfiókból, ha az elsődleges fiók bármilyen módon sérül. | Az AzCopy és az Azure Data Factory támogatott. Az objektumreplikálás nem támogatott. |
Adatvédelem erőforrástípus szerint
Az alábbi táblázat összefoglalja az Azure Storage adatvédelmi lehetőségeit az általuk védett erőforrásoknak megfelelően.
| Adatvédelmi beállítás | A fiók törlése elleni védelem | Tároló védelme a törlés ellen | Objektum védelme a törléstől | Objektum védelme felülírásokkal szemben |
|---|---|---|---|---|
| Azure Resource Manager-zárolás | Igen | Nem | Nem | Nem |
| Nem módosítható házirend blobverzión | Igen | Igen | Igen | Igen |
| Egy tároló változhatatlansági politikája | Igen | Igen | Igen | Igen |
| Tároló helyreállítható törlése | Nem | Igen | Nem | Nem |
| Blob verziószámozása | Nem | Nem | Igen | Igen |
| Blob áltörlése | Nem | Nem | Igen | Igen |
| Adott időpontnak megfelelő helyreállítás | Nem | Nem | Igen | Igen |
| Blob-pillanatkép | Nem | Nem | Nem | Igen |
| Saját megoldás létrehozása adatok második fiókba való másolásához | Nem | Igen | Igen | Igen |
Az Azure Storage-beli adatvédelem árnyalatainak megértése számos olyan működési megállapítást és korlátozást mutat be, amelyek mind a biztonság, mind a megfelelőség szempontjából fontosak:
- Az Azure Resource Manager-zárolás nem védi meg a tárolót a törléstől, csak magát a tárfiókot.
- A tárfiók törlése meghiúsul, ha legalább egy tároló engedélyezve van a verziószintű nem módosítható tárolóval, amely védelmet nyújt a fiók véletlen törlése ellen.
- A tároló törlése meghiúsul, ha legalább egy blob létezik a tárolóban, függetlenül attól, hogy a nem módosíthatósági szabályzat zárolva vagy feloldva van-e.
- A blob aktuális verziójának tartalmának felülírása új verziót hoz létre. A nem módosítható házirendek védik a verzió metaadatait a felülírástól, biztosítva az adatintegritást.
- Bár a tároló hatókörében érvényben van egy jogi visszatartási vagy egy zárolt időalapú adatmegőrzési szabályzat, a tárfiók a törléssel szembeni védelemmel is rendelkezik, biztosítva a megfelelőségi védelmet.
- A Data Lake Storage számítási feladatai jelenleg nem támogatottak (a blobok verziószámozására és az időponthoz kötött visszaállításra vonatkozik).
- Az AzCopy és az Azure Data Factory olyan lehetőségek, amelyeket a Blob Storage és a Data Lake Storage számítási feladatai egyaránt támogatnak. Az objektumreplikálás csak a Blob Storage számítási feladatai esetében támogatott.
Törölt vagy felülírt adatok helyreállítása
Ha felülírt vagy törölt adatokat kell helyreállítania, a folytatás módjától függ, hogy mely adatvédelmi beállításokat engedélyezte, és melyik erőforrást érintette. Az alábbi táblázat az adatok helyreállításához használható műveleteket ismerteti.
