Välj och konfigurera lämpliga metoder för att skydda mot datasäkerhetshot, inklusive mjuk borttagning, säkerhetskopiering, versionshantering och oföränderlig lagring
Azure Storage tillhandahåller dataskydd för Blob Storage och Azure Data Lake Storage Gen2 för att hjälpa dig att förbereda dig för scenarier där du behöver återställa data som har tagits bort eller skrivits över. Det är viktigt att tänka på hur du bäst skyddar dina data innan en incident inträffar som kan äventyra dem.
Rekommendationer för grundläggande dataskydd
Om du letar efter grundläggande dataskyddstäckning för ditt lagringskonto och de data som det innehåller rekommenderar Microsoft att du vidtar följande steg till att börja med:
Konfigurera ett Azure Resource Manager-lås på lagringskontot för att skydda kontot från borttagning eller konfigurationsändringar.
Aktivera mjuk borttagning av container för lagringskontot för att återställa en borttagen container och dess innehåll.
Spara tillståndet för en blob med jämna mellanrum:
- För Blob Storage-arbetsbelastningar aktiverar du blobversionshantering för att automatiskt spara tillståndet för dina data varje gång en blob skrivs över.
- För Azure Data Lake Storage-arbetsbelastningar tar du manuella ögonblicksbilder för att spara datastatus vid en viss tidpunkt.
Översikt över dataskyddsalternativ
I följande tabell sammanfattas de alternativ som är tillgängliga i Azure Storage för vanliga dataskyddsscenarier. Välj de scenarier som gäller för din situation för att lära dig mer om de alternativ som är tillgängliga för dig. Det är inte alla funktioner som är tillgängliga just nu för lagringskonton med ett hierarkiskt namnområde aktiverat.
Scenario | Dataskyddsalternativ | Rekommendationer | Skyddsförmån | Tillgänglig för Data Lake Storage |
---|---|---|---|---|
Förhindra att ett lagringskonto tas bort eller ändras. | Azure Resource Manager-lås Läs mer ... |
Lås alla dina lagringskonton med ett Azure Resource Manager-lås för att förhindra borttagning av lagringskontot. | Skyddar lagringskontot mot borttagning eller konfigurationsändringar. Skyddar inte containrar eller blobar i kontot från att tas bort eller skrivas över. |
Ja |
Förhindra att en blobversion tas bort under ett intervall som du styr. | Oföränderlighetsprincip för en blobversion Läs mer ... |
Ange en oföränderlighetsprincip för en enskild blobversion för att skydda affärskritiska dokument, till exempel för att uppfylla juridiska krav eller regelefterlevnadskrav. | Skyddar en blobversion från att tas bort och dess metadata skrivs över. En överskrivningsåtgärd skapar en ny version. Om minst en container har aktiverat oföränderlighet på versionsnivå skyddas även lagringskontot från borttagning. Det går inte att ta bort containern om det finns minst en blob i containern. |
Nej |
Förhindra att en container och dess blobar tas bort eller ändras under ett intervall som du kontrollerar. | Oföränderlighetsprincip för en container Läs mer ... |
Ange en oföränderlighetsprincip för en container för att skydda affärskritiska dokument, till exempel för att uppfylla juridiska krav eller regelefterlevnadskrav. | Skyddar en container och dess blobar från alla borttagningar och överskrivningar. När ett bevarande av juridiska skäl eller en låst tidsbaserad kvarhållningsprincip tillämpas skyddas även lagringskontot från borttagning. Containrar för vilka ingen oföränderlighetsprincip har angetts skyddas inte från borttagning. |
Ja |
Återställ en borttagen container inom ett angivet intervall. | Mjuk borttagning av containrar Läs mer ... |
Aktivera mjuk borttagning av containrar för alla lagringskonton, med ett minsta kvarhållningsintervall på sju dagar. Aktivera blobversionshantering och mjuk borttagning av blobar tillsammans med mjuk borttagning av containrar för att skydda enskilda blobar i en container. Lagra containrar som kräver olika kvarhållningsperioder i separata lagringskonton. |
En borttagen container och dess innehåll kan återställas inom kvarhållningsperioden. Endast åtgärder på containernivå (till exempel Ta bort container) kan återställas. Med mjuk borttagning av containrar kan du inte återställa en enskild blob i containern om den bloben tas bort. |
Ja |
Spara automatiskt tillståndet för en blob i en tidigare version när den skrivs över. | Blobversionshantering Läs mer ... |
Aktivera blobversionshantering, tillsammans med mjuk borttagning av containrar och mjuk borttagning av blobar, för lagringskonton där du behöver optimalt skydd för blobdata. Lagra blobdata som inte kräver versionshantering i ett separat konto för att begränsa kostnaderna. |
