Aanbevolen procedures voor gegevensbeveiliging, back-up en herstel van Azure Storage

Het artikel biedt opties voor gegevensbeveiliging en back-up van Azure Storage, herstelscenario's voor selfservice en herstelmogelijkheden voor Microsoft-ondersteuning.

Opties voor gegevensbeveiliging, back-up en herstel

Azure Storage-gegevensbeveiliging verwijst naar strategieën voor:

• Het opslagaccount en de gegevens erin beschermen tegen verwijdering of wijziging.
• Gegevens herstellen nadat deze zijn verwijderd of gewijzigd.

In deze sectie worden de beschikbare opties voor gegevensbeveiliging, back-up en herstel beschreven. Zie opties voor back-up en beveiliging van gegevens voor meer informatie.

Opties voor gegevensbescherming en back-up

In de volgende secties worden scenario's voor gegevensbeveiliging en aanbevolen beveiligingsopties beschreven:

• Scenario 1: Beveiliging van opslagaccounts
• Scenario 2: Beveiliging van blobcontainers
• Scenario 3: Beveiliging van blobbestanden

Scenario 1: Beveiliging van opslagaccounts

Schakel Arm-vergrendeling (Azure Resource Manager) in om al uw opslagaccounts te vergrendelen en te voorkomen dat het opslagaccount wordt verwijderd. Zie Een Azure Resource Manager-vergrendeling toepassen op een opslagaccount voor meer informatie over ARM-vergrendeling.

Voordelen en beperkingen:

• Beschermt het opslagaccount tegen verwijdering of configuratiewijzigingen.
• Hiermee worden containers of blobs in het account niet beschermd tegen verwijderen of overschrijven.
• Het ondersteunt Azure Data Lake Storage (ADLS) Gen 2.

Scenario 2: Beveiliging van blobcontainers

• Schakel onveranderbaarheidsbeleid in op een container om bedrijfskritieke documenten te beveiligen, bijvoorbeeld om te voldoen aan wettelijke of wettelijke nalevingsvereisten.

  Voordelen en beperkingen:

  • Beschermt een container en de bijbehorende blobs tegen alle verwijderingen en overschrijvingen.
  • Wanneer een juridische bewaring of een vergrendeld bewaarbeleid op basis van tijd van kracht is, wordt het opslagaccount ook beveiligd tegen verwijdering. Containers waarvoor geen onveranderbaarheidsbeleid is ingesteld, zijn niet beveiligd tegen verwijdering.
  • Het ondersteunt ADLS Gen 2 in preview.

  Zie Bedrijfskritieke blobgegevens opslaan met onveranderbare opslag voor meer informatie over onveranderbaarheidsbeleid voor een container.

• Schakel voorlopig verwijderen van containers in om een verwijderde container binnen een opgegeven interval te herstellen.

  Voordelen en beperkingen:

  • Een verwijderde container en de inhoud ervan kunnen binnen de bewaarperiode worden hersteld. De aanbevolen procedure voor een minimaal bewaarinterval is zeven dagen.
  • Alleen bewerkingen op containerniveau, zoals 'Container verwijderen', kunnen worden hersteld. Met voorlopig verwijderen van containers kunt u geen afzonderlijke blob in de container herstellen als die blob wordt verwijderd.
  • Het ondersteunt ADLS Gen 2.

  Zie Voorlopig verwijderen voor containers voor meer informatie over het voorlopig verwijderen van containers.

Scenario 3: Beveiliging van blobbestanden

• Schakel onveranderbaarheidsbeleid in op een blobversie om te voorkomen dat een blobversie wordt verwijderd voor een interval dat u zelf bepaalt.

  Voordelen en beperkingen:

  • Hiermee wordt voorkomen dat een blobversie wordt verwijderd en de metagegevens ervan niet worden overschreven. Met een overschrijfbewerking wordt een nieuwe versie gemaakt.
  • Als onveranderbaarheid op versieniveau is ingeschakeld voor ten minste één container, is het opslagaccount ook beveiligd tegen verwijdering.
  • Containerverwijdering mislukt als er ten minste één blob in de container bestaat.
  • Deze is niet beschikbaar voor ADLS Gen2.

  Zie Bedrijfskritieke blobgegevens opslaan met onveranderbare opslag voor meer informatie over onveranderbaarheidsbeleid voor een blobversie.

• Schakel voorlopig verwijderen van blob in om een verwijderde blob- of blobversie binnen een opgegeven interval te herstellen.

