Azure Storage:

اگر با محیط Azure کار می‌کنید، بدون شک با  Storage Account سروکار دارید؛ جایی برای ذخیره فایل‌ها، لاگ‌ها، پشتیبان‌ها، پیام‌ها و حتی دیتاهای ساختارنیافته. اما همه حساب‌های ذخیره‌سازی مثل هم نیستند!

در این مقاله، خلاصه و کاربردی با انواع Storage Account، موارد استفاده‌ی هرکدام، و نکات امنیتی مهم آشنا می‌شویم — طوری که هم به درد آزمون‌های AZ-104 و  AZ-500 بخورد و هم در پروژه‌های واقعی کمکتان کند.

 معرفی انواع Storage Account در Azure

    در Azure، برای ذخیره‌سازی داده، نیاز به  Storage Account داریم.  اما همین “ساخت حساب” شامل انتخاب‌هایی می‌شود که بهتره دقیق بررسی شود چراکه انتخاب درست بسیار حائز اهمیت میباشد.    

    حساب ذخیره‌سازی چند مدل دارد:

نوع حساب	سرویس‌های قابل استفاده	توضیح ساده
General Purpose v2 (GPv2)	Blob, File, Queue, Table	✅ از همه سرویس‌ها پشتیبانی می‌کند  وقتی HNS غیرفعال باشد
Blob Storage / Block Blob Premium	فقط Blob	❌ از File Share، Queue یا Table پشتیبانی نمی‌کند
File Storage (Premium)	فقط File Share	✅فقط از سرویس File پشتیبانی می‌کند

:Blob Types — مدل ذخیره‌سازی فایل

اگه از Blob Storage استفاده می‌کنید داده ها در یکی از سه قالب زیر ذخیرع میشود:

نوع Blob	کاربرد
Block Blob	ذخیره فایل مثل عکس، ویدیو، PDF
Append Blob	فقط افزودن اطلاعات انتهایی؛ مناسب لاگ
Page Blob	مخصوص دیسک‌های VHD برای ماشین مجازی

 

🟢 در GPv2 همه این نوع‌ها پشتیبانی می‌شوند.
🔴 ولی در Premium فقط همون تایبی که مشخص میکنیم  پشتیبانی می‌شود مثلاً فقط Block یا Page

 

باهم موارد بالا را در جریان ایجاد حساب ببینیم :

Primary service: Azure Blob Storage

Performance: Standard

Hierarchical Namespace (HNS): Disabled

در اینجا حساب storage v2-Genral Purpose  بدون استفاده از HNS  یعنی تمام سرویسها مانند blob, file share, Queueو table فعال خواهد بود.

                 

نکته : نوع Blob Storage با فعال‌سازی Hierarchical Namespace (HNS)، تبدیل می‌شود به Data Lake Storage Gen2.

 

🌐 کنترل دسترسی به  Storage:

در تب Networking، مشخص می‌کنید که چه منابعی از کجا به Storage Account شما دسترسی داشته باشند. این بخش برای افزایش امنیت  مهم است ، مخصوصاً در محیط‌ های  Production .

•        Public access from all networks پیش‌فرض:

دسترسی از همه اینترنت ممکن میباشد هرکسی که مجوزی مثل SAS Token یا Key داشته باشد، می‌تواند از هر جایی  به Storage وصل بشود.

•        Public access from selected networks:

فقط Ip  هایی که شما تعیین می‌کنید یا منابع داخل Virtual Network مشخصی که شما اضافه میکنید ، به  Storage  دسترسی خواهند داشت.  امکان تعریف فایروال، محدوده IP، و Service Endpoint و… مناسب اکثر پروژه‌های واقعی میباشد.

•        Disable public access (Private endpoint only):

Storage  از اینترنت عمومی در دسترس نیست و فقط از طریق یک Private Endpoint در شبکه داخلی Azure شما قابل دسترسی است. بالاترین سطح امنیت، مناسب دیتاهای حساس میباشد.

 

🛡️  Data Protection — محافظت از داده‌ها در برابر حذف، تغییر یا اشتباه انسانی 

در این تب می‌توانیم قابلیت‌هایی را فعال کنیم که کمک می‌کنند از حذف یا تغییر ناخواسته داده‌ها جلوگیری کنیم. این تنظیمات ارتباطی به فایروال و رمزنگاری ندارند، بلکه مستقیماً از خود داده‌ها محافظت می‌کنند و می بینیم که چطور با یه تیک ساده می‌توانیم جلوی اشتباه انسانی یا حمله رو بگیریم.

