Descrição geral da proteção de dados
O Armazenamento do Azure fornece proteção de dados para o Armazenamento de Blob e o Armazenamento do Azure Data Lake para ajudá-lo a se preparar para cenários em que você precisa recuperar dados que foram excluídos ou substituídos. É importante pensar na melhor forma de proteger os seus dados antes que ocorra um incidente que possa comprometê-los. Este guia pode ajudá-lo a decidir antecipadamente quais recursos de proteção de dados seu cenário requer e como implementá-los. Se você precisar recuperar dados que foram excluídos ou substituídos, esta visão geral também fornece orientação sobre como proceder, com base no seu cenário.
Na documentação do Armazenamento do Azure, a proteção de dados refere-se a estratégias para proteger a conta de armazenamento e os dados dentro dela de serem excluídos ou modificados, ou para restaurar dados depois de terem sido excluídos ou modificados. O Armazenamento do Azure também oferece opções para recuperação de desastres, incluindo vários níveis de redundância para proteger seus dados contra interrupções de serviço devido a problemas de hardware ou desastres naturais. O failover gerenciado pelo cliente (não planejado) é outra opção de recuperação de desastres que permite fazer failover para uma região secundária se a região primária ficar indisponível. Para obter mais informações sobre como seus dados são protegidos contra interrupções de serviço, consulte Recuperação de desastres.
Recomendações para a proteção básica de dados
Se você estiver procurando uma cobertura básica de proteção de dados para sua conta de armazenamento e os dados que ela contém, a Microsoft recomenda seguir as seguintes etapas para começar:
- Configure um bloqueio do Azure Resource Manager na conta de armazenamento para proteger a conta contra exclusões ou alterações de configuração. Saiba mais...
- Habilite a exclusão suave de contêiner para que a conta de armazenamento recupere um contêiner excluído e seu conteúdo. Saiba mais...
- Salve o estado de um blob em intervalos regulares:
- Para cargas de trabalho de Armazenamento de Blob, habilite o controle de versão de blob para salvar automaticamente o estado de seus dados sempre que um blob for substituído. Saiba mais...
- Para cargas de trabalho do Armazenamento do Azure Data Lake, tire instantâneos manuais para salvar o estado de seus dados em um determinado point-in-time. Saiba mais...
Essas opções, bem como outras opções de proteção de dados para outros cenários, são descritas com mais detalhes na seção a seguir.
Para obter uma visão geral dos custos envolvidos com esses recursos, consulte Resumo das considerações de custo.
Visão geral das opções de proteção de dados
A tabela a seguir resume as opções disponíveis no Armazenamento do Azure para cenários comuns de proteção de dados. Escolha os cenários aplicáveis à sua situação para saber mais sobre as opções disponíveis. Nem todos os recursos estão disponíveis no momento para contas de armazenamento com um namespace hierárquico habilitado.
Cenário | Opção de proteção de dados | Recomendações | Benefício de proteção | Disponível para armazenamento Data Lake |
---|---|---|---|---|
Impedir que uma conta de armazenamento seja excluída ou modificada. | Bloqueio do Azure Resource Manager Saiba mais... |
Bloqueie todas as suas contas de armazenamento com um bloqueio do Azure Resource Manager para impedir a exclusão da conta de armazenamento. | Protege a conta de armazenamento contra exclusão ou alterações de configuração. Não protege contêineres ou blobs na conta de serem excluídos ou substituídos. |
Sim |
Impedir que uma versão de blob seja excluída por um intervalo que você controla. | Política de imutabilidade em uma versão de blob Saiba mais... |
Defina uma política de imutabilidade em uma versão de blob individual para proteger documentos críticos para os negócios, por exemplo, a fim de atender aos requisitos de conformidade legal ou regulamentar. | Protege uma versão de blob de ser excluída e seus metadados de serem substituídos. Uma operação de substituição cria uma nova versão. Se pelo menos um contêiner tiver a imutabilidade no nível da versão habilitada, a conta de armazenamento também estará protegida contra exclusão. A exclusão do contêiner falhará se pelo menos um blob existir no contêiner. |
Não |
Impedir que um contêiner e seus blobs sejam excluídos ou modificados por um intervalo que você controla. | Política de imutabilidade em um contêiner Saiba mais... |
