Melhores práticas para proteção, backup e recuperação de dados do Azure

O artigo fornece opções de backup e proteção de dados do Armazenamento do Azure, cenários de recuperação de autoatendimento e possibilidades de recuperação assistida pela Microsoft.

Opções de proteção de dados, backup e recuperação

A proteção de dados do Armazenamento do Azure refere-se a estratégias para:

• Proteger a conta de armazenamento e os dados dentro dela contra exclusão ou modificação.
• Restaurando dados depois de terem sido excluídos ou modificados.

Esta seção apresenta as opções disponíveis de proteção de dados, backup e recuperação. Para obter mais informações, consulte opções de backup e proteção de dados.

Opções de proteção de dados e backup

As seções a seguir apresentam cenários de proteção de dados e opções de proteção recomendadas:

• Cenário 1: proteção da conta de armazenamento
• Cenário 2: proteção de contêiner de blob
• Cenário 3: Proteção de arquivo de blob

Cenário 1: proteção da conta de armazenamento

Habilite o bloqueio do ARM (Azure Resource Manager) para bloquear todas as suas contas de armazenamento e impedir a exclusão da conta de armazenamento. Para obter mais informações sobre o bloqueio do ARM, consulte Aplicar um bloqueio do Azure Resource Manager a uma conta de armazenamento.

Benefícios e limitações:

• Protege a conta de armazenamento contra alterações de configuração ou exclusão.
• Não protege contêineres ou blobs na conta contra exclusão ou substituição.
• Ele dá suporte ao Azure Data Lake Storage (ADLS) Gen 2.

Cenário 2: proteção de contêiner de blob

• Habilite políticas de imutabilidade em um contêiner para proteger documentos críticos para os negócios, como para atender a requisitos de conformidade legal ou regulamentar.

  Benefícios e limitações:

  • Protege um contêiner e seus blobs contra todas as exclusões e substituições.
  • Quando um controle legal ou uma política bloqueada de retenção baseada no tempo está em vigor, a conta de armazenamento também é protegida contra exclusão. Os contêineres para os quais nenhuma política de imutabilidade foi definida não estão protegidos contra exclusão.
  • Ele dá suporte ao ADLS Gen 2 em versão prévia.

  Para obter mais informações sobre políticas de imutabilidade em um contêiner, consulte Armazenar dados de blob comercialmente críticos com armazenamento imutável.

• Habilite a exclusão reversível do contêiner para restaurar um contêiner excluído dentro de um intervalo especificado.

  Benefícios e limitações:

  • Um contêiner excluído e seu conteúdo podem ser restaurados dentro do período de retenção. A prática recomendada para um intervalo mínimo de retenção é de sete dias.
  • Somente operações no nível do contêiner, como "Excluir contêiner", podem ser restauradas. A exclusão temporária de contêineres não permite a restauração de um blob individual no contêiner se este blob for excluído.
  • Ele suporta ADLS Gen 2.

  Para obter mais informações sobre a exclusão reversível de contêineres, consulte Exclusão reversível para contêineres.

Cenário 3: Proteção de arquivo de blob

• Habilite políticas de imutabilidade em uma versão de blob para impedir que uma versão de blob seja excluída por um intervalo que você controla.

  Benefícios e limitações:

  • Evita a exclusão de uma versão de blob e a substituição dos metadados dela. Uma operação de substituição cria uma nova versão.
  • Se pelo menos um contêiner tiver a imutabilidade de nível de versão habilitada, a conta de armazenamento também será protegida contra exclusão.
  • A exclusão do contêiner falhará se houver pelo menos um blob no contêiner.
  • Ele não está disponível para o ADLS Gen2.

  Para obter mais informações sobre políticas de imutabilidade em uma versão de blob, consulte Armazenar dados de blob comercialmente críticos com armazenamento imutável.

• Habilite a exclusão reversível de blob para restaurar um blob excluído ou uma versão de blob dentro de um intervalo especificado.

  Benefícios:

  • Um blob ou uma versão de blob excluída pode ser restaurada dentro do período de retenção. A prática recomendada para um intervalo mínimo de retenção é de sete dias.
  • Ele suporta ADLS Gen 2.

  Para obter mais informações sobre a exclusão reversível de blobs, consulte Exclusão reversível para blobs.