•    Soft Delete for Blob / File Share:

وقتی یه فایل( Blob یا File Share ) رو پاک می‌کنید، به‌جای حذف دائمی، برای چند روز قابل بازیابی باقی می ماند.
📌 قابل تنظیم بین ۱ تا ۳۶۵ روز

 

•  📊 Tracking — ردیابی تغییرات و نگه‌داری نسخه‌ها :

     Versioning:

با فعال‌سازی این گزینه، هر بار که Blob رو تغییر بدهید، نسخه قبلی هم نگه‌داری می‌شود.

🔸 در مواقعی که اشتباهی فایلی رو تغییر بدهید، می‌توانید به نسخه قبل برگردید.

🔸 نکته مهم: در سناریوهای پر تغییر، ممکنه است پرهزینه‌ شود ؛ پس می‌توانید با Lifecycle Management  نسخه‌ها رو مدیریت کنید.

    Change Feed:

لیستی از تمام تغییراتی که روی Blobها انجام شده ذخیره می‌شود (اضافه، حذف، آپدیت).
🔸 برای مانیتورینگ، گزارش‌گیری و ردیابی فعالیت‌ها خیلی مفید است.

 

• 🔒 Access Control — محدودسازی تغییرات داده

Immutable Blob:

این گزینه کاری می‌کند که یه Blob بعد از آپلود دیگه قابل تغییر یا حذف نباشد.
مناسب سناریوهایی مثل داده‌های حقوقی، مالیاتی یا بیمه که طبق قانون نباید تغییر کنند.

 

 

🔐 رمزنگاری اطلاعات در Azure Storage Encryption:

این تب مربوط به تنظیمات رمزنگاری داده‌هاست که شامل گزینه‌های زیر می‌شود:

Azure همیشه داده‌ها را در حال استراحت (At-Rest) رمزنگاری می‌کند.
این یعنی حتی اگر هیچ گزینه‌ای رو هم فعال نکنید، داده‌های شما با الگوریتم AES-256-bit رمزنگاری می‌شوند.

اما شما می‌توانید انتخاب کنید چه کسی کلید رمزنگاری رو مدیریت کند:

  📌      (MMK)Microsoft-managed keys

• کلیدها توسط Azure مدیریت می‌شوند. نیازی به تنظیم خاصی نیست.

   📌  Customer-managed keys (CMK)

کلید رمزنگاری رو خودتون توی Azure Key Vault  می‌سازید و به Storage وصل می‌کنید.

• قابلیت چرخش کلید (Key rotation)
• قابلیت audit لاگ روی دسترسی به کلید
• مناسب برای محیط‌هایی با الزامات قانونی یا compliance خاص  مثل  (HIPAA,GDPR)

  Infrastructure Encryption در Azure Storage چیست؟

وقتی داده‌ها در Azure ذخیره می‌شوند، علاوه بر رمزنگاری اصلی (Server-Side Encryption) که داده‌ها را با کلید AES-256 رمزنگاری می‌کند، می‌توانید یک لایه رمزنگاری دوم هم فعال کنید.

عملکرد Infrastructure Encryption چگونه است؟

داده‌ها ابتدا با کلید اصلی (SSE) رمزنگاری می‌شوند سپس، داده‌های رمزنگاری‌شده توسط یک کلید زیرساختی داخلی که توسط Azure مدیریت می‌شود دوباره رمزنگاری می‌شوند و هنگام خواندن، اول رمزنگاری زیرساختی باز می‌شود، بعد رمزنگاری اصلی.

  📌   این گزینه اختیاری است ودر صورت لزوم  باید هنگام ساخت Storage Account فعال شود.

  📌 فعال‌سازی آن ممکن است کمی تأخیر در دسترسی به داده‌ها ایجاد کند (معمولاً ناچیز).

  📌 زیرساخت رمزنگاری توسط خود Azure مدیریت می‌شود و نیازی به مدیریت کلید اضافه از سمت کاربر ندارد.

 

بعد از افزودن برچسب‌ها (Tags)، وارد بخش Review + Create می‌شوید. در این قسمت، خلاصه‌ای از تمام تنظیماتی که در مراحل قبل انتخاب کرده‌اید نمایش داده می‌شود.

اگر همه چیز درست بود، روی Create کلیک کنید تا Storage Account شما ساخته شود و آماده استفاده باشد.

 

🔗 Learn more:

https://learn.microsoft.com/en-us/training/paths/az-104-manage-storage/

https://learn.microsoft.com/en-us/training/modules/security-storage/

https://learn.microsoft.com/en-us/azure/storage/common/storage-account-overview