Defina uma política de imutabilidade em um contêiner para proteger documentos críticos para os negócios, por exemplo, a fim de atender aos requisitos de conformidade legal ou regulamentar. | Protege um contêiner e seus blobs de todas as exclusões e substituições. Quando uma retenção legal ou uma política de retenção baseada no tempo bloqueada está em vigor, a conta de armazenamento também é protegida contra exclusão. Os contêineres para os quais nenhuma política de imutabilidade foi definida não são protegidos contra exclusão. |
Sim |
Restaure um contêiner excluído dentro de um intervalo especificado. | Eliminação recuperável do contentor Saiba mais... |
Habilite a exclusão suave de contêiner para todas as contas de armazenamento, com um intervalo mínimo de retenção de sete dias. Habilite o controle de versão de blob e a exclusão suave de blob juntamente com a exclusão suave de contêiner para proteger blobs individuais em um contêiner. Armazene contêineres que exigem períodos de retenção diferentes em contas de armazenamento separadas. |
Um recipiente excluído e seu conteúdo podem ser restaurados dentro do período de retenção. Somente operações no nível de contêiner (por exemplo, Excluir contêiner) podem ser restauradas. A exclusão suave de contêiner não permite que você restaure um blob individual no contêiner se esse blob for excluído. |
Sim |
Salve automaticamente o estado de um blob em uma versão anterior quando ele for substituído. | Controle de versão de Blob Saiba mais... |
Habilite o controle de versão de blob, juntamente com a exclusão suave de contêiner e a exclusão suave de blob, para contas de armazenamento onde você precisa de proteção ideal para dados de blob. Armazene dados de blob que não exigem controle de versão em uma conta separada para limitar os custos. |
Cada operação de gravação de blob cria uma nova versão. A versão atual de um blob pode ser restaurada de uma versão anterior se a versão atual for excluída ou substituída. | Não |
Restaure uma versão de blob ou blob excluída dentro de um intervalo especificado. | Eliminação de forma recuperável de blobs Saiba mais... |
Habilite a exclusão suave de blob para todas as contas de armazenamento, com um intervalo mínimo de retenção de sete dias. Habilite o versionamento de blob e a exclusão suave de contêiner juntamente com a exclusão suave de blob para proteção ideal dos dados de blob. Armazene blobs que exigem períodos de retenção diferentes em contas de armazenamento separadas. |
Uma versão de blob ou blob excluída pode ser restaurada dentro do período de retenção. | Sim |
Restaure um conjunto de blobs de bloco para um ponto anterior no tempo. | Restauro para um ponto anterior no tempo Saiba mais... |
Para usar a restauração point-in-time para reverter para um estado anterior, projete seu aplicativo para excluir blobs de bloco individuais em vez de excluir contêineres. | Um conjunto de blobs de bloco pode ser revertido para seu estado em um ponto específico no passado. Somente as operações executadas em blobs de bloco são revertidas. Quaisquer operações executadas em contêineres, blobs de página ou blobs de acréscimo não são revertidas. |
Não |
Salve manualmente o estado de um blob em um determinado momento. | Instantâneo de Blob Saiba mais... |
Recomendado como uma alternativa ao controle de versão de blob quando o controle de versão não é apropriado para o seu cenário, devido ao custo ou outras considerações, ou quando a conta de armazenamento tem um namespace hierárquico habilitado. | Um blob pode ser restaurado a partir de um snapshot se o blob for substituído. Se o blob for excluído, os instantâneos também serão excluídos. | Sim, em pré-visualização |
Um blob pode ser excluído ou substituído, mas os dados são copiados regularmente para uma segunda conta de armazenamento. | Backup em cofre de Blob do Azure Mais informações |
Habilite o backup em cofre para ter uma cópia externa de seus dados em backup para um locatário da Microsoft sem acesso direto | Fornece backup seletivo de contêineres essenciais e permite a restauração de contêineres individuais para uma conta de armazenamento diferente da conta de armazenamento de origem | Não Roll-your-own solução para copiar dados para uma segunda conta AzCopy e Azure Data Factory são suportados. Não há suporte para replicação de objetos. |
Proteção de dados por tipo de recurso
A tabela a seguir resume as opções de proteção de dados do Armazenamento do Azure de acordo com os recursos que elas protegem.
