Overzicht van Azure Files-gegevensbeveiliging
Azure Files biedt u veel hulpprogramma's voor het beveiligen van uw gegevens, waaronder voorlopig verwijderen, momentopnamen delen, Azure Backup en Azure File Sync. In dit artikel wordt beschreven hoe u uw gegevens in Azure Files beveiligt en de concepten en processen die betrekking hebben op het maken van back-ups en het herstellen van Azure-bestandsshares.
Bekijk deze video om te leren hoe geavanceerde gegevensbeveiliging van Azure Files ondernemingen helpt om beschermd te blijven tegen ransomware en onbedoeld gegevensverlies en tegelijkertijd een grotere bedrijfscontinuïteit te bieden.
Waarom u uw gegevens moet beveiligen
Voor Azure Files verwijst gegevensbeveiliging naar het beveiligen van het opslagaccount, bestandsshares en gegevens die erin voorkomen dat ze worden verwijderd of gewijzigd, en voor het herstellen van gegevens nadat deze zijn verwijderd of gewijzigd.
Er zijn verschillende redenen waarom u uw bestandssharegegevens moet beveiligen.
- Herstel na onbedoeld gegevensverlies: herstel gegevens die per ongeluk zijn verwijderd of beschadigd.
- Upgradescenario's: Herstel naar een bekende goede status na een mislukte upgradepoging.
- Ransomwarebeveiliging: herstel gegevens zonder losgeld te betalen aan cybercriminelen.
- Langetermijnretentie: voldoen aan vereisten voor gegevensretentie.
- Bedrijfscontinuïteit: bereid uw infrastructuur voor om maximaal beschikbaar te zijn voor kritieke workloads.
Back-ups maken van Azure-bestandsshares en deze terugzetten
U kunt Azure Backup configureren om een back-up te maken van uw bestandsshares met behulp van Azure Portal, Azure PowerShell, Azure CLI of REST API. U kunt azure File Sync ook gebruiken om een back-up te maken van on-premises bestandsservergegevens op een Azure-bestandsshare.
Zie de volgende artikelen voor meer informatie over het maken van back-ups en het herstellen van Azure-bestandsshares met behulp van Azure Portal:
Gegevensredundantie
Azure Files biedt meerdere redundantieopties, waaronder georedundantie, om uw gegevens te beschermen tegen servicestoringen vanwege hardwareproblemen of natuurrampen. Zie Azure Files-gegevensredundantie om te achterhalen welke optie het meest geschikt is voor uw use-case.
Belangrijk
Azure Files biedt alleen ondersteuning voor georedundantie (GRS of GZRS) voor standaard-SMB-bestandsshares. Premium-bestandsshares en NFS-bestandsshares moeten lokaal redundante opslag (LRS) of zone-redundante opslag (ZRS) gebruiken.
Herstel na noodgevallen en failover
In het geval van een noodgeval of niet-geplande storing is het herstellen van de toegang tot bestandssharegegevens essentieel om het bedrijf operationeel te houden. Afhankelijk van de ernst van de gegevens die worden gehost in uw bestandsshares, hebt u mogelijk een strategie voor herstel na noodgevallen nodig die het mislukken van uw Azure-bestandsshares naar een secundaire regio omvat.
Azure Files biedt door de klant beheerde niet-geplande failover voor standaardopslagaccounts als het datacenter in de primaire regio niet meer beschikbaar is. Door de klant beheerde geplande failover kan ook worden gebruikt in meerdere scenario's, waaronder geplande noodhersteltests, een proactieve benadering van grootschalige rampen of om te herstellen van niet-opslaggerelateerde storingen.
Belangrijk
Door de klant beheerde geplande failover is momenteel in PREVIEW en beperkt tot de volgende regio's:
- Frankrijk - centraal
- Frankrijk - zuid
- India - centraal
- India - west
- Azië - oost
- Azië - zuidoost
Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Als u zich wilt aanmelden voor de preview, raadpleegt u Preview-functies instellen in het Azure-abonnement en geeft u AllowSoftFailover
deze op als de functienaam. De providernaam voor deze preview-functie is Microsoft.Storage.
Belangrijk
Na een geplande failover kan de LST-waarde (Last Sync Time) van een opslagaccount verlopen zijn of als NULL worden gerapporteerd wanneer Azure Files-gegevens aanwezig zijn.