• Habilite o instantâneo de blob para salvar manualmente o estado de um blob em um determinado momento.

  Benefícios e limitações:

  • Um blob poderá ser restaurado de um instantâneo se este for substituído. No entanto, se o blob for excluído, os instantâneos também serão excluídos.
  • Ele dá suporte ao ADLS Gen 2 em versão prévia.

  Para obter mais informações sobre instantâneos de blob, consulte Instantâneos de blob.

• Habilite o controle de versão de blob para salvar automaticamente o estado de um blob em uma versão anterior quando ele for substituído.

  Benefícios e limitações:

  • Cada operação de gravação de blob cria uma versão. A versão atual de um blob poderá ser restaurada de uma versão anterior se a versão atual for excluída ou substituída.
  • Ele não está disponível para o ADLS Gen2.

  Para obter mais informações sobre o controle de versão de blob, consulte Controle de versão de blob.

• Habilite a restauração pontual para restaurar um conjunto de blobs de blocos para um ponto anterior no tempo.

  Benefícios e limitações:

  • Um conjunto de blobs de blocos pode ser revertido para seu estado em um ponto específico no passado.
  • Somente as operações executadas em blobs de blocos são revertidas.
  • Quaisquer operações executadas em contêineres, blobs de páginas ou blobs de acréscimo não são revertidas.
  • Ele não está disponível para o ADLS Gen2.

  Para obter mais informações sobre restauração pontual, consulte Restauração pontual para blobs de blocos.

• Copie dados para uma segunda conta por meio da replicação de objetos do Armazenamento do Azure ou de ferramentas como AzCopy ou Azure Data Factory.

  Benefícios e limitações:

  • Os dados podem ser restaurados da segunda conta de armazenamento se a conta primária for comprometida de alguma forma.
  • Há suporte para o AzCopy e o Azure Data Factory.
  • Não há suporte para replicação de objetos.

Opções de recuperação de dados

As seções a seguir apresentam cenários de recuperação de dados e possíveis opções de recuperação:

• Cenário 1: recuperação de conta de armazenamento
• Cenário 2: recuperação de contêiner de blob
• Cenário 3: recuperação de arquivo de blob

Você pode recuperar dados depois que as opções de proteção de dados e backup estiverem ativadas.

Cenário 1: recuperação de conta de armazenamento

Refere-se a Recuperar contas de armazenamento excluídas do portal do Azure.

Cenário 2: recuperação de contêiner de blob

• Recupere o contêiner excluído temporariamente e seu conteúdo.

  Requisitos para recuperação:

  • A exclusão reversível do contêiner está habilitada.
  • O período de retenção de exclusão reversível do contêiner ainda não expirou.

  Para obter mais informações, consulte Habilitar e gerenciar a exclusão reversível para contêineres.

• Recuperação de uma segunda conta de armazenamento.

  Requisitos para recuperação: todas as operações de contêiner e blob foram replicadas para uma segunda conta de armazenamento.

Cenário 3: recuperação de arquivo de blob

• Recupere blobs para versões anteriores por meio do controle de versão de blob.

  Requisitos para recuperação:

  • O controle de versão de blob está habilitado.
  • O blob tem uma ou mais versões anteriores.

  Para obter mais informações, consulte Habilitar e gerenciar o controle de versão de blob.

  No momento, não há suporte para essa opção para cargas de trabalho do ADLS.

  Procedimentos de recuperação:

  1. Vá para o blob afetado no portal do Azure.

  2. Selecione as reticências (...) para o blob que você deseja recuperar.

  3. Selecione Exibir versões.

  4. Selecione a versão da qual a restauração é necessária.

  5. Selecione Tornar versão atual.

• Recupere blobs por meio da exclusão reversível de blob.

  Requisitos para recuperação:

  • A exclusão reversível de blob está habilitada.
  • O intervalo de retenção de exclusão reversível não expirou.

  Para obter mais informações, consulte Gerenciar e restaurar blobs excluídos de forma reversível.

• Recupere um conjunto de blobs de blocos por meio de point-in-time.

  Requisitos para recuperação:

  • A restauração pontual está habilitada.
  • O ponto de restauração está dentro do intervalo de retenção.
  • A conta de armazenamento não foi comprometida ou está corrompida.