  Voordelen:

  • Een verwijderde blob- of blobversie kan binnen de bewaarperiode worden hersteld. De aanbevolen procedure voor een minimaal bewaarinterval is zeven dagen.
  • Het ondersteunt ADLS Gen 2.

  Zie Voorlopig verwijderen voor blobs voor meer informatie over het voorlopig verwijderen van blobs.

• Schakel blobmomentopname in om de status van een blob op een bepaald tijdstip handmatig op te slaan.

  Voordelen en beperkingen:

  • Een blob kan worden hersteld vanuit een momentopname als de blob is overschreven. Als de blob echter wordt verwijderd, worden momentopnamen ook verwijderd.
  • Het ondersteunt ADLS Gen 2 in preview.

  Zie Blob-momentopnamen voor meer informatie over blobmomentopnamen.

• Schakel blobversiebeheer in om de status van een blob in een eerdere versie automatisch op te slaan wanneer deze wordt overschreven.

  Voordelen en beperkingen:

  • Elke blob-schrijfbewerking maakt een nieuwe versie. De huidige versie van een blob kan worden hersteld van een eerdere versie als de huidige versie wordt verwijderd of overschreven.
  • Deze is niet beschikbaar voor ADLS Gen2.

  Zie Blob-versiebeheer voor meer informatie over blobversiebeheer.

• Schakel Herstel naar een bepaald tijdstip in om een set blok-blobs te herstellen naar een eerder tijdstip.

  Voordelen en beperkingen:

  • Een set blok-blobs kan worden teruggezet naar hun status op een bepaald punt in het verleden.
  • Alleen bewerkingen die worden uitgevoerd op blok-blobs worden teruggedraaid.
  • Bewerkingen die worden uitgevoerd op containers, pagina-blobs of toevoeg-blobs, worden niet teruggedraaid.
  • Deze is niet beschikbaar voor ADLS Gen2.

  Zie Herstel naar een bepaald tijdstip voor blok-blobs voor meer informatie over herstel naar een bepaald tijdstip.

• Kopieer gegevens naar een tweede account via Azure Storage-objectreplicatie of hulpprogramma's zoals AzCopy of Azure Data Factory.

  Voordelen en beperkingen:

  • Gegevens kunnen worden hersteld vanuit het tweede opslagaccount als het primaire account op een of andere manier is gecompromitteerd.
  • AzCopy en Azure Data Factory worden ondersteund.
  • Objectreplicatie wordt niet ondersteund.

Opties voor gegevensherstel

In de volgende secties worden scenario's voor gegevensherstel en mogelijke herstelopties beschreven:

• Scenario 1: Herstel van opslagaccount
• Scenario 2: Blob-containerherstel
• Scenario 3: Blob-bestand herstellen

U kunt gegevens herstellen nadat gegevensbeveiliging en back-upopties zijn ingeschakeld.

Scenario 1: Herstel van opslagaccount

Verwijst naar Verwijderde opslagaccounts herstellen uit de Azure Portal.

Scenario 2: Blob-containerherstel

• Herstel de voorlopig verwijderde container en de inhoud ervan.

  Vereisten voor herstel:

  • Voorlopig verwijderen van container is ingeschakeld.
  • De retentieperiode voor voorlopig verwijderen van containers is nog niet verlopen.

  Zie Voorlopig verwijderen voor containers inschakelen en beheren voor meer informatie.

• Herstel van een tweede opslagaccount.

  Vereisten voor herstel: alle container- en blobbewerkingen zijn gerepliceerd naar een tweede opslagaccount.

Scenario 3: Blob-bestand herstellen

• Herstel blobs naar eerdere versies via blob-versiebeheer.

  Vereisten voor herstel:

  • Blob-versiebeheer is ingeschakeld.
  • De blob heeft een of meer eerdere versies.

  Zie Blob-versiebeheer inschakelen en beheren voor meer informatie.

  Deze optie wordt momenteel niet ondersteund voor ADLS-workloads.

  Herstelprocedures:

  1. Ga vanuit de Azure Portal naar de betreffende blob.

  2. Selecteer het beletselteken (...) voor de blob die u wilt herstellen.

  3. Selecteer Versies weergeven.

  4. Selecteer de versie waaruit moet worden hersteld.

  5. Selecteer Huidige versie maken.

• Herstel blobs via blobs voorlopig verwijderen.

  Vereisten voor herstel:

  • Voorlopig verwijderen van blob is ingeschakeld.
  • Het bewaarinterval voor voorlopig verwijderen is niet verlopen.

  Zie Voorlopig verwijderde blobs beheren en herstellen voor meer informatie.

• Herstel een set blok-blobs via een bepaald tijdstip.

