Azure 備份的不可變保險庫能幫助你保護備份資料,阻止任何可能導致恢復點遺失的操作。 你可以鎖定不可變的保險庫設定,讓它變得不可逆。 你也可以使用 WORM(寫一次,多次讀取)儲存空間來備份,以防止惡意行為者停用不可變性並刪除備份。
WORM 儲存體的支援案例
- 在啟用和鎖定狀態下的不可變功能現已普遍適用於所有 Azure 區域的 Recovery Services 保管庫。
- 目前,恢復服務保險庫中的不可變金庫在鎖定狀態下使用WORM儲存,已在以下地區普遍可用:澳洲中部2區、瑞士西部、南非西部、韓國中部、德國北部、韓國南部、西班牙中部、以色列中部、印度南部、印度西部、墨西哥中部、挪威西部、波蘭中部、日本東部。
- 目前,使用 WORM 儲存的不可變保管庫處於鎖定狀態,並已在以下地區的備份保管庫中進入預覽階段:南非西部、韓國中部、印度南部、印度西部、波蘭中部。
- 在尚未普遍提供 WORM 儲存的地區,啟用且鎖定不變的備份會在功能開放後自動轉換至 WORM 支援儲存。 此轉換不需要用戶動作,而且不需要任何數據移動。
- 在鎖定狀態下,使用 WORM 儲存來支援不可變之儲存空間,適用於以下工作負載:Azure 虛擬機上的 SQL Server 和 SAP HANA、Azure Files、Azure 備份(包括伺服器與代理)、System Center 資料保護管理員、Azure Kubernetes 服務,以及 Azure Database for PostgreSQL。
開始前的考量
- 不可變的保險庫在所有 Azure 公共及美國政府區域均可使用。
- 不可變的保險庫支援於復原服務保險庫與備份保險庫。
- 啟用不可變性會阻止你對保險庫及其受保護物品執行特定操作。
- 啟用不可變性是對一個保險庫進行的可逆操作。 不過,你可以選擇讓操作不可逆,以防止惡意行為者停用保險庫並執行破壞性操作。
- 不可篡改性適用於資料保管庫中的所有資料。 所有在保險庫中受保護的實例都會套用不變性。
- 不可變性不適用於像 blob、檔案和磁碟這類資源的操作性備份。
- 請確保資源提供者已在您的訂閱中註冊
Microsoft.RecoveryServices。 否則,您將無法使用區域冗餘和保險庫屬性選項,例如不可變設定。
不變性如何運作?
Azure Backup 將資料與生產工作負載隔離儲存。 你可以執行管理操作來協助管理備份,包括刪除復原點的操作。
在某些情況下,你可能想讓備份資料變得不可變,防止那些若被惡意行為者使用可能導致備份遺失的操作。 你可以利用保險庫的不可變性設定來阻擋這些操作,幫助保護備份資料,即使惡意行為者試圖刪除這些資料以影響資料的可恢復性。
使不變性無法復原
保險庫的不可變功能是一個可逆的設定選項。 如果你需要允許刪除備份資料,可以關閉不可變性。
不過,我們建議在你對不可變性的影響感到滿意後,鎖定保險庫,使不可變的保險庫設定不可逆,並啟用 WORM 儲存作為備份。 這些選擇有助於確保惡意行為者無法禁用不可變性。
不可變保險庫設定接受以下三種狀態:
| 不變儲存區設定狀態 | 描述 |
|---|---|
| 已停用 | 保險庫沒有啟用不可變性,也沒有被封鎖的操作。 |
| 已啟用 | 保存庫已啟用不變性,而且不允許可能導致備份遺失的作業。 這個設定可以被關閉。 |
| 已啟用並鎖定 | 保存庫已啟用 WORM 儲存體不變性,而且不允許可能導致備份遺失的作業。 不可變的保險庫設定現在被鎖定,無法停用。 不可變鎖定是不可逆的。 請確保您對使用它的決定是基於充分資訊的考量。 |
限制的作業
不可變性防止你對保險庫執行以下可能導致資料遺失的操作:
| 作業類型 | 描述 |
|---|---|
| 刪除資料時停止保護 | 受保護的物品不能在到期日前被刪除其恢復點。 不過,您仍然可以停止保護執行個體,同時永久保留資料,或直到其到期為止。 |
| 修改備份政策以減少保留 | 任何減少備份政策保留期間的行為,在不可變保險庫中都會被禁止。 不過,您可以進行原則變更,以增加保留期。 您也可以變更備份原則的排程。 如果任何項目的備份被暫停,保留率的提升就無法適用。 |
| 更改備用政策以減少留任率 | 任何試圖用保留率低於現有的政策替換與備份項目相關的備份政策,都會被阻擋。 不過,您可以將原則取代為具有較高保留期的原則。 |