  Para obter mais informações, consulte Executar uma restauração pontual em dados de blob de blocos.

• Recupere blobs por meio de instantâneos.

  Requisitos para recuperação: o blob tem um ou mais instantâneos. Para obter mais informações, consulte Criar e gerenciar um instantâneo de blob no .NET.

  Procedimentos de recuperação:

  1. Vá para o blob afetado no portal do Azure.

  2. Selecione as reticências (...) para o blob que você deseja recuperar.

  3. Selecione Exibir instantâneos.

  4. Selecione o instantâneo do qual a restauração é necessária.

  5. Selecione Promover.

Prática recomendada para o RBAC do Azure

Outra prática recomendada para evitar a exclusão acidental da conta é limitar o número de usuários que têm permissões para excluir uma conta por meio do controle de acesso baseado em função (RBAC do Azure).

Aqui estão alguns métodos recomendados:

• Conceder apenas o acesso de que os usuários precisam.
• Limite o número de proprietários de assinatura.
• Use o Gerenciamento de Identidade Privilegiada do Microsoft Entra.
• Atribua funções a grupos, não a usuários.
• Atribua funções usando a ID de função exclusiva em vez do nome da função.

Para obter mais informações, veja Melhores práticas do RBAC do Azure.

Recuperação de armazenamento sem suporte

A Microsoft não dá suporte aos seguintes cenários de recuperação de armazenamento:

• Não há suporte para a recuperação da Fila de Armazenamento do Azure.
• Não há suporte para a recuperação de entradas de tabela de armazenamento do Azure, enquanto a recuperação de tabela excluída é compatível. Para obter mais informações, consulte Recuperação de armazenamento com suporte.
• Não há suporte para a recuperação de arquivos de Blob do Azure sem habilitar a proteção de arquivo de blob, mas há suporte para a recuperação de contêiner excluído. Para obter mais informações, consulte Recuperação de armazenamento com suporte.

Recuperação de armazenamento com suporte

Esta seção descreve vários cenários de recuperação de armazenamento com suporte quando alguns pré-requisitos são atendidos:

• Cenário 1: recuperação de conta de armazenamento (recuperação de conta de armazenamento ARM)
• Cenário 2: recuperação de conta de armazenamento clássica
• Cenário 3: Recuperação de contêiner
• Cenário 4: recuperação de dados e sistema de arquivos do ADLS Gen 2
• Cenário 5: Recuperação de tabela
• Cenário 6: Recuperação de disco

A Microsoft está fazendo todos os esforços para recuperar os dados, mas não pode garantir a quantidade de dados que podem ser restaurados.

Cenário 1: recuperação de conta de armazenamento (recuperação de conta de armazenamento ARM)

Pré-requisitos:

• A conta de armazenamento foi excluída nos últimos 14 dias.
• A conta de armazenamento foi criada com o modelo de implantação do Azure Resource Manager.
• Uma nova conta de armazenamento com o mesmo nome não foi criada desde que a conta original foi excluída.
• O usuário que recupera a conta de armazenamento deve receber uma função RBAC do Azure que forneça as permissões Microsoft.Storage/storageAccounts/write . Para obter informações sobre as funções RBAC do Azure internas que fornecem essa permissão, confira Funções internas do Azure.
• Verifique se o grupo de recursos que excluiu a conta de armazenamento existe. Se o grupo de recursos foi excluído, você deve recriá-lo manualmente.
• [Apenas para casos específicos] Se a conta de armazenamento excluída usou chaves gerenciadas pelo cliente com o Azure Key Vault e o cofre de chaves também foi excluído, você deverá restaurar o cofre de chaves antes de restaurar a conta de armazenamento. Para saber mais, veja Visão geral da recuperação do Azure Key Vault.

Sugestões:

• Recupere uma conta de armazenamento de uma conta de armazenamento existente.
• Recupere uma conta de armazenamento por meio de um tíquete de suporte.

Para obter mais informações, consulte Recuperar contas de armazenamento excluídas do portal do Azure.

Cenário 2: recuperação de conta de armazenamento clássica

Pré-requisitos:

• Uma nova conta de armazenamento com o mesmo nome não foi criada desde que a conta original foi excluída.
• A conta de armazenamento foi excluída nos últimos 14 dias.