  Vereisten voor herstel:

  • Herstel naar een bepaald tijdstip is ingeschakeld.
  • Het herstelpunt valt binnen het bewaarinterval.
  • Het opslagaccount is niet gecompromitteerd of beschadigd.

  Zie Een herstel naar een bepaald tijdstip uitvoeren op blok-blobgegevens voor meer informatie.

• Blobs herstellen via momentopnamen.

  Vereisten voor herstel: de blob heeft een of meer momentopnamen. Zie Een blobmomentopname maken en beheren in .NET voor meer informatie.

  Herstelprocedures:

  1. Ga vanuit de Azure Portal naar de betreffende blob.

  2. Selecteer het beletselteken (...) voor de blob die u wilt herstellen.

  3. Selecteer Momentopnamen weergeven.

  4. Selecteer de momentopname waaruit moet worden hersteld.

  5. Selecteer Promoveren.

Aanbevolen procedure voor Azure RBAC

Een andere best practice om onbedoelde verwijdering van accounts te voorkomen, is het aantal gebruikers te beperken dat gemachtigd is om een account te verwijderen via op rollen gebaseerd toegangsbeheer (Azure RBAC).

Hier volgen enkele aanbevolen methoden:

• Alleen de toegang verlenen die gebruikers nodig hebben.
• Beperk het aantal abonnementseigenaren.
• Gebruik Microsoft Entra Privileged Identity Management.
• Wijs rollen toe aan groepen, niet aan gebruikers.
• Wijs rollen toe met behulp van de unieke rol-id in plaats van de rolnaam.

Zie Best practices voor Azure RBAC voor meer informatie.

Niet-ondersteund opslagherstel

Microsoft biedt geen ondersteuning voor de volgende scenario's voor opslagherstel:

• Herstel van Azure Storage-wachtrij wordt niet ondersteund.
• Herstel van Azure Storage-tabelvermeldingen wordt niet ondersteund, terwijl herstel van verwijderde tabellen wel wordt ondersteund. Zie Ondersteunde opslagherstel voor meer informatie.
• Herstel van Azure Blob-bestanden zonder beveiliging tegen blobbestanden wordt niet ondersteund, maar herstel van verwijderde containers wordt wel ondersteund. Zie Ondersteunde opslagherstel voor meer informatie.

Ondersteund opslagherstel

In deze sectie worden verschillende ondersteunde scenario's voor opslagherstel beschreven wanneer aan een aantal vereisten wordt voldaan:

• Scenario 1: Herstel van opslagaccount (HERSTEL van ARM-opslagaccount)
• Scenario 2: Herstel van klassiek opslagaccount
• Scenario 3: Containerherstel
• Scenario 4: ADLS Gen 2-gegevens- en bestandssysteemherstel
• Scenario 5: Tabelherstel
• Scenario 6: Schijfherstel

Microsoft doet er alles aan om de gegevens te herstellen, maar kan niet garanderen hoeveel gegevens kunnen worden hersteld.

Scenario 1: Herstel van opslagaccount (HERSTEL van ARM-opslagaccount)

Vereisten:

• Het opslagaccount is in de afgelopen 14 dagen verwijderd.
• Het opslagaccount is gemaakt met het Azure Resource Manager-implementatiemodel.
• Er is geen nieuw opslagaccount met dezelfde naam gemaakt sinds het oorspronkelijke account is verwijderd.
• Aan de gebruiker die het opslagaccount herstelt, moet een Azure RBAC-rol worden toegewezen die de machtigingen Microsoft.Storage/storageAccounts/write biedt. Zie Ingebouwde Azure-rollen voor informatie over ingebouwde Azure RBAC-rollen die deze machtiging bieden.
• Zorg ervoor dat de resourcegroep die het opslagaccount heeft verwijderd, bestaat. Als de resourcegroep is verwijderd, moet u deze handmatig opnieuw maken.
• [Alleen voor specifieke gevallen] Als het verwijderde opslagaccount door de klant beheerde sleutels met Azure Key Vault heeft gebruikt en de sleutelkluis ook is verwijderd, moet u de sleutelkluis herstellen voordat u het opslagaccount herstelt. Zie Overzicht van Azure Key Vault herstel voor meer informatie.

Suggesties:

• Een opslagaccount herstellen van een bestaand opslagaccount.
• Een opslagaccount herstellen via een ondersteuningsticket.

Zie Verwijderde opslagaccounts herstellen van Azure Portal voor meer informatie.