| Törölt vagy felülírt erőforrás | Lehetséges helyreállítási műveletek | A helyreállításra vonatkozó követelmények |
|---|---|---|
| Tárfiók | A törölt tárfiók helyreállítása |
A tárfiókot eredetileg az Azure Resource Manager üzemi modellel hozták létre, és az elmúlt 14 napban törölték. Az eredeti fiók törlése óta nem jött létre új, azonos nevű tárfiók. |
| Tároló | Helyreállíthatja a helyreállíthatóan törölt tárolót és annak tartalmát |
A tároló helyreállítható törlése engedélyezve van, és a tároló helyreállítható törlési megőrzési ideje még nem járt le. |
| Tárolók és blobok | Adatok visszaállítása egy második tárfiókból | Az összes tároló- és blobművelet hatékonyan replikálva lett egy második tárfiókba. |
| Blob (bármilyen típus) | Blob visszaállítása egy korábbi verzióból |
A blob verziószámozása engedélyezve van, és a blob egy vagy több korábbi verzióval rendelkezik. |
| Blob (bármilyen típus) | Helyreállíthatóan törölt blob helyreállítása |
A blob helyreállítható törlése engedélyezve van, és a helyreállítható törlés megőrzési időköze nem járt le. |
| Blob (bármilyen típus) | Blob visszaállítása pillanatképből |
A blob rendelkezik egy vagy több pillanatképekkel. |
| Blokkblobok készlete | Blokkblobok egy korábbi időpontban történő helyreállítása az állapotukba |
Az időponthoz kötött visszaállítás engedélyezve van, és a visszaállítási pont a megőrzési időközön belül van. A tárfiók nem sérült vagy sérült. |
| Blobverzió | Helyreállíthatóan törölt verzió helyreállítása |
A blob helyreállítható törlése engedélyezve van |
A költséggel kapcsolatos szempontok összefoglalása
| Adatvédelmi beállítás | Költségekkel kapcsolatos szempontok |
|---|---|
| Azure Resource Manager-zárolás tárfiókhoz | A tárfiók zárolásának konfigurálása díjmentes. |
| Nem módosítható házirend blobverzión | A tároló verziószintű nem módosíthatóságának engedélyezése díjmentes. Egy blobverzió időalapú adatmegőrzési szabályzatának vagy jogi visszatartásának létrehozása, módosítása vagy törlése írási tranzakciós díjat eredményez. |
| Egy tároló változhatatlansági politikája | A tárolók nem módosíthatósági szabályzatának konfigurálása díjmentes. |
| Tároló helyreállítható törlése | A tárfiókok helyreállítható törlésének engedélyezése díjmentes. A helyreállíthatóan törölt tárolóban lévő adatok számlázása az aktív adatokkal azonos mértékben történik, amíg a helyreállíthatóan törölt tároló véglegesen nem törlődik. |
| Blob verziószámozása | A tárfiók blobverziójának engedélyezése díjmentes. A blob verziószámozásának engedélyezése után a fiókban lévő blobok minden írási vagy törlési művelete létrehoz egy új verziót, ami megnövelheti a kapacitás költségeit. A blobverziók számlázása egyedi blokkok vagy oldalak alapján történik. Ezért a költségek növekednek, mivel az alapblob eltér egy adott verziótól. A blob- vagy blobverziók szintjének módosítása számlázási hatással lehet. További információ: Díjszabás és számlázás. Az életciklus-felügyelettel szükség szerint törölheti a régebbi verziókat a költségek szabályozásához. További információ: Költségek optimalizálása az Azure Blob Storage hozzáférési szintjeinek automatizálásával. |
| Blob áltörlése | A blobok helyreállítható törlésének engedélyezése díjmentes a tárfiókok esetében. A helyreállíthatóan törölt blobok adatainak számlázása az aktív adatokkal azonos mértékben történik, amíg a helyreállíthatóan törölt blob véglegesen nem törlődik. |
| Adott időpontnak megfelelő helyreállítás | A tárfiókok időponthoz kötött visszaállításának engedélyezése díjmentes; Az időponthoz kötött visszaállítás engedélyezése azonban lehetővé teszi a blobok verziószámozását, a helyreállítható törlést és a változáscsatornát is, amelyek mindegyike más díjakat eredményezhet. A visszaállítási művelet végrehajtásakor az időponthoz kötött visszaállításért díjat kell fizetnie. A visszaállítási művelet költsége a visszaállított adatok mennyiségétől függ. További információ: Díjszabás és számlázás. |
| Blob-pillanatképek | A pillanatképek adatainak számlázása egyedi blokkok vagy oldalak alapján történik. A költségek így növekednek, mivel az alapblob eltér a pillanatképtől. A blobok vagy pillanatképek szintjének módosítása számlázási hatással lehet. További információ: Díjszabás és számlázás. Az életciklus-kezeléssel szükség szerint törölheti a régebbi pillanatképeket a költségek szabályozásához. További információ: Költségek optimalizálása az Azure Blob Storage hozzáférési szintjeinek automatizálásával. |
| Adatok másolása egy második tárfiókba | A második tárfiók adatainak karbantartása kapacitás- és tranzakcióköltségeket von maga után. Ha a második tárfiók a forrásfióktól eltérő régióban található, akkor az adatoknak a második fiókba történő másolása kimenő díjakat is von maga után. |
Vészhelyreállítás
Az Azure Storage mindig több példányban tárolja az adatokat, hogy azok védve legyen a tervezett és nem tervezett eseményektől, beleértve az átmeneti hardverhibákat, a hálózati vagy áramkimaradásokat és a súlyos természeti katasztrófákat. A redundancia biztosítja, hogy a tárfiók a hibák esetén is megfeleljen a rendelkezésre állási és tartóssági céloknak.
