Seleccionar y configurar los métodos adecuados para proteger de amenazas de seguridad de datos, incluidas las eliminaciones temporales, las copias de seguridad, el control de versiones y el almacenamiento inmutable
Azure Storage proporciona una protección de datos completa para Blob Storage y Azure Data Lake Storage Gen2 para ayudarle a prepararse para escenarios en los que necesita recuperar datos eliminados o sobrescritos. La protección de datos es un componente fundamental de la estrategia de seguridad, que se alinea con los principios de confianza cero suponiendo la vulneración y asegurándose de que puede recuperarse de incidentes de seguridad. Es importante pensar en cómo proteger mejor los datos antes de que se produzca un incidente que pueda poner en peligro, ya sea de actores malintencionados, eliminación accidental o errores operativos.
Recomendaciones para la protección de datos básica
Si está buscando cobertura básica de protección de datos para su cuenta de almacenamiento y los datos que contiene, Microsoft recomienda realizar los siguientes pasos para comenzar:
- Configure un bloqueo de Azure Resource Manager en la cuenta de almacenamiento para proteger la cuenta frente a cambios de eliminación o configuración. Esto evita la eliminación accidental o no autorizada de toda la cuenta de almacenamiento.
- Habilite la eliminación temporal del contenedor para que la cuenta de almacenamiento recupere un contenedor eliminado y su contenido. Esto proporciona una red de seguridad contra la eliminación accidental de contenedores.
-
Guarde el estado de un blob a intervalos regulares:
- En el caso de las cargas de trabajo de Blob Storage, habilite el control de versiones de blobs para guardar automáticamente el estado de los datos cada vez que se sobrescriba un blob.
- En el caso de las cargas de trabajo de Azure Data Lake Storage, realice instantáneas manuales para guardar el estado de los datos en un momento determinado.
Introducción a las opciones de protección de datos
En la tabla siguiente se resumen las opciones disponibles en Azure Storage para los escenarios comunes de protección de datos. Elija los escenarios correspondientes a su situación para obtener más información sobre las opciones disponibles. No todas las características están disponibles en este momento para las cuentas de almacenamiento que tienen habilitado un espacio de nombres jerárquico.
Nota de seguridad: La implementación de varias capas de protección de datos proporciona defensa en profundidad y garantiza que puede recuperarse de varios tipos de incidentes, incluidos ataques de ransomware, eliminaciones accidentales y modificaciones de datos malintencionadas.
| Escenario | Opción de protección de datos | Recomendaciones | Ventaja de protección | Disponible para Data Lake Storage |
|---|---|---|---|---|
| Evitar que se elimine o modifique una cuenta de almacenamiento. | Bloqueo de Azure Resource Manager Más información... |
Bloquee todas las cuentas de almacenamiento con un bloqueo de Azure Resource Manager a fin de impedir su eliminación. | Protege la cuenta de almacenamiento contra la eliminación o los cambios de configuración. No protege los contenedores ni los blobs de la cuenta de su eliminación o sobrescritura. |
Sí |
| Impedir que una versión de blob se elimine durante un intervalo determinado por el usuario. | Directiva de inmutabilidad en una versión de blob Más información... |
Establezca una directiva de inmutabilidad en una versión de blob individual para proteger documentos críticos para la empresa; por ejemplo, con el fin de cumplir los requisitos de cumplimiento normativo o legal. | Protege una versión de blob de ser eliminada y de que sus metadatos sean sobrescritos. Una operación de sobrescritura crea una nueva versión. Si al menos un contenedor tiene habilitada la inmutabilidad a nivel de versión, la cuenta de almacenamiento también está protegida contra la eliminación. Se produce un error en la eliminación de contenedores si existe al menos un blob en el contenedor. |
No |
| Impedir que un contenedor y sus blobs se eliminen o modifiquen durante un intervalo determinado por el usuario. | Directiva de inmutabilidad de un contenedor Más información... |
Establezca una directiva de inmutabilidad en un contenedor para proteger documentos críticos para la empresa; por ejemplo, con el fin de cumplir los requisitos de cumplimiento normativo o legal. | Protege un contenedor y sus blobs de todas las eliminaciones y sobrescrituras. Cuando está vigente una suspensión legal o una directiva de retención de duración limitada bloqueada, la cuenta de almacenamiento también está protegida contra la eliminación. Los contenedores para los que no se ha establecido ninguna directiva de inmutabilidad no están protegidos contra la eliminación. |
Sí |
| Restaurar un contenedor eliminado en un intervalo específico. | Eliminación temporal de contenedores Más información... |