Scenario 2: Herstel van klassiek opslagaccount

Vereisten:

• Er is geen nieuw opslagaccount met dezelfde naam gemaakt sinds het oorspronkelijke account is verwijderd.
• Het opslagaccount is in de afgelopen 14 dagen verwijderd.

Suggesties:

• Vraag hulp van ondersteuningstechnici om de situatie te evalueren.

Scenario 3: Containerherstel

Vereisten:

• De replicatie van het opslagaccount is ingesteld op geografisch redundante opslag (GRS), geografisch zone-redundante opslag (GZRS), geografisch zone-redundante opslag met leestoegang (RAGZRS) of geografisch redundante opslag met leestoegang (RA-GRS) voordat de container werd verwijderd. Opslagaccounts met LRS worden niet ondersteund om een verwijderde container te herstellen.

Suggesties:

• Vraag hulp van ondersteuningstechnici om de situatie te evalueren.

Scenario 4: ADLS Gen 2-gegevens- en bestandssysteemherstel

Vereisten:

• Opslagaccount met HNS (Hiërarchische naamruimte) ingeschakeld.
• Het ADLS Gen2-bestand of de map is binnen drie dagen verwijderd.

Suggesties:

• Vraag hulp van ondersteuningstechnici om de situatie te evalueren.

Scenario 5: Tabelherstel

Vereisten:

• De hele tabel wordt verwijderd met behulp van de bewerking 'Tabel VERWIJDEREN' zonder de tabelinvoergegevens te wijzigen.

Suggesties:

• Vraag hulp van ondersteuningstechnici om de situatie te evalueren.

Scenario 6: Schijfherstel

Vereisten:

• De vereisten voor schijfherstel variëren, afhankelijk van een aantal factoren. Is voorlopig verwijderen bijvoorbeeld ingeschakeld? Of verwijst de herstelschijf naar een beheerde schijf of een niet-beheerde schijf?

Suggesties:

• Vraag hulp van ondersteuningstechnici om de situatie te evalueren.

Verwijderde opslagaccounts herstellen vanuit de Azure Portal

Eindgebruikers kunnen op twee manieren een verwijderd opslagaccount herstellen vanuit de Azure Portal:

• Herstel het verwijderde account uit een bestaand opslagaccount.

• Herstel het account via een ondersteuningsticket.

Een verwijderd opslagaccount herstellen vanuit een ander opslagaccount

Voer de volgende stappen uit om een verwijderd opslagaccount te herstellen vanuit een ander opslagaccount:

1. Navigeer naar de lijst met uw opslagaccount in de Azure Portal.

2. Selecteer de knop Herstellen om het deelvenster Verwijderde account herstellen te openen .

   

3. Selecteer het abonnement voor het account dat u wilt herstellen in de vervolgkeuzelijst Abonnement .

   

4. Selecteer in de vervolgkeuzelijst het account dat u wilt herstellen. Als het opslagaccount dat u wilt herstellen niet in de vervolgkeuzelijst staat, kan het niet worden hersteld.

5. Selecteer de knop Herstellen om het account te herstellen. In de portal wordt een melding weergegeven dat het herstel wordt uitgevoerd.

Zie Een verwijderd account herstellen uit de Azure Portal voor meer informatie.

Opslagaccounts herstellen via een ondersteuningsticket

1. Navigeer in de Azure Portal naar Help en ondersteuning.

2. Selecteer Een ondersteuningsaanvraag maken.

3. Selecteer op het tabblad Beschrijving van het probleem in het veld Probleemtypede optie Technisch.

4. Selecteer in het veld Abonnement het abonnement met het verwijderde opslagaccount.

5. Selecteer in het veld Servicede optie Opslagaccountbeheer.

6. Selecteer een opslagaccountresource in het veld Resource . Het verwijderde opslagaccount wordt niet weergegeven in de lijst.

7. Voeg een kort overzicht van het probleem toe.

8. Selecteer verwijderen en herstellen in het veld Probleemtype.

9. Selecteer in het veld Subtype probleemde optie Verwijderd opslagaccount herstellen.

   In de volgende schermopname ziet u een voorbeeld van het tabblad Probleembeschrijving dat wordt ingevuld:

   

10. Navigeer naar het tabblad Aanbevolen oplossing en selecteer Door de klant beheerd opslagaccountherstel.

    

11. Selecteer in de vervolgkeuzelijst het account dat u wilt herstellen. Als het opslagaccount dat u wilt herstellen niet in de vervolgkeuzelijst staat, kan het niet worden hersteld.

    

12. Selecteer Herstellen om het account te herstellen. In de portal wordt een melding weergegeven dat het herstel wordt uitgevoerd.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.