Descrição geral da proteção de dados

A Azure Armazenamento fornece proteção de dados para blob Armazenamento e Azure Data Lake Armazenamento Gen2 para ajudá-lo a preparar-se para cenários onde precisa de recuperar dados que foram eliminados ou substituídos. É importante pensar em como proteger melhor os seus dados antes que ocorra um incidente que possa comprometê-lo. Este guia pode ajudá-lo a decidir com antecedência quais as funcionalidades de proteção de dados que o seu cenário necessita e como implementá-los. Se precisar de recuperar dados que foram eliminados ou substituídos, esta visão geral também fornece orientações sobre como proceder, com base no seu cenário.

Na documentação do Azure Armazenamento, a proteção de dados refere-se a estratégias para proteger a conta de armazenamento e os dados dentro dela de serem eliminados ou modificados, ou para restaurar os dados após a sua aussturação ou modificação. O Azure Armazenamento também oferece opções para a recuperação de desastres, incluindo vários níveis de redundância para proteger os seus dados de falhas de serviço devido a problemas de hardware ou desastres naturais, e falhação gerida pelo cliente no caso de o centro de dados na região primária ficar indisponível. Para obter mais informações sobre como os seus dados estão protegidos contra falhas de serviço, consulte a recuperação de desastres.

Recomendações para proteção de dados básicos

Se estiver à procura de uma cobertura básica de proteção de dados para a sua conta de armazenamento e os dados que contém, então a Microsoft recomenda que tome as seguintes medidas para começar com:

  • Configure um bloqueio de gestor de recursos Azure na conta de armazenamento para proteger a conta de alterações de eliminação ou configuração. Saiba mais...
  • Permitir que o recipiente elimine suavemente a conta de armazenamento para recuperar um recipiente apagado e o seu conteúdo. Saiba mais...
  • Guarde o estado de uma bolha em intervalos regulares:
    • Para a Blob Armazenamento cargas de trabalho, permita que a versão blob guarde automaticamente o estado dos seus dados sempre que uma bolha for substituída. Saiba mais...
    • Para a Azure Data Lake Armazenamento cargas de trabalho, tire fotos manuais para guardar o estado dos seus dados num determinado momento. Saiba mais...

Estas opções, bem como opções adicionais de proteção de dados para outros cenários, são descritas mais detalhadamente na secção seguinte.

Para uma visão geral dos custos envolvidos com estas características, consulte resumo das considerações de custos.

Visão geral das opções de proteção de dados

O quadro seguinte resume as opções disponíveis no Azure Armazenamento para cenários comuns de proteção de dados. Escolha os cenários aplicáveis à sua situação para saber mais sobre as opções disponíveis. Note que nem todas as funcionalidades estão disponíveis neste momento para contas de armazenamento com um espaço hierárquico habilitado.

Scenario Opção de proteção de dados Recomendações Benefício de proteção Disponível para data lake Armazenamento
Evite que uma conta de armazenamento seja eliminada ou modificada. Bloqueio do Gestor de Recursos Azure
Saiba mais...
Bloqueie todas as suas contas de armazenamento com um bloqueio do Azure Resource Manager para evitar a eliminação da conta de armazenamento. Protege a conta de armazenamento contra alterações de eliminação ou configuração.

Não protege os recipientes ou bolhas na conta de serem apagados ou substituídos.
Yes
Evite que uma versão blob seja eliminada durante um intervalo que controle. Política de imutabilidade numa versão blob
Saiba mais...
Definir uma política de imutabilidade numa versão blob individual para proteger documentos críticos de negócio, por exemplo, a fim de satisfazer os requisitos legais ou regulamentares de conformidade. Protege uma versão blob de ser eliminada e os seus metadados de serem substituídos. Uma operação de substituição cria uma nova versão.

Se pelo menos um recipiente tiver imutabilidade ao nível da versão ativada, a conta de armazenamento também está protegida contra a supressão. A eliminação do contentor falha se existir pelo menos uma bolha no recipiente.
No
Evite que um recipiente e as suas bolhas sejam apagados ou modificados durante um intervalo que controle. Política de imutabilidade num contentor
Saiba mais...
Definir uma política de imutabilidade num contentor para proteger documentos críticos de negócios, por exemplo, a fim de satisfazer os requisitos legais ou regulamentares de conformidade. Protege um recipiente e as suas bolhas de todas as eliminações e substituições.