Habilite la eliminación temporal de contenedores para todas las cuentas de almacenamiento, con un intervalo de retención mínimo de siete días. Habilite el control de versiones de blobs y la eliminación temporal de blobs junto con la eliminación temporal del contenedor para proteger los blobs individuales de un contenedor. Almacene contenedores que requieran diferentes períodos de retención en cuentas de almacenamiento independientes. |
Se puede restaurar un contenedor eliminado y su contenido dentro del período de retención. Solo se pueden restaurar las operaciones de nivel de contenedor (por ejemplo, Eliminar contenedor). La eliminación temporal del contenedor no permite restaurar un blob individual en el contenedor si se elimina ese blob. |
Sí |
| Guardar automáticamente el estado de un blob en una versión anterior cuando se sobrescriba. | Control de versiones de blobs Más información... |
Habilite el control de versiones de blobs, junto con la eliminación temporal de contenedores y la eliminación temporal de blobs para las cuentas de almacenamiento en las que necesita una protección óptima para los datos de blobs. Almacene datos de blobs que no requieran el control de versiones en una cuenta independiente para limitar los costos. |
Cada operación de escritura de blobs crea una nueva versión. La versión actual de un blob se puede restaurar a partir de una versión anterior si se elimina o sobrescribe la versión actual. | No |
| Restaure una versión de blob o blob eliminada dentro de un intervalo especificado. | Eliminación temporal de blobs Más información... |
Habilite la eliminación temporal de blobs para todas las cuentas de almacenamiento, con un intervalo de retención mínimo de siete días. Habilite el control de versiones de blobs y la eliminación temporal del contenedor junto con la eliminación temporal de blobs para una protección óptima de los datos de blobs. Almacene blobs que requieran diferentes períodos de retención en cuentas de almacenamiento independientes. |
Un blob o versión de blob eliminada se puede restaurar dentro del período de retención. | Sí |
| Restaurar un conjunto de blobs en bloques a un momento dado anterior. | Restauración a un momento dado Más información... |
Para usar la restauración a un momento dado para revertir a un estado anterior, diseñe la aplicación para eliminar blobs en bloques individuales en lugar de eliminar contenedores. | Un conjunto de blobs en bloques se puede revertir a su estado en un punto específico del pasado. Solo se revierten las operaciones realizadas en blobs en bloques. Las operaciones realizadas en contenedores, blobs en páginas o blobs en anexos no se revierten. |
No |
| Guardar manualmente el estado de un blob en un momento dado. | Instantánea de blob Más información... |
Se recomienda como una alternativa a la versionización de blobs cuando la versionización no es adecuada para su caso debido a costes u otras consideraciones, o cuando la cuenta de almacenamiento tiene habilitado un espacio de nombres jerárquico. | Un blob se puede restaurar a partir de una instantánea si se sobrescribe el blob. Si se elimina el blob, también se eliminan las instantáneas. | Sí |
| Un blob se puede eliminar o sobrescribir, pero los datos se copian periódicamente en una segunda cuenta de almacenamiento. | Implemente su propia solución para copiar datos a una segunda cuenta mediante la replicación de objetos de Azure Storage o una herramienta, como AzCopy o Azure Data Factory. | Recomendado para una protección tranquilizadora contra acciones intencionadas imprevistas o escenarios impredecibles. Cree la segunda cuenta de almacenamiento en la misma región que la cuenta principal para evitar la generación de cargos de salida. |
Los datos se pueden restaurar a partir de la segunda cuenta de almacenamiento si la cuenta principal se ve comprometida de alguna manera. | Se admiten AzCopy y Azure Data Factory. No se admite la replicación de objetos. |
Protección de datos por tipo de recurso
En la tabla siguiente se resumen las opciones de protección de datos de Azure Storage según los recursos protegidos.
| Opción de protección de datos | Protege una cuenta frente a la eliminación | Protege un contenedor frente a la eliminación | Protege un objeto frente a la eliminación | Protege un objeto de la sobrescritura |
|---|---|---|---|---|
| Bloqueo de Azure Resource Manager | Sí | No | No | No |
| Directiva de inmutabilidad en una versión de blob | Sí | Sí | Sí | Sí |
| Directiva de inmutabilidad de un contenedor | Sí | Sí | Sí | Sí |
| Eliminación temporal de contenedores | No | Sí | No | No |
| Control de versiones de blobs | No | No | Sí | Sí |
| Eliminación temporal de blobs | No | No | Sí | Sí |
| Restauración a un momento dado | No | No | Sí | Sí |
| Instantánea de blob | No | No | No | Sí |
| Implementación de una solución propia para copiar datos en una segunda cuenta | No | Sí | Sí | Sí |
Comprender los matices de la protección de datos en Azure Storage revela varias conclusiones operativas y restricciones que son importantes para la seguridad y el cumplimiento:
- Un bloqueo de Azure Resource Manager no protege un contenedor contra la eliminación, solo la propia cuenta de almacenamiento.
