你可以保持沉默,但你所说的一切都将成为呈堂证供——浅谈Azure WORM保护
本文作者|Yuan Han
本文来源|Reid爸的菜园子
美国安然事件后,电子数据的合规性保存越来越受到重视;各国政府制定了一系列的法律,如美国《赛班斯法案》等,对于不同类型的电子数据保留期限做了严格规定;国内也没落后,以医疗行业为例,《电子病历基本规范》等一系列法规,规定了不同类型医疗数据的保留周期,其他行业也如此。
电子数据的保留,不只是将数据存起来,还需要做到在规定的期限内防篡改(增删改等操作),才满足合规性要求。从存储角度来看,这就是经常提到的WORM(Write Once, Read Many )。
随着越来越多用户将数据长期保留在公有云,Azure也引入了不可变Blob的服务,来实现对数据的WORM保护。
合规性
数据WORM保护并不是简单的说自己满足就可以,而是要经过相关法规认证,才能通过审计。
Azure的不可变Blob满足SEC 17a-4(f)、CFTC 1.31(d)、FINRA 和其他法规要求。在国内,虽然还没有明确的相应法规,但AzureChina也已经引入WORM保护的服务。
保护范围
保护对象:WORM保护针对的对象是Block Blob。Append Blob及Page Blob由于其特性,不满足WORM保护需求
保护颗粒度:以容器为单位,WORM保护对容器内所有对象同时生效
适用存储账户:Blob存储账户及通用存储账户v2可以实施WORM保护,通用存储账户v1目前还没有WORM功能,但可以升级为通用存储账户v2来实现此功能
配置过程
Azure的WORM保护分为两种类型:基于时间的保留和依法保留。对一个容器,既可以配置其中一种策略,也可以两种都配置。
WORM保护的配置很简单,进入创建好的容器里,在访问策略里添加策略即可:
依法保留
首先添加一个依法保留的策略,在添加策略的下拉框选择依法保留:
依法保留的意义是按照某种规定防止数据被篡改,例如临时需要将一个数据锁定,但没有固定期限,直到取消;为了记录保留数据的原因,需要添加至少一个标记:
添加完成,可以在不可变存储的策略中看到:
现在给容器中上传一个数据,以一个文本文件为例:
可以看到文件可正确上传。
现删除文件:
发现由于启用了WORM保护,无法删除:
更新文件元数据也不成功:
编辑文件,仍然失败
现在上传一个同名文件来覆盖原文件:
还是失败:
从如上测试可以看出,在启用了WORM保护的容器里,文件只能上传,不能被修改删除或覆盖,有效保证了原始数据安全。
那么依法保留的生命周期是多久?如下可以看到,依法保留的策略可以编辑:
在编辑页面,可以对该策略的标记进行增加或删除:
当一个策略所有的标记被删除时,该策略被自动删除。
问题来了,如果一个有操作权限的人员删除策略后修改了原始文件,然后在加上策略,是否就意味着WORM保护失效?现在将容器里的文件删除并重新加上相同的依法保留策略。虽然操作没问题,但是在存储账户的日志里,记录下了所有操作:
并且在每条日志的详细信息里均可看到操作人员:
所以合规性审计时,并不只是简单的查看是否启用了策略,还要检查日志,确认是否有非法操作。
基于时间的保留
另一种WORM保护的策略是基于时间的保留:
基于时间的保留需要设置需要设置一个保留期,以天为单位,范围是1——146000,即保留期为1天到400年。
设置好基于时间的保留后,会立即生效,但是状态为已解锁:
此时可随意编辑策略(修改保留期)甚至删除策略:
这相当于给了一个反悔期(当然所有操作仍然会被记录)。但是如果选择锁定策略并确认后:
策略的状态变为已锁定:
策略不可删除,只能编辑:
但是编辑的次数不能超过5次,并且保留期只能增加不能减少:
还有一点需注意,保留期满后,数据仍然不可修改,只能删除。
多策略
当为一个容器同时设置两种类型的策略时,将同时生效,例如:
任意一个策略有效:数据不能做任何修改
两种策略都失效:收基于时间保留的影响,数据只能删除不能修改
数据分层的影响
受WORM保护的数据,仍可以在热、冷、归档三层中任意转换,不影响保留策略;也如同没有WORM保护的数据,放入归档层后不能直接访问,需要恢复到热层或冷层。
总结
经过测试可以看出,Azure的WORM功能可有效提供数据保护,作为审计的依据;结合数据分层功能,可作为用户长期低成本合规保存数据的地方。
你可以保持沉默,但你所说的一切都将成为呈堂证供——浅谈Azure WORM保护相关推荐
- ai的弹窗点了都不响应_【评价集合】拼多多评价,你所不知道的点都在这里!...