Quando uma detenção legal ou uma política de retenção baseada no tempo bloqueado está em vigor, a conta de armazenamento também está protegida contra a supressão. Os contentores para os quais não tenha sido definida nenhuma política de imutabilidade não estão protegidos contra a supressão.
Sim, na pré-estreia
Restaurar um recipiente apagado dentro de um intervalo especificado. Eliminação recuperável do contentor
Saiba mais...
Ativar a eliminação suave do recipiente para todas as contas de armazenamento, com um intervalo mínimo de retenção de 7 dias.

Ativar a versão blob e a eliminação macia do blob juntamente com a eliminação macia do recipiente para proteger as bolhas individuais num recipiente.

Armazenar recipientes que exijam diferentes períodos de retenção em contas de armazenamento separadas.
Um recipiente eliminado e o seu conteúdo podem ser restaurados dentro do período de retenção.

Só podem ser restabelecidas operações ao nível do contentor (por exemplo, Delete Container). A eliminação suave do recipiente não lhe permite restaurar uma bolha individual no recipiente se a bolha for apagada.
Yes
Guarde automaticamente o estado de uma bolha numa versão anterior quando esta for substituída. Versão blob
Saiba mais...
Ativa a versão blob, juntamente com a eliminação macia do recipiente e a eliminação macia de bolhas, para obter contas de armazenamento onde necessita de uma proteção ótima para os dados do blob.

Armazenar dados blob que não exijam a versão numa conta separada para limitar os custos.
Cada operação de escrita de blob cria uma nova versão. A versão atual de uma bolha pode ser restaurada a partir de uma versão anterior se a versão atual for eliminada ou substituída. No
Restaurar uma versão de bolha ou bolha apagada dentro de um intervalo especificado. Blob soft delete
Saiba mais...
Ativar a eliminação suave do blob para todas as contas de armazenamento, com um intervalo mínimo de retenção de 7 dias.

Ativar a versão blob e a eliminação suave do recipiente juntamente com a eliminação macia de bolhas para uma proteção ótima dos dados blob.

Armazenar bolhas que requerem diferentes períodos de retenção em contas de armazenamento separadas.
Uma versão blob ou blob eliminada pode ser restaurada dentro do período de retenção. Yes
Restaurar um conjunto de bolhas de bloco para um ponto anterior no tempo. Restauro para um ponto anterior no tempo
Saiba mais...
Para utilizar o ponto de restauração a tempo para reverter para um estado anterior, desenhe a sua aplicação para eliminar as bolhas de bloco individuais em vez de eliminar recipientes. Um conjunto de bolhas de bloco pode ser revertido para o seu estado em um ponto específico no passado.

Apenas as operações efetuadas em blocos são revertidas. As operações efetuadas em contentores, bolhas de página ou bolhas de apêndice não são revertidas.
No
Guardar manualmente o estado de uma bolha num dado momento. Snapshot de bolha
Saiba mais...
Recomendado como uma alternativa à versão blob quando a versão não é apropriada para o seu cenário, devido a custos ou outras considerações, ou quando a conta de armazenamento tem um espaço hierárquico habilitado. Uma bolha pode ser restaurada a partir de um instantâneo se a bolha for substituída. Se a bolha for apagada, as imagens também são eliminadas. Sim, na pré-estreia
Uma bolha pode ser eliminada ou substituída, mas os dados são regularmente copiados para uma segunda conta de armazenamento. Roll-your-your-own solução para copiar dados para uma segunda conta usando Azure Armazenamento replicação de objeto ou uma ferramenta como AzCopy ou Azure Data Factory. Recomendado para proteção da paz de espírito contra ações intencionais inesperadas ou cenários imprevisíveis.

Crie a segunda conta de armazenamento na mesma região que a conta principal para evitar incorrer em encargos de saída.
Os dados podem ser restaurados a partir da segunda conta de armazenamento se a conta primária estiver comprometida de alguma forma. A AzCopy e Azure Data Factory são suportados.