Varje blobskrivningsåtgärd skapar en ny version. Den aktuella versionen av en blob kan återställas från en tidigare version om den aktuella versionen tas bort eller skrivs över. | Nej |
Återställ en borttagen blob- eller blobversion inom ett angivet intervall. | Mjuk borttagning av blob Läs mer ... |
Aktivera mjuk borttagning av blobar för alla lagringskonton, med ett minsta kvarhållningsintervall på sju dagar. Aktivera blobversionshantering och mjuk borttagning av containrar tillsammans med mjuk borttagning av blobar för optimalt skydd av blobdata. Lagra blobar som kräver olika kvarhållningsperioder i separata lagringskonton. |
En borttagen blob- eller blobversion kan återställas inom kvarhållningsperioden. | Ja |
Återställ en uppsättning blockblobar till en tidigare tidpunkt. | Återställning till tidpunkt Läs mer ... |
Om du vill använda återställning till tidpunkt för att återgå till ett tidigare tillstånd utformar du programmet för att ta bort enskilda blockblobar i stället för att ta bort containrar. | En uppsättning blockblobar kan återställas till sitt tillstånd vid en viss tidpunkt tidigare. Endast åtgärder som utförs på blockblobar återställs. Åtgärder som utförs på containrar, sidblobar eller tilläggsblobar återställs inte. |
Nej |
Spara tillståndet för en blob manuellt vid en viss tidpunkt. | Blobögonblicksbild Läs mer ... |
Rekommenderas som ett alternativ till blobversionshantering när versionshantering inte är lämpligt för ditt scenario, på grund av kostnader eller andra överväganden, eller när lagringskontot har ett hierarkiskt namnområde aktiverat. | En blob kan återställas från en ögonblicksbild om bloben skrivs över. Om bloben tas bort tas även ögonblicksbilder bort. | Ja, i förhandsversion |
En blob kan tas bort eller skrivas över, men data kopieras regelbundet till ett andra lagringskonto. | Roll-your-own-lösning för att kopiera data till ett andra konto med hjälp av Azure Storage-objektreplikering eller ett verktyg som AzCopy eller Azure Data Factory. | Rekommenderas för sinnesfridsskydd mot oväntade avsiktliga åtgärder eller oförutsägbara scenarier. Skapa det andra lagringskontot i samma region som det primära kontot för att undvika utgående avgifter. |
Data kan återställas från det andra lagringskontot om det primära kontot komprometteras på något sätt. | AzCopy och Azure Data Factory stöds. Objektreplikering stöds inte. |
Dataskydd efter resurstyp
I följande tabell sammanfattas dataskyddsalternativen för Azure Storage enligt de resurser som de skyddar.
Dataskyddsalternativ | Skyddar ett konto från borttagning | Skyddar en container från borttagning | Skyddar ett objekt från borttagning | Skyddar ett objekt från överskrivningar |
---|---|---|---|---|
Azure Resource Manager-lås | Ja | Nej | Nej | Nej |
Oföränderlighetsprincip för en blobversion | Ja | Ja | Ja | Ja |
Oföränderlighetsprincip för en container | Ja | Ja | Ja | Ja |
Mjuk borttagning av containrar | Nej | Ja | Nej | Nej |
Blobversionshantering | Nej | Nej | Ja | Ja |
Mjuk borttagning av blob | Nej | Nej | Ja | Ja |
Återställning till tidpunkt | Nej | Nej | Ja | Ja |
Blobögonblicksbild | Nej | Nej | Nej | Ja |
Roll-your-own-lösning för att kopiera data till ett andra konto | Nej | Ja | Ja | Ja |
Om du förstår nyanserna i dataskyddet i Azure Storage visas flera driftinsikter och begränsningar:
- Ett Azure Resource Manager-lås skyddar inte en container från borttagning.
- Det går inte att ta bort lagringskontot om det finns minst en container med oföränderlig lagring på versionsnivå aktiverad.
- Det går inte att ta bort containrar om det finns minst en blob i containern, oavsett om principen är låst eller olåst.
- Om du skriver över innehållet i den aktuella versionen av bloben skapas en ny version. En oföränderlighetsprincip skyddar en versions metadata från att skrivas över.
- Även om en bevarandeprincip för juridiska skäl eller en låst tidsbaserad kvarhållningsprincip tillämpas i containeromfånget skyddas även lagringskontot från borttagning.
- Stöds för närvarande inte för Data Lake Storage-arbetsbelastningar.
- AzCopy och Azure Data Factory är alternativ som stöds för både Blob Storage- och Data Lake Storage-arbetsbelastningar. Objektreplikering stöds endast för Blob Storage-arbetsbelastningar.
Återställa borttagna eller överskrivna data
Om du behöver återställa data som har skrivits över eller tagits bort beror hur du fortsätter på vilka dataskyddsalternativ du har aktiverat och vilken resurs som påverkades. I följande tabell beskrivs de åtgärder som du kan vidta för att återställa data.
