A Microsoft anunciou no MS Build 2026 o preview de vaulted backups para Azure Cosmos DB via Azure Backup. Para times de engenharia e gestores de TI no Brasil, essa novidade representa um avanço significativo na proteção contra ransomware, exclusão acidental e requisitos de compliance. Diferente das proteções nativas de replicação do Cosmos DB — que garantem disponibilidade, mas não isolamento contra ataques — os vaulted backups criam uma cópia imutável e isolada em um cofre gerenciado pelo Azure Backup. A conclusão principal: essa camada extra de resiliência pode reduzir drasticamente o risco de perda definitiva de dados em aplicações globais, desde que os custos a partir de julho de 2026 sejam planejados com antecedência.
Por que vaulted backups para Azure Cosmos DB?
O Azure Cosmos DB já oferece capacidades nativas de proteção, como replicação multi-região e alta disponibilidade. No entanto, nenhuma delas protege contra cenários como:
- Exclusão acidental ou maliciosa de dados ou contas
- Credenciais comprometidas ou ameaças internas (insider threats)
- Ataques de ransomware que atingem ambientes de produção
- Requisitos de compliance que exigem backups off‑site e imutáveis
Os vaulted backups adicionam uma camada independente: as cópias são armazenadas em um cofre do Azure Backup, isolado da conta de origem do Cosmos DB e gerenciado centralmente.
Como os vaulted backups protegem seus dados do Cosmos DB?
Com esse preview, o Azure Backup permite configurar backups policy‑driven e automatizados. Uma vez ativado, o serviço gerencia scheduling, retenção e ciclo de vida sem intervenção manual.
Principais capacidades de proteção:
Isolamento dos dados de produção: Os backups são armazenados em um cofre separado, gerenciado pela Microsoft. Mesmo que a conta do Cosmos DB seja deletada ou comprometida, os dados de backup permanecem seguros.
Resiliência contra ransomware e ataques maliciosos: Como os backups ficam isolados e protegidos pelos controles de segurança do Azure Backup (criptografia, soft delete, imutabilidade e RBAC), atacantes não conseguem acessar ou adulterar os pontos de recuperação.
Backups baseados em políticas com retenção de longo prazo: Defina schedules e períodos de retenção para atender a auditorias e exigências regulatórias.
Design security‑first: O Azure Backup protege os vaulted backups com criptografia em repouso e em trânsito, soft delete (recuperação de exclusões acidentais), imutabilidade (impede alterações) e controle de acesso via IAM.
Projetado para compliance e resiliência empresarial
Vaulted backups para Cosmos DB ajudam organizações a se alinharem com expectativas regulatórias e de mercado que exigem:
- Cópias de backup off‑site e isoladas
- Fortes controles de acesso e segregação de funções
- Proteção contra exclusão prematura
- Retenção de longo prazo de dados críticos
Ao integrar a proteção do Cosmos DB ao Azure Backup, as empresas podem gerenciar backups de forma centralizada, junto com outras workloads Azure, usando uma experiência consistente de governance e monitoramento.
Primeiros passos com o preview
Consulte a documentação oficial para detalhes sobre cenários suportados, limitações e etapas de onboarding: matriz de suporte e guia de onboarding.
A cobrança para vaulted backup do Cosmos DB (preview) inicia em 1º de julho de 2026. Consulte a página de preços do Azure Backup e a calculadora de preços para estimar os custos.
Perguntas Frequentes
-
O que são vaulted backups e como diferem das proteções nativas do Cosmos DB?
Vaulted backups são backups armazenados em um cofre isolado do banco de dados de produção, gerenciados pelo Azure Backup. Enquanto a replicação nativa protege contra falhas de infraestrutura, os vaulted backups protegem contra exclusão acidental, ransomware e ameaças internas, com políticas de retenção de longo prazo. -
Quais são os principais casos de uso para vaulted backups no Azure Cosmos DB?
Os principais casos incluem: proteção contra ransomware que criptografa ou exclui dados, compliance com regulamentações que exigem backups off-site e imutáveis, recuperação após comprometimento de credenciais ou insider threats, e cenários onde o próprio banco de dados é deletado acidentalmente. -
Como a imutabilidade e o soft delete funcionam nesse novo recurso?
O Azure Backup aplica criptografia, soft delete e imutabilidade aos vaulted backups. Isso impede que atacantes ou administradores maliciosos modifiquem ou excluam os recovery points dentro do período de retenção configurado. O soft delete ainda permite recuperar backups excluídos acidentalmente. -
Quando começa a cobrança e como planejar os custos?
A cobrança para vaulted backups do Cosmos DB inicia em 1º de julho de 2026. Os custos variam conforme a frequência de backup, retenção e volume de dados. Use a calculadora de preços do Azure Backup para estimar. É recomendável avaliar o custo-benefício comparado ao downtime e multas por não conformidade. -
Esse recurso resolve as exigências da LGPD para backups de dados críticos?
Vaulted backups ajudam a atender requisitos de isolamento, imutabilidade e retenção de longo prazo, mas cada empresa deve avaliar sua adequação à LGPD com base na classificação dos dados e políticas internas. O recurso oferece uma camada adicional de proteção, não substituindo uma estratégia completa de governance.
Artigo originalmente publicado por shobhitgarg em Azure Updates - Latest from Azure Charts.