Opção de proteção de dados | Protege uma conta contra exclusão | Protege um recipiente contra exclusão | Protege um objeto contra exclusão | Protege um objeto contra substituições |
---|---|---|---|---|
Backup em cofre de Blob do Azure |
Não | Sim | Sim | Sim |
Bloqueio do Azure Resource Manager | Sim | N.o1 | No | Não |
Política de imutabilidade em uma versão de blob | Sim2 | Sim3 | Sim | Sim 4 |
Política de imutabilidade em um contêiner | Sim 5 | Sim | Sim | Sim |
Eliminação recuperável do contentor | Não | Sim | No | Não |
Controle de versão deBlob 6 | No | No | Sim | Sim |
Eliminação de forma recuperável de blobs | No | No | Sim | Sim |
Restauraçãopoint-in-time 6 | No | No | Sim | Sim |
Instantâneo de Blob | No | No | No | Sim |
Roll-your-own solução para copiar dados para uma segunda conta7 | Não | Sim | Sim | Sim |
1 Um bloqueio do Azure Resource Manager não protege um contêiner contra exclusão.
2 A exclusão da conta de armazenamento falhará se houver pelo menos um contêiner com armazenamento imutável no nível da versão habilitado.
3 A exclusão do contêiner falhará se pelo menos um blob existir no contêiner, independentemente de a política estar bloqueada ou desbloqueada.
4 A substituição do conteúdo da versão atual do blob cria uma nova versão. Uma política de imutabilidade protege os metadados de uma versão contra a substituição.
5 Embora uma retenção legal ou uma política de retenção baseada no tempo bloqueada esteja em vigor no escopo do contêiner, a conta de armazenamento também está protegida contra exclusão.
6 Atualmente não há suporte para cargas de trabalho do Armazenamento Data Lake.
7 O AzCopy e o Azure Data Factory são opções suportadas para cargas de trabalho de Armazenamento de Blob e Armazenamento Data Lake. A replicação de objetos é suportada apenas para cargas de trabalho de Armazenamento de Blob.
Recuperar dados apagados ou substituídos
Se você precisar recuperar dados que foram substituídos ou excluídos, a forma como proceder depende de quais opções de proteção de dados você habilitou e qual recurso foi afetado. A tabela a seguir descreve as ações que você pode tomar para recuperar dados.
Recurso excluído ou substituído | Possíveis ações de recuperação | Requisitos em matéria de valorização |
---|---|---|
Conta de armazenamento | Tentar recuperar a conta de armazenamento excluída Saiba mais... |
A conta de armazenamento foi originalmente criada com o modelo de implantação do Azure Resource Manager e foi excluída nos últimos 14 dias. Uma nova conta de armazenamento com o mesmo nome não foi criada desde que a conta original foi excluída. |
Contentor | Recupere o recipiente soft-deleted e seu conteúdo Saiba mais... |
A exclusão suave de contêiner está habilitada e o período de retenção de exclusão suave de contêiner ainda não expirou. |
Contentores e blobs | Restaurar dados de uma segunda conta de armazenamento | Todas as operações de contêiner e blob foram efetivamente replicadas para uma segunda conta de armazenamento. |
Blob (qualquer tipo) | Restaurar um blob de uma versãoanterior 1 Saiba mais... |
O controle de versão de Blob está habilitado e o blob tem uma ou mais versões anteriores. |
Blob (qualquer tipo) | Recuperar um blob excluído suavemente Saiba mais... |
A exclusão suave de blob está habilitada e o intervalo de retenção de exclusão suave não expirou. |
Blob (qualquer tipo) | Restaurar um blob a partir de um instantâneo Saiba mais... |
O blob tem um ou mais instantâneos. |
Conjunto de blobs de bloco | Recuperar um conjunto de blobs de bloco para seu estado em um ponto anterior no tempo1 Saiba mais... |
A restauração point-in-time está habilitada e o ponto de restauração está dentro do intervalo de retenção. A conta de armazenamento não foi comprometida ou corrompida. |
Versão Blob | Recuperar uma versãosoft-deleted 1 Saiba mais... |
A exclusão suave de blob está habilitada e o intervalo de retenção de exclusão suave não expirou. |
1 Atualmente não há suporte para cargas de trabalho do Armazenamento Data Lake.
Resumo das considerações relativas aos custos
A tabela a seguir resume as considerações de custo para as várias opções de proteção de dados descritas neste guia.