A replicação do objeto não é suportada.

Proteção de dados por tipo de recurso

O quadro seguinte resume o Azure Armazenamento opções de proteção de dados de acordo com os recursos que protegem.

Opção de proteção de dados Protege uma conta da eliminação Protege um recipiente da eliminação Protege um objeto da eliminação Protege um objeto de substituições
Bloqueio do Gestor de Recursos Azure Yes Não1 No No
Política de imutabilidade numa versão blob Sim2 Sim,3 Yes Sim4
Política de imutabilidade num contentor Sim5 Yes Yes Yes
Eliminação recuperável do contentor No Yes No No
Versões blob6 No No Yes Yes
Blob soft delete No No Yes Yes
Restauro pontual6 No No Yes Yes
Snapshot de bolha No No No Yes
Roll-your-your-own solução para copiar dados para uma segunda conta7 No Yes Yes Yes

1 Um bloqueio do Gestor de Recursos Azure não protege um recipiente da eliminação.
2 Armazenamento eliminação da conta falha se houver pelo menos um recipiente com armazenamento imutável ao nível da versão ativado.
3 A supressão do contentor falha se existir pelo menos uma bolha no recipiente, independentemente de a política estar bloqueada ou desbloqueada.
4 A sobreposição dos conteúdos da versão atual do blob cria uma nova versão. Uma política de imutabilidade protege os metadados de uma versão de serem substituídos.
5 Enquanto uma política de retenção por tempo fixo ou uma política de retenção bloqueada estiver em vigor no âmbito do contentor, a conta de armazenamento também está protegida contra a supressão.
6 Atualmente não suportado para data lake Armazenamento cargas de trabalho.
7 AzCopy e Azure Data Factory são opções que são suportadas tanto para a Blob Armazenamento como para data lake Armazenamento cargas de trabalho. A replicação de objetos é suportada apenas para cargas de trabalho de Armazenamento Blob.

Recuperar dados eliminados ou sobreescritos

Se tiver de recuperar dados que tenham sido substituídos ou eliminados, a forma como procede depende das opções de proteção de dados que ativou e de que recurso foi afetado. A tabela seguinte descreve as ações que pode tomar para recuperar dados.

Recurso apagado ou substituído Possíveis ações de recuperação Requisitos de recuperação
Conta de armazenamento Tentativa de recuperar a conta de armazenamento eliminada
Saiba mais...
A conta de armazenamento foi originalmente criada com o modelo de implementação do Azure Resource Manager e foi eliminada nos últimos 14 dias. Não foi criada uma nova conta de armazenamento com o mesmo nome desde que a conta original foi eliminada.
Contentor Recuperar o recipiente de sossar e o seu conteúdo
Saiba mais...
A eliminação suave do recipiente está ativada e o período de retenção suave do contentor ainda não expirou.
Contentores e blobs Restaurar dados a partir de uma segunda conta de armazenamento Todas as operações de contentores e blob foram efetivamente replicadas numa segunda conta de armazenamento.
Blob (qualquer tipo) Restaurar uma bolha de uma versão anterior1
Saiba mais...
A versão blob está ativada e a bolha tem uma ou mais versões anteriores.
Blob (qualquer tipo) Recupere uma bolha de sossa suave
Saiba mais...
A eliminação macia da bolha está ativada e o intervalo de retenção de eliminação suave não expirou.
Blob (qualquer tipo) Restaurar uma bolha de um instantâneo
Saiba mais...
A bolha tem uma ou mais fotos.
Conjunto de bolhas de bloco Recupere um conjunto de bolhas de bloco para o seu estado num ponto anterior no tempo1
Saiba mais...
A restauração pontual está ativada e o ponto de restauro está dentro do intervalo de retenção. A conta de armazenamento não foi comprometida ou corrompida.
Versão blob Recuperar uma versão de deleted suave1
Saiba mais...
A eliminação macia da bolha está ativada e o intervalo de retenção de eliminação suave não expirou.

1 Atualmente não suportado para data lake Armazenamento cargas de trabalho.

Resumo das considerações de custos

O quadro seguinte resume as considerações de custos das várias opções de proteção de dados descritas neste guia.