Ha egy adatközpontban hiba történik, és a tárfiók két földrajzi régióban redundáns (georedundáns), akkor lehetősége van arra, hogy feladatátvételt végezze el a fiókján az elsődleges régióból a másodlagos régióba. Ez a képesség kulcsfontosságú az üzletmenet-folytonosság és a vészhelyreállítás tervezése szempontjából.
Fontos
Az ügyfél által felügyelt feladatátvétel jelenleg nem támogatott hierarchikus névtérrel rendelkező tárfiókok esetében.
Ajánlott eljárások az adatvédelem megvalósításához
Az Azure Storage-beli adatvédelem megvalósításakor vegye figyelembe az alábbi javaslatokat:
- Részletes védelem implementálása: Több védelmi mechanizmus együttes használata. Kombinálhatja például a blobverziós, a helyreállítható törlési és a megváltoztathatatlansági szabályzatokat a különböző típusú adatvesztés elleni átfogó védelem érdekében.
- Rendszeres tesztelés: Rendszeresen tesztelje az adat-helyreállítási eljárásokat annak érdekében, hogy a várt módon működjenek, és hogy a csapata tisztában legyen a helyreállítási folyamattal.
- Megőrzési időszak tervezése: Állítsa be a megfelelő megőrzési időtartamokat a megfelelőségi követelmények alapján, de vegye figyelembe a helyreállíthatóan törölt adatok és verziók megőrzésével járó tárolási költségeket is.
- Módosíthatatlansági szabályzatok használata a megfelelőség érdekében: A szabályozott iparágak esetében a tárolókon vagy blobverziókon a módosíthatatlansági szabályzatok alkalmazása szükséges a WORM (Egyszeri írás, Több olvasás) megfelelőségi követelmények teljesítéséhez.
- Védelmi állapot monitorozása: Az Azure Monitor és az Azure Policy használatával nyomon követheti, hogy mely tárfiókok rendelkeznek engedélyezett adatvédelmi funkciókkal, és azonosíthatja a védelmi stratégia hiányosságait.
- A stratégia dokumentálása: Az adatvédelmi konfiguráció egyértelmű dokumentációjának karbantartása, beleértve az engedélyezett funkciókat, a megőrzési időtartamokat és a helyreállítási eljárásokat.
- Fontolja meg a költségeket és a védelmet: Bár fontos az átfogó adatvédelem, egyensúlyban kell tartana a tárolási költségekkel szembeni védelem szintjét. Az életciklus-felügyeleti szabályzatokkal automatikusan törölheti a régi verziókat és pillanatképeket a követelményeknek megfelelően.
- Georedundancia kritikus adatokhoz: Üzleti szempontból kritikus adatok esetén georedundáns tárolással (GRS vagy GZRS) biztosíthatja az adatok rendelkezésre állását akkor is, ha egy teljes régió elérhetetlenné válik.
- Biztonsági mentési megoldásokkal kombinálva: További védelem érdekében fontolja meg az Azure Backup for Azure Files vagy külső biztonsági mentési megoldások használatát, amelyek további helyreállítási lehetőségeket és hosszú távú megőrzést biztosítanak.