- La eliminación de la cuenta de almacenamiento falla si hay al menos un contenedor con almacenamiento inmutable a nivel de versión habilitado, proporcionando protección contra la eliminación accidental de la cuenta.
- Se produce un error en la eliminación de contenedores si existe al menos un blob en el contenedor, independientemente de si la directiva de inmutabilidad está bloqueada o desbloqueada.
- Sobrescribir el contenido de la versión actual del blob crea una nueva versión. Una directiva de inmutabilidad protege los metadatos de una versión de la sobrescritura, lo que garantiza la integridad de los datos.
- Aunque una retención legal o una política de retención temporal bloqueada está en vigor a nivel de contenedor, la cuenta de almacenamiento también está protegida contra la eliminación, proporcionando protección de cumplimiento.
- Actualmente no se admite para cargas de trabajo de Data Lake Storage (se aplica al control de versiones de blobs y a la restauración a un momento dado).
- AzCopy y Azure Data Factory son opciones compatibles con cargas de trabajo de Blob Storage y Data Lake Storage. La replicación de objetos solo se admite para las cargas de trabajo de Blob Storage.
Recuperación de datos eliminados o sobrescritos
Si necesita recuperar los datos que se han sobrescrito o eliminado, la forma de proceder dependerá de las opciones de protección de datos que haya habilitado y de los recursos afectados. En la tabla siguiente se describen las acciones que puede realizar para recuperar los datos.
| Recurso eliminado o sobrescrito | Posibles acciones de recuperación | Requisitos para la recuperación |
|---|---|---|
| Cuenta de almacenamiento | Tratar de recuperar la cuenta de almacenamiento eliminada. |
La cuenta de almacenamiento se creó originalmente con el modelo de implementación de Azure Resource Manager y se eliminó en los últimos 14 días. No se ha creado una cuenta de almacenamiento con el mismo nombre desde que se eliminó la cuenta original. |
| Contenedor | Recuperación del contenedor eliminado temporalmente y su contenido |
La eliminación temporal del contenedor está habilitada y el período de retención de eliminación temporal del contenedor aún no ha expirado. |
| Contenedores y blobs | Restaurar datos a partir de una segunda cuenta de almacenamiento. | Todas las operaciones de contenedor y blob se han replicado eficazmente en una segunda cuenta de almacenamiento. |
| Blob (cualquier tipo) | Restauración de un blob a partir de una versión anterior |
El control de versiones de blobs está habilitado y el blob tiene una o más versiones anteriores. |
| Blob (cualquier tipo) | Recuperación de un blob eliminado temporalmente |
La eliminación temporal de blobs está habilitada y el intervalo de retención de eliminación temporal no ha expirado. |
| Blob (cualquier tipo) | Restaurar un blob a partir de una instantánea |
El blob tiene una o varias instantáneas. |
| Conjunto de blobs en bloques | Recuperación de un conjunto de blobs en bloques en su estado en un momento dado anterior |
La restauración a un momento específico está activada y el punto de restauración está dentro del intervalo de retención. La cuenta de almacenamiento no se ha puesto en peligro ni está dañada. |
| Versión de blob | Recuperación de una versión eliminada temporalmente |
La eliminación temporal de blobs está habilitada |
Resumen de las consideraciones de costos
| Opción de protección de datos | Consideraciones sobre los costos |
|---|---|
| Bloqueo de Azure Resource Manager para una cuenta de almacenamiento | No se cobra por configurar un bloqueo en una cuenta de almacenamiento. |
| Directiva de inmutabilidad en una versión de blob | No se cobra por activar la inmutabilidad a nivel de versión en un contenedor. La creación, modificación o eliminación de una directiva de retención basada en tiempo o suspensión legal en una versión de blob da como resultado un cargo por transacción de escritura. |
| Directiva de inmutabilidad de un contenedor | No se cobra por configurar una directiva de inmutabilidad en un contenedor. |
| Eliminación temporal de contenedores | No se cobra por habilitar la eliminación temporal de contenedores para una cuenta de almacenamiento. Los datos de un contenedor eliminado temporalmente se facturan a la misma velocidad que los datos activos hasta que el contenedor eliminado temporalmente se elimina de manera permanente. |
| Control de versiones de blobs | No se cobra por habilitar el control de versiones de blobs para una cuenta de almacenamiento. Una vez habilitado el control de versiones de blobs, cada operación de escritura o eliminación que se realice en un blob de la cuenta creará una nueva versión, lo que puede generar mayores costos de capacidad. Una versión de blob se factura en función de bloques o páginas únicos. Por lo tanto, los costos aumentan a medida que el blob base difiere de una versión determinada. Cambiar el nivel de un blob o una versión de blob puede tener un impacto en la facturación. Para obtener más información, consulte la sección Precios y facturación. Use la administración del ciclo de vida para eliminar versiones anteriores según sea necesario para controlar los costos. Para más información, consulte Optimización de los costos mediante la automatización de los niveles de acceso de Azure Blob Storage. |