Opção de proteção de dados Considerações de custos
Bloqueio do Gestor de Recursos Azure para uma conta de armazenamento Sem custos para configurar um cadeado numa conta de armazenamento.
Política de imutabilidade numa versão blob Sem custos para ativar a imutabilidade ao nível da versão num recipiente. Criar, modificar ou eliminar uma política de retenção baseada no tempo ou manter-se legal numa versão blob resulta numa taxa de transação por escrito.
Política de imutabilidade num contentor Sem custos para configurar uma política de imutabilidade num recipiente.
Eliminação recuperável do contentor Sem custos para permitir a eliminação suave do recipiente para uma conta de armazenamento. Os dados num recipiente eliminado são faturados ao mesmo ritmo que os dados ativos até que o recipiente eliminado seja permanentemente eliminado.
Versão blob Sem custos para permitir a versão blob para uma conta de armazenamento. Após a visualização da versão blob, cada operação de escrita ou eliminação numa bolha na conta cria uma nova versão, o que pode levar a um aumento dos custos de capacidade.

Uma versão blob é faturada com base em blocos ou páginas únicos. Por conseguinte, os custos aumentam à medida que a bolha de base diverge de uma determinada versão. Mudar o nível de uma versão blob ou blob pode ter um impacto de faturação. Para mais informações, consulte preços e faturação.

Utilize a gestão do ciclo de vida para eliminar versões mais antigas, conforme necessário para controlar os custos. Para obter mais informações, consulte os custos da Otimização automatizando os níveis de acesso Armazenamento Azure Blob.
Blob soft delete Sem custos para permitir a eliminação suave da bolha para uma conta de armazenamento. Os dados numa bolha depagou-os são faturados ao mesmo ritmo que os dados ativos até que a bolha apagada seja permanentemente eliminada.
Restauro para um ponto anterior no tempo Sem custos para permitir a restauração pontual para uma conta de armazenamento; no entanto, permitir a restauração pontual também permite a versão blob, a eliminação suave e o feed de alteração, cada um dos quais pode resultar em custos adicionais.

É cobrado para restauro pontual quando executa uma operação de restauro. O custo de uma operação de restauro depende da quantidade de dados que estão a ser restaurados. Para mais informações, consulte preços e faturação.
Snapshots blob Os dados de uma imagem instantânea são faturados com base em blocos ou páginas únicos. Os custos aumentam, portanto, à medida que a bolha de base diverge do instantâneo. Mudar o nível de uma bolha ou instantâneo pode ter um impacto de faturação. Para mais informações, consulte preços e faturação.

Utilize a gestão do ciclo de vida para eliminar as imagens mais antigas, conforme necessário para controlar os custos. Para obter mais informações, consulte os custos da Otimização automatizando os níveis de acesso Armazenamento Azure Blob.
Copiar dados para uma segunda conta de armazenamento A manutenção de dados numa segunda conta de armazenamento incorrerá em capacidade e custos de transação. Se a segunda conta de armazenamento estiver localizada numa região diferente da conta-fonte, então a cópia dos dados para essa segunda conta incorrerá adicionalmente em encargos de erupção.

Recuperação após desastre

O Azure Armazenamento mantém sempre várias cópias dos seus dados para que seja protegido contra eventos planeados e não planeados, incluindo falhas de hardware transitórios, falhas de rede ou de energia e desastres naturais maciços. A redundância garante que a sua conta de armazenamento cumpre os seus objetivos de disponibilidade e durabilidade mesmo face a falhas. Para obter mais informações sobre como configurar a sua conta de armazenamento para uma elevada disponibilidade, consulte a Azure Armazenamento redundância.

No caso de ocorrer uma falha num centro de dados, se a sua conta de armazenamento for redundante em duas regiões geográficas (geo-redundantes), então tem a opção de falhar sobre a sua conta desde a região primária até à região secundária. Para obter mais informações, consulte a recuperação de desastres e a falha da conta de armazenamento.

A falha gerida pelo cliente não é suportada atualmente para contas de armazenamento com um espaço hierárquico habilitado. Para mais informações, consulte as funcionalidades de armazenamento Blob disponíveis no Azure Data Lake Armazenamento Gen2.

Passos seguintes