Sugestões:

• Procure ajuda de engenheiros de suporte para avaliar a situação.

Cenário 3: Recuperação de contêiner

Pré-requisitos:

• A replicação da conta de armazenamento foi definida como GRS (armazenamento com redundância geográfica), GZRS (armazenamento com redundância de zona geográfica), RAGZRS (armazenamento com redundância de zona geográfica com acesso de leitura) ou RA-GRS (armazenamento com redundância geográfica com acesso de leitura) antes da exclusão do "contêiner". Não há suporte para contas de armazenamento com LRS para recuperar um contêiner excluído.

Sugestões:

• Procure ajuda de engenheiros de suporte para avaliar a situação.

Cenário 4: recuperação de dados e sistema de arquivos do ADLS Gen 2

Pré-requisitos:

• Conta de armazenamento com HNS (Namespace Hierárquico) habilitado.
• O arquivo ou pasta do ADLS Gen2 foi excluído em três dias.

Sugestões:

• Procure ajuda de engenheiros de suporte para avaliar a situação.

Cenário 5: Recuperação de tabela

Pré-requisitos:

• A tabela inteira é excluída usando a operação "DELETE Table" sem modificar os dados de entrada da tabela.

Sugestões:

• Procure ajuda de engenheiros de suporte para avaliar a situação.

Cenário 6: Recuperação de disco

Pré-requisitos:

• Os pré-requisitos de recuperação de disco variam dependendo de alguns fatores. Por exemplo, a exclusão reversível está habilitada? Ou o disco de recuperação se refere ao disco gerenciado ou ao disco não gerenciado?

Sugestões:

• Procure ajuda de engenheiros de suporte para avaliar a situação.

Recuperar contas de armazenamento excluídas do portal do Azure

Há duas maneiras de os usuários finais recuperarem uma conta de armazenamento excluída do portal do Azure:

• Recupere a conta excluída de uma conta de armazenamento existente.

• Recupere a conta por meio de um tíquete de suporte.

Recuperar uma conta de armazenamento excluída de outra conta de armazenamento

Para recuperar uma conta de armazenamento excluída de dentro de outra conta de armazenamento, siga estas etapas:

1. Navegue até a lista da sua conta de armazenamento no portal do Azure.

2. Selecione o botão Restaurar para abrir o painel Restaurar conta excluída.

   

3. Selecione a assinatura da conta que deseja recuperar na lista suspensa Assinatura .

   

4. Na lista suspensa, selecione a conta a ser recuperada. Se a conta de armazenamento que você deseja recuperar não estiver na lista suspensa, ela não poderá ser recuperada.

5. Selecione o botão Restaurar para recuperar a conta. O portal exibe uma notificação de que a recuperação está em andamento.

Para obter mais informações, consulte Recuperar uma conta excluída do portal do Azure.

Recuperar contas de armazenamento por meio de um tíquete de suporte

1. No portal do Azure, navegue até Ajuda + suporte.

2. Para Criar uma solicitação de suporte.

3. Na guia Descrição do problema, no campo Tipo de problema, selecione Técnico.

4. No campo Assinatura, selecione a assinatura que continha a conta de armazenamento excluída.

5. No campo Serviço, selecione Gerenciamento de Conta de Armazenamento.

6. No campo Recursos, selecione qualquer recurso da conta de armazenamento. A conta de armazenamento excluída não aparece na lista.

7. Escreva um breve resumo do problema.

8. No campo Tipo de problema, selecione Exclusão e Recuperação.

9. No campo Subtipo de problema, selecione Recuperar conta de armazenamento excluída.

   A captura de tela a seguir mostra um exemplo da guia Descrição do problema sendo preenchida:

   

10. Navegue até a guia Solução recomendada e selecione Recuperação de Conta de Armazenamento Controlada pelo Cliente.

    

11. Na lista suspensa, selecione a conta a ser recuperada. Se a conta de armazenamento que você deseja recuperar não estiver na lista suspensa, ela não poderá ser recuperada.

    

12. Selecione Recuperar para restaurar a conta. O portal exibe uma notificação de que a recuperação está em andamento.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.