Systeemmomentopnamen worden periodiek gemaakt in de secundaire regio van een opslagaccount om consistente herstelpunten te onderhouden die worden gebruikt tijdens een failover en failback. Het initiëren van door de klant beheerde geplande failover zorgt ervoor dat de oorspronkelijke primaire regio de nieuwe secundaire regio wordt. In sommige gevallen zijn er geen systeemmomentopnamen beschikbaar op de nieuwe secundaire nadat de geplande failover is voltooid, waardoor de totale LST-waarde van het account verouderd wordt weergegeven of als wordt weergegeven Null
.
Omdat gebruikersactiviteiten zoals het maken, wijzigen of verwijderen van objecten het maken van momentopnamen kunnen activeren, heeft elk account waarop deze activiteiten plaatsvinden na geplande failover geen extra aandacht nodig. Accounts zonder momentopnamen of gebruikersactiviteit kunnen echter een Null
LST-waarde blijven weergeven totdat het maken van een systeemmomentopname wordt geactiveerd.
Voer zo nodig een van de volgende activiteiten uit voor elke share in een opslagaccount om het maken van momentopnamen te activeren. Na voltooiing moet uw account binnen 30 minuten een geldige LST-waarde weergeven.
- Koppel de share en open vervolgens een bestand om te lezen.
- Upload een test- of voorbeeldbestand naar de share.
Zie Herstel na noodgevallen en failover voor Azure Files.
Onbedoeld verwijderen van opslagaccounts en bestandsshares voorkomen
Gegevensverlies vindt niet altijd plaats vanwege een noodgeval. Vaker is het het resultaat van menselijke fouten. Azure biedt u hulpprogramma's om onbedoeld verwijderen van opslagaccounts en bestandsshares te voorkomen.
Opslagaccountvergrendelingen
Met opslagaccountvergrendelingen kunnen beheerders het opslagaccount vergrendelen om te voorkomen dat gebruikers het opslagaccount per ongeluk verwijderen. Er zijn twee typen opslagaccountvergrendelingen:
- Met De vergrendeling CannotDelete voorkomt u dat gebruikers een opslagaccount verwijderen, maar kunnen de configuratie ervan worden gewijzigd.
- ReadOnly-vergrendeling voorkomt dat gebruikers een opslagaccount verwijderen of de configuratie ervan wijzigen.
Zie Een Azure Resource Manager-vergrendeling toepassen op een opslagaccount voor meer informatie.
Voorlopig verwijderen
Voorlopig verwijderen werkt op een bestandsshareniveau om Azure-bestandsshares te beveiligen tegen onbedoeld verwijderen. Als een share met voorlopig verwijderen is ingeschakeld, wordt deze intern verplaatst naar een voorlopig verwijderde status en kan deze worden opgehaald totdat de bewaarperiode verloopt. Azure-bestandsshares worden nog steeds gefactureerd voor de gebruikte capaciteit wanneer ze voorlopig worden verwijderd.
Zie Voorlopig verwijderen inschakelen voor Azure-bestandsshares en Onbedoeld verwijderen van Azure-bestandsshares voorkomen voor meer informatie.
Momentopnamen van shares
Momentopnamen van bestandsshares zijn momentopnamen van een bepaald tijdstip van uw Azure-bestandsshare die u handmatig of automatisch kunt maken via Azure Backup. Vervolgens kunt u afzonderlijke bestanden herstellen vanuit deze momentopnamen. U kunt maximaal 200 momentopnamen per bestandsshare maken.
Momentopnamen zijn incrementeel van aard, waarbij alleen de wijzigingen sinds de laatste momentopname worden vastgelegd. Dat betekent dat ze ruimte en kostenefficiënt zijn. U wordt gefactureerd voor het differentiële opslaggebruik van elke momentopname, waardoor het praktisch is om meerdere herstelpunten te hebben om aan lage RPO-vereisten te voldoen.
Zie Overzicht van momentopnamen van shares voor Azure Files voor meer informatie.
Azure File Sync gebruiken voor back-ups van hybride clouds
Het gebruik van Azure File Sync met Azure Backup is een eenvoudige oplossing voor hybride cloudback-ups van on-premises naar de cloud. Azure File Sync houdt de bestanden gesynchroniseerd en gecentraliseerd.
Deze methode vereenvoudigt herstel na noodgevallen en biedt u meerdere opties. U kunt enkele bestanden of mappen herstellen of een snelle herstelbewerking uitvoeren van uw volledige bestandsshare. Open een nieuwe server op de primaire server en wijs deze aan op de gecentraliseerde Azure-bestandsshare waar deze toegang heeft tot de gegevens. Na verloop van tijd worden bestanden lokaal in de cache opgeslagen of gelaagd in de cloud op basis van de Azure File Sync-instellingen.