Borttagen eller överskriven resurs | Möjliga återställningsåtgärder | Krav för återställning |
---|---|---|
Lagringskonto | Försök att återställa det borttagna lagringskontot |
Lagringskontot skapades ursprungligen med Azure Resource Manager-distributionsmodellen och har tagits bort under de senaste 14 dagarna. Ett nytt lagringskonto med samma namn har inte skapats sedan det ursprungliga kontot togs bort. |
Container | Återställa den mjukt borttagna containern och dess innehåll |
Mjuk borttagning av containrar är aktiverad och kvarhållningsperioden för mjuk borttagning av containrar har ännu inte upphört att gälla. |
Behållare och blobbar | Återställa data från ett andra lagringskonto | Alla container- och blobåtgärder har effektivt replikerats till ett andra lagringskonto. |
Blob (valfri typ) | Återställa en blob från en tidigare version |
Blobversionshantering är aktiverat och bloben har en eller flera tidigare versioner. |
Blob (valfri typ) | Återställa en mjuk borttagen blob |
Mjuk borttagning av blob är aktiverat och kvarhållningsintervallet för mjuk borttagning har inte upphört att gälla. |
Blob (valfri typ) | Återställa en blob från en ögonblicksbild |
Blobben har en eller flera ögonblicksbilder. |
Uppsättning blockblobar | Återställa en uppsättning blockblobar till deras tillstånd vid en tidigare tidpunkt |
Återställning till tidpunkt är aktiverad och återställningspunkten ligger inom kvarhållningsintervallet. Lagringskontot har inte komprometterats eller skadats. |
Blobversion | Återställa en mjuk borttagen version |
Mjuk borttagning av blob är aktiverat |
Sammanfattning av kostnadsöverväganden
Dataskyddsalternativ | Kostnadsöverväganden |
---|---|
Azure Resource Manager-lås för ett lagringskonto | Ingen kostnad för att konfigurera ett lås på ett lagringskonto. |
Oföränderlighetsprincip för en blobversion | Ingen kostnad för att aktivera oföränderlighet på versionsnivå på en container. Om du skapar, ändrar eller tar bort en tidsbaserad kvarhållningsprincip eller ett juridiskt undantag för en blobversion blir det en skrivtransaktionsavgift. |
Oföränderlighetsprincip för en container | Ingen kostnad för att konfigurera en oföränderlighetsprincip för en container. |
Mjuk borttagning av containrar | Ingen kostnad för att aktivera mjuk borttagning av containrar för ett lagringskonto. Data i en mjuk borttagningscontainer debiteras med samma hastighet som aktiva data tills den mjukt borttagna containern tas bort permanent. |
Blobversionshantering | Ingen kostnad för att aktivera blobversionshantering för ett lagringskonto. När blobversionshantering har aktiverats skapar varje skrivnings- eller borttagningsåtgärd på en blob i kontot en ny version, vilket kan leda till ökade kapacitetskostnader. En blobversion faktureras baserat på unika block eller sidor. Kostnaderna ökar därför när basbloben avviker från en viss version. Att ändra en blob- eller blobversionsnivå kan ha en faktureringspåverkan. Mer information finns i Priser och fakturering. Använd livscykelhantering för att ta bort äldre versioner efter behov för att kontrollera kostnaderna. Mer information finns i Optimera kostnader genom att automatisera Åtkomstnivåer för Azure Blob Storage. |
Mjuk borttagning av blob | Ingen kostnad för att aktivera mjuk borttagning av blobar för ett lagringskonto. Data i en blob med mjuk borttagning debiteras med samma hastighet som aktiva data tills den mjukt borttagna bloben tas bort permanent. |
Återställning till tidpunkt | Ingen kostnad för att aktivera återställning till tidpunkt för ett lagringskonto. Att aktivera återställning till tidpunkt möjliggör dock även blobversionshantering, mjuk borttagning och ändringsflöde, som var och en kan resultera i andra avgifter. Du debiteras för återställning till tidpunkt när du utför en återställningsåtgärd. Kostnaden för en återställningsåtgärd beror på hur mycket data som återställs. Mer information finns i Priser och fakturering. |
Blobögonblicksbilder | Data i en ögonblicksbild faktureras baserat på unika block eller sidor. Kostnaderna ökar därför när basbloben avviker från ögonblicksbilden. Om du ändrar en blob- eller ögonblicksbildnivå kan faktureringen påverkas. Mer information finns i Priser och fakturering. Använd livscykelhantering för att ta bort äldre ögonblicksbilder efter behov för att kontrollera kostnaderna. Mer information finns i Optimera kostnader genom att automatisera Åtkomstnivåer för Azure Blob Storage. |
Kopiera data till ett andra lagringskonto | Att underhålla data på ett andra lagringskonto medför kapacitets- och transaktionskostnader. Om det andra lagringskontot finns i en annan region än källkontot medför kopiering av data till det andra kontot dessutom utgående avgifter. |
Haveriberedskap
Azure Storage underhåller alltid flera kopior av dina data så att de skyddas från planerade och oplanerade händelser, inklusive tillfälliga maskinvarufel, nätverks- eller strömavbrott och massiva naturkatastrofer. Redundans säkerställer att ditt lagringskonto uppfyller sina tillgänglighets- och hållbarhetsmål även vid fel.
Om ett fel inträffar i ett datacenter, om ditt lagringskonto är redundant över två geografiska regioner (geo-redundant), kan du redundansväxla ditt konto från den primära regionen till den sekundära regionen.
Kundhanterad redundans stöds för närvarande inte för lagringskonton med ett hierarkiskt namnområde aktiverat.