Opção de proteção de dados | Considerações de custos |
---|---|
Bloqueio do Azure Resource Manager para uma conta de armazenamento | Sem custos para configurar um bloqueio em uma conta de armazenamento. |
Política de imutabilidade em uma versão de blob | Sem custo para habilitar a imutabilidade em nível de versão em um contêiner. Criar, modificar ou excluir uma política de retenção baseada no tempo ou retenção legal em uma versão de blob resulta em uma cobrança de transação de gravação. |
Política de imutabilidade em um contêiner | Sem custo para configurar uma política de imutabilidade em um contêiner. |
Eliminação recuperável do contentor | Sem custos para ativar a exclusão suave de contêiner para uma conta de armazenamento. Os dados em um contêiner excluído suavemente são cobrados na mesma taxa que os dados ativos até que o contêiner excluído suavemente seja excluído permanentemente. |
Controle de versão de Blob | Sem custo para habilitar o controle de versão de blob para uma conta de armazenamento. Depois que o controle de versão de blob é habilitado, cada operação de gravação ou exclusão em um blob na conta cria uma nova versão, o que pode levar a um aumento dos custos de capacidade. Uma versão de blob é cobrada com base em blocos ou páginas exclusivas. Os custos, portanto, aumentam à medida que o blob base diverge de uma versão específica. Alterar a camada de uma versão de blob ou blob pode ter um impacto na cobrança. Para obter mais informações, consulte Preço e cobrança. Use o gerenciamento do ciclo de vida para excluir versões mais antigas conforme necessário para controlar os custos. Para obter mais informações, consulte Otimizar custos automatizando as camadas de acesso do Armazenamento de Blobs do Azure. |
Eliminação de forma recuperável de blobs | Sem custos para ativar a exclusão suave de blob para uma conta de armazenamento. Os dados em um blob excluído suavemente são cobrados na mesma taxa que os dados ativos até que o blob excluído suavemente seja excluído permanentemente. |
Restauro para um ponto anterior no tempo | Sem custos para ativar a restauração point-in-time para uma conta de armazenamento; No entanto, habilitar a restauração point-in-time também permite o versionamento de blob, exclusão suave e alimentação de alterações, cada um dos quais pode resultar em outras cobranças. Você é cobrado pela restauração point-in-time quando executa uma operação de restauração. O custo de uma operação de restauração depende da quantidade de dados que estão sendo restaurados. Para obter mais informações, consulte Preço e cobrança. |
Instantâneos de Blob | Os dados em um instantâneo são cobrados com base em blocos ou páginas exclusivos. Os custos, portanto, aumentam à medida que o blob base diverge do snapshot. Alterar a camada de um blob ou snapshot pode ter um impacto na cobrança. Para obter mais informações, consulte Preço e cobrança. Use o gerenciamento do ciclo de vida para excluir snapshots mais antigos, conforme necessário, para controlar os custos. Para obter mais informações, consulte Otimizar custos automatizando as camadas de acesso do Armazenamento de Blobs do Azure. |
Backup em cofre | Para o Backup Vaulted, você incorrerá em cobranças de armazenamento de backup ou taxas de instância e o custo do lado da origem (associado à replicação de objetos) na conta de origem do backup. Consulte Preços. |
Copiar dados para uma segunda conta de armazenamento | A manutenção de dados em uma segunda conta de armazenamento incorrerá em custos de capacidade e transação. Se a segunda conta de armazenamento estiver localizada em uma região diferente da conta de origem, a cópia de dados para essa segunda conta também incorrerá em cobranças de saída. |
Recuperação após desastre
O Armazenamento do Azure mantém sempre várias cópias dos seus dados para que estejam protegidos contra eventos planeados e não planeados, incluindo falhas de hardware transitórias, cortes de rede ou de energia e desastres naturais maciços. A redundância garante que sua conta de armazenamento atenda às metas de disponibilidade e durabilidade, mesmo em caso de falhas. Para obter mais informações sobre como configurar sua conta de armazenamento para alta disponibilidade, consulte Redundância de armazenamento do Azure.
Se sua conta de armazenamento estiver configurada para redundância geográfica, você terá a opção de iniciar um failover não planejado da região primária para a secundária durante uma falha no data center. Para obter mais informações, consulte Planejamento e failover de recuperação de desastres.
Atualmente, o failover gerenciado pelo cliente oferece suporte a contas de armazenamento com um namespace hierárquico habilitado apenas no status de visualização. Para obter mais informações, consulte Planejamento e failover de recuperação de desastres.