对于在拼多多开店的商家们来说,评价是消费者对于商品的好坏程度的一个评分,评价的高低不仅仅会影响到商品的销量,更会影响转化率以及权重!所以为了店铺商品的长远发展打算!各位商家在求取出评.好评的道路上不断 ...
- 关于三代基因测序,你所需要知道的都在这儿!
关于三代基因测序,你所需要知道的都在这儿! 一.导读: 在大部分投资者对"二代测序"(NGS)还没有搞清技术细节的情况下,"三代测序"(3GS)又火了. 6月1 ...
- [转载]你遇见的事都是因你而生,你所遇见的人都是为你而来(自赵星)
从5月10日开始,发生了很多很多事,十天在台的新书宣传,外公病危,紧急返回,外公病逝,上班,正负面媒体采访不断,搬家,星光计划结业典礼--这一系列犹如一场战争,叮铃桄榔的打了过来,好事坏事连环交错的混 ...
- 你所记的,都是假的——西门也静
历史上的胤末燮初,无休止的战争横贯了整整二十年,巨大的军费支出和民夫征调使得东陆大地始终弥漫着家破人亡的哭喊声. 而在商会巨额资金的支持下,西南的宛州是乱离之世的唯一乐土,失去家园不堪重负的 ...
- 也许你所知道的学习方法都是错的
评: 科学性.专业文章. http://www.nowamagic.net/librarys/eight/posts/2538 文 / Garth Sundem 前不久,我有幸采访了加州大学洛杉矶分校 ...
- 为什么哲学是最难的学科_浅谈《中国哲学简史》:学了一辈子说话,哲学为何让我们保持沉默...
"人必须先说很多话,然后保持沉默." 这是冯友兰老先生在<中国哲学简史>中,说的最后一句话. 很多人或许会问,哲学不就是研究各种事物的普遍关系的学科么?那应该更要多说多 ...
- switchyomega插件_CTF|你所关注的CTFer都在用的插件合集【附:XXE补给+CTF训练集】...
不看后悔系列,建议收藏 相信大家对 CTF 都不陌生了,今天为大家带来了一系列 CTF 必备 Chrome 插件. CTF 可能很多人想学 CTF,但又怕零基础学不懂.其实,CTF 并没有那么难. C ...
- [浅谈 演示] 你所不知道的HTML - 从 XHTML2 到 HTML5 (1)
HTML5 出来其实也有很长一段时间了.因为这个那个的原因,在HTML5刚出炉时,我根本就没对它有任何重视.直到有一天突然看到某人搞了个东东,里面用到了HTML5中的一个特性--canvas,才突然意 ...
- “不要羡慕别人,因为你所看到的,都是表象”你怎么看?
真的是这样!大舅的儿子小光上学的时候就学习好,高中时两次在全国中学生物理竞赛中获奖,是学校老师公认的"物理天才",家长眼中"别人家的孩子",也是我们这帮孩子羡慕 ...
最新文章
- 2022-2028年中国石油钻井井下工具行业市场研究及前瞻分析报告
- linux中cut -c命令,linux中~/cut/argus/
- Android系统中的进程管理:进程的优先级
- 【JavaScript】正则表达式
- eslint规范_规范统一前端代码风格
- 批量提取文件创建时间_不要眨眼!批量提取文件名,只需30秒
- easyUI根据参数动态的生成列数
- 数据源中没有 datarow_Power BI Desktop 中的数据源
- 【MYSQL笔记】复制删除和表和记录
- 测试C++代码与WebBrowser HTML的互动
- matlab范德蒙,matlab有效生成范德蒙多矩阵
- Revit二次开发——单位转换
- html中怎么写小箭头,纯CSS代码实现各种小箭头
- JavaScript数据结构与算法笔记
- charles抓取移动端的htpps
- 这个Kaggle三项排行榜的“顶级大师”,今年17岁
- 2021-2027全球及中国PCR试管行业研究及十四五规划分析报告
- 基于Proteus的8×8LED点阵实验
- 如何实现ABC三个线程按顺序执行十次
- 诺基亚n1支持java功能_诺基亚(NOKIA)N1平板电脑按键及接口评测-ZOL中关村在线
热门文章
- Kinect开发笔记之一Kinect详细介绍
- 安卓手电筒_将价值10美元的手电筒砍入超高亮高级灯中
- android 文本后图标_如何在Android中更改文本,图标等的大小
- mysql索引三个字段查询两个字段_mysql中关于关联索引的问题——对a,b,c三个字段建立联合索引,那么查询时使用其中的2个作为查询条件,是否还会走索引?...
- EventBus的实现
- PrincetonAlgorithm I - Assignment2 Deques and Randomized Queues
- SharpDeveloeper开发ASP.NET MVC汗流浃背
- 飘逸的python - hack输出流便于调试
- 如何在宝塔面板启用 ASP.NET CORE 网站并自动申请 HTTPS 证书
- Dotnet 6.0 深度探索(一)