| Eliminación temporal de blobs | No se cobra por habilitar la eliminación temporal de blobs para una cuenta de almacenamiento. Los datos de un blob eliminado temporalmente se facturan a la misma velocidad que los datos activos hasta que el blob eliminado temporalmente se elimina de manera permanente. |
| Restauración a un momento dado | No se cobra por habilitar la restauración a un momento dado para una cuenta de almacenamiento; sin embargo. Habilitar la restauración a un momento dado también permite el control de versiones de blobs, la eliminación temporal y la fuente de cambios, cada uno de los cuales puede dar lugar a otros cargos. Se le factura la restauración a un momento dado al realizar una operación de restauración. El costo de una operación de restauración depende de la cantidad de datos que se restaurarán. Para obtener más información, consulte la sección Precios y facturación. |
| Instantáneas de blobs | Los datos de una instantánea se facturan en función de bloques o páginas únicos. Por lo tanto, los costos aumentan a medida que el blob base se diferencia de la instantánea. Cambiar el nivel de un blob o una instantánea puede tener un impacto en la facturación. Para obtener más información, consulte la sección Precios y facturación. Use la administración del ciclo de vida para eliminar instantáneas anteriores según sea necesario para controlar los costos. Para más información, consulte Optimización de los costos mediante la automatización de los niveles de acceso de Azure Blob Storage. |
| Copia de datos en una segunda cuenta de almacenamiento | El mantenimiento de los datos en una segunda cuenta de almacenamiento generará costos de capacidad y de transacción. Si la segunda cuenta de almacenamiento se encuentra en una región diferente que la cuenta de origen, la copia de datos a esa segunda cuenta también generará cargos de salida. |
Recuperación ante desastres
Azure Storage siempre mantiene varias copias de los datos, con el fin de protegerlos de eventos planeados y no planeados, como errores transitorios del hardware, interrupciones del suministro eléctrico o cortes de la red, y desastres naturales masivos. La redundancia garantiza que la cuenta de almacenamiento cumple sus objetivos de disponibilidad y durabilidad, aunque se produzcan errores.
Si se produce un error en un centro de datos y su cuenta de almacenamiento es redundante en dos regiones geográficas (con redundancia geográfica), tiene la opción de realizar un failover de su cuenta desde la región primaria hacia la secundaria. Esta funcionalidad es fundamental para la continuidad empresarial y la planificación de la recuperación ante desastres.
Importante
Actualmente, la conmutación por error administrada por el cliente no se admite para las cuentas de almacenamiento con un espacio de nombres jerárquico habilitado.
Procedimientos recomendados para implementar la protección de datos
Al implementar la protección de datos para Azure Storage, tenga en cuenta estas recomendaciones:
- Implementar defensa en profundidad: utilicen varios mecanismos de protección conjuntamente. Por ejemplo, combine las versiones de blobs, la eliminación temporal y las directivas de inmutabilidad para una protección completa contra varios tipos de pérdida de datos.
- Pruebas periódicas: pruebe periódicamente los procedimientos de recuperación de datos para asegurarse de que funcionan según lo previsto y que el equipo está familiarizado con el proceso de recuperación.
- Planeamiento del período de retención: establezca los períodos de retención adecuados en función de los requisitos de cumplimiento, pero también tenga en cuenta los costos de almacenamiento asociados con la retención de datos y versiones eliminados temporalmente.
- Uso de directivas de inmutabilidad para el cumplimiento: para industrias reguladas, implemente directivas de inmutabilidad en contenedores o versiones de blobs para cumplir con los requisitos de cumplimiento de WORM (Write Once, Read Many).
- Supervisión del estado de protección: use Azure Monitor y Azure Policy para realizar un seguimiento de qué cuentas de almacenamiento tienen habilitadas las características de protección de datos e identificar las brechas en la estrategia de protección.
- Documentar la estrategia: mantenga una documentación clara de la configuración de protección de datos, incluidas las características habilitadas, los períodos de retención y los procedimientos de recuperación.
- Considere el costo frente a la protección: aunque es importante la protección completa de los datos, equilibre el nivel de protección frente a los costos de almacenamiento. Use directivas de administración del ciclo de vida para eliminar automáticamente las versiones y instantáneas anteriores en función de sus requisitos.
- Redundancia geográfica para datos críticos: para los datos críticos para la empresa, use el almacenamiento con redundancia geográfica (GRS o GZRS) para garantizar la disponibilidad de los datos incluso si toda una región deja de estar disponible.
- Combinación con soluciones de copia de seguridad: para protección adicional, considere la posibilidad de usar Azure Backup para Azure Files o soluciones de copia de seguridad de terceros que proporcionan opciones de recuperación adicionales y retención a largo plazo.