你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
从 Defender for Storage(经典版)迁移到新计划
新的 Defender for Storage 计划已于 2023 年 3 月 28 日推出。 如果当前将 Defender for Storage(经典版)与按事务或按存储帐户定价计划一起使用,请考虑升级到新的 Defender for Storage 计划,其中提供了经典版计划中未包含的几项新权益。
为什么要迁移到新计划?
新计划包括高级安全功能,可帮助防止恶意文件上传、敏感数据外泄和数据损坏。
此新该计划的定价结构也更具可预测性且更灵活,可用户更好地控制覆盖范围和成本。
该新的定价计划根据所保护的存储帐户数进行收费,从而简化了成本计算,并且可以在需求变化时轻松缩放。 可以在订阅或资源级别启用,还可以从受保护的订阅中排除特定的存储帐户,从而更精确地控制安全覆盖范围。 事务量超过每月阈值上限的存储帐户可能会产生额外费用。
注意
如果已启用旧版 Defender for Storage(经典版),但想要使用新的安全功能和定价,则需要主动迁移到新计划。 可以通过 Azure 门户一键迁移到新计划,也可以使用 Azure Policy 和 IaC 工具。
迁移方案
从经典版 Defender for Storage 计划到新版 Defender for Storage 计划的迁移过程非常简单,有多种方法可以进行迁移。 需要主动启用新计划才能使用其增强功能和定价。
注意
若要启用新计划,请确保禁用旧的 Defender for Storage 策略。 查找并禁用名为“配置要启用的 Azure Defender for Storage”、“应启用 Azure Defender for Storage”或“配置要启用的 Microsoft Defender for Storage(按存储帐户计划)”的策略。
从启用了按事务定价的经典版 Defender for Storage 计划迁移
如果经典版 Defender for Storage 计划启用了按事务定价,则可以在订阅或资源级别切换到新计划。 另外,也可以从受保护的订阅中排除特定的存储帐户。
切换到新计划时,以前从受保护的订阅中排除的按事务计划中的存储帐户不会保持排除状态。 但排除标记将保留在资源上,可以删除。 在大多数情况下,以前从受保护订阅中排除的存储帐户将从新定价计划中获得最大益处。
从启用了按存储帐户定价的经典版 Defender for Storage 计划迁移
如果经典版 Defender for Storage 计划启用了按存储帐户定价,则可以在订阅或资源级别切换到新计划。 新的 Defender for Storage 计划具有相同的定价计划,但恶意软件扫描除外,它可能会产生额外费用,并按扫描的 GB 数计费。
可在 Defender for Cloud 定价页上详细了解 Defender for Storage 的定价模型。
另外,也可以从受保护的订阅中排除特定的存储帐户。
确定订阅上当前启用的 Microsoft Defender for Storage 定价计划
如果希望快速确定订阅上当前启用的定价计划,建议使用此基于 Azure Resource Graph (ARG) Explorer(包含“securityresources”表)数据的覆盖范围工作簿。 借助此工具,可以轻松简化和分析启用状态。
注意
覆盖范围工作簿和 ARG Explorer 查询仅在订阅级别启用 Defender for Storage 时提供启用状态。 对于在资源级别启用了 Defender for Storage 的存储帐户,可以在 Azure 门户中的该存储帐户的 Defender for Cloud 边栏选项卡中找到启用状态。 此外,还可以使用 PowerShell 脚本查询启用状态。
计划比较
为了帮助你更好地了解经典计划与新计划之间的差异,下面提供了一张对比表格:
| 类别 | 新 Defender for Storage 计划 | 经典版(按事务计划) | 经典版(按存储账户计划) |
|---|---|---|---|
| 定价结构 | 成本取决于所保护的存储帐户数*。 通过扫描来查找恶意软件(如果启用)时扫描每 GB 数据的附加成本 | 成本取决于所处理的事务数 | 成本基于所保护的存储帐户数* |
| 启用选项 | 订阅和资源级别 | 订阅和资源级别 | 仅限订阅 |
| 从受保护的订阅中排除存储帐户 | 是 | 是 | 否 |
| 活动监视(安全警报) | 是 | 是 | 是 |
| 在上传的 Blob 中扫描恶意软件 | 是(附加项) | 否(仅哈希信誉分析) | 否(仅哈希信誉分析) |
| 敏感数据威胁检测 | 是(附加项) | 否 | 否 |
| 检测泄漏/被盗的 SAS 令牌(无标识实体) | 是 | 否 | 否 |
* 事务量大的存储帐户可能会产生额外费用。
新计划提供更全面的功能集,旨在更好地保护数据。 它的定价计划比经典版计划更可预测。 建议迁移到新计划,以充分利用其优势。
详细了解如何启用和配置 Defender for Storage。
后续步骤
本文介绍了如何迁移到新的 Microsoft Defender for Storage 计划。