Amazon S3 Object Lock

Protezione dei dati dagli eventi di ransomware con immutabilità a livello di oggetto per proteggere gli oggetti da eliminazione o sovrascrittura accidentale o fraudolenta

Panoramica

Amazon S3 è lo storage primario a cui si affidano milioni di clienti in tutto il mondo. Con il 99,999999999% (11 9 secondi) di durabilità dei dati, i clienti possono archiviare e proteggere i dati aziendali critici praticamente per qualsiasi caso d'uso, comprese applicazioni native del cloud, output di analisi dei data lake e file multimediali. Come per tutti i dati, le best practice prevedono di creare un backup e di mettere in atto misure di sicurezza contro l'eliminazione accidentale o fraudolenta.

S3 Object Lock blocca l'eliminazione permanente degli oggetti durante un periodo di conservazione definito dal cliente, consentendogli di applicare criteri di conservazione come il livello aggiuntivo di protezione dei dati o la conformità normativa. Con S3 Object Lock, S3 Versioning è abilitato automaticamente e queste funzionalità interagiscono per impedire che le versioni degli oggetti bloccati vengano eliminate definitivamente (accidentali o intenzionali) o sovrascritte utilizzando un modello write-once-read-many (WORM). S3 Object Lock è lo standard del settore per l'immutabilità dell'archiviazione di oggetti per la protezione dal ransomware e viene utilizzato nelle soluzioni di archiviazione cloud, backup e protezione dei dati dai partner di archiviazione AWS come Cohesity, Commvault, Rubrik, Veeam e Veritas.

Vantaggi

L'immutabilità dei dati è un aspetto fondamentale della pianificazione della protezione dei dati perché impedisce modifiche o eliminazioni involontarie da parte di utenti autorizzati e modifiche da parte di utenti non autorizzati. Questo contribuisce a impedire che gli eventi di ransomware eliminino o alterino i tuoi dati. S3 Object Lock impedisce che i dati vengano alterati o eliminati da qualsiasi persona o processo, involontariamente o a causa di attività fraudolente.

Inoltre, è possibile utilizzare S3 Object Lock per soddisfare i requisiti normativi che richiedono l'archiviazione WORM o per aggiungere un altro livello di protezione contro le modifiche e l'eliminazione degli oggetti. Cohasset Associates ha valutato S3 Object Lock per ambienti soggetti alle normative SEC 17a-4, CFTC e FINRA. È possibile utilizzare la modalità di conformità, che non può essere annullata, per contribuire a far sì che i dati soddisfino il monitoraggio della conformità regolamentata. Per ulteriori informazioni su come Object Lock si relaziona a queste normative, consulta la pagina Cohasset Associates Compliance Assessment.

Puoi impiegare la funzione di controllo delle versioni di S3 per conservare, recuperare e ripristinare qualsiasi versione di ogni oggetto archiviato nel tuo bucket. Quando la funzione di controllo delle versioni è abilitata, è possibile recuperare più facilmente sia in seguito ad azioni involontarie dell'utente sia in seguito a guasti dell'applicazione. Il controllo delle versioni S3, che viene abilitato automaticamente con S3 Object Lock, offre resilienza dei dati con la possibilità di tornare a una versione precedente. Scopri di più.

Come funziona S3 Object Lock?

Funzionamento di S3 Object Lock

È possibile utilizzare S3 Object Lock a livello di bucket o di oggetto e abilitarlo per la creazione di un nuovo bucket o su bucket esistenti. Per utilizzare S3 Object Lock con un bucket (o con oggetti al suo interno), è prima necessario abilitare il controllo delle versioni per il bucket, poiché non è possibile attivarlo in seguito. I periodi di conservazione e i blocchi legali si applicano alle versioni dei singoli oggetti. Quando blocchi la versione di un oggetto, Amazon S3 archivia le informazioni sul blocco nei metadati per quella versione dell'oggetto. L'imposizione di un periodo di conservazione o di blocco legale su un oggetto protegge solo la versione specificata nella richiesta. Non impedisce la creazione di nuove versioni dell'oggetto.

La protezione S3 Object Lock viene mantenuta indipendentemente dalla classe di storage in cui risiede l'oggetto e durante le transizioni del ciclo di vita di S3 tra le classi di storage. Insieme al controllo delle versioni S3, che protegge gli oggetti dalla sovrascrittura, puoi assicurarti che gli oggetti rimangano immutabili per tutto il tempo durante il quale la protezione S3 Object Lock è in uso. È possibile migrare i carichi di lavoro da sistemi di archiviazione WORM esistenti ad Amazon S3 e configurare S3 Object Lock a livello di oggetto e di bucket per impedire l'eliminazione di versioni di oggetti prima di date predefinite o di date di blocco legale. 

Inoltre, è possibile abilitare S3 Replication su un bucket in cui S3 Object Lock è abilitato per replicare gli oggetti insieme alle relative impostazioni di conservazione. Durante la replica degli oggetti, se la funzionalità S3 Object Lock è abilitata nel bucket di origine, dovrà essere abilitata anche nel bucket di destinazione.

Gestione della conservazione degli oggetti con S3 Object Lock

S3 Object Lock offre due modi per gestire la conservazione degli oggetti: i periodi di conservazione e i blocchi legali. Con S3 Object Lock abilitato su un bucket, la versione di un oggetto può avere sia un periodo di conservazione che un blocco legale, l'uno ma non l'altro o nessuno dei due. 

  • Periodo di conservazione: specifica un periodo di tempo fisso durante il quale un oggetto rimane bloccato. Durante questo periodo, l'oggetto è protetto da WORM e non può essere sovrascritto o eliminato. Quando si imposta un periodo di conservazione su una versione dell'oggetto, Amazon S3 memorizza un timestamp nei metadati della versione dell'oggetto per mostrare quando scade il periodo di conservazione. Dopo la scadenza del periodo di conservazione, la versione dell'oggetto può essere sovrascritta o eliminata, a meno che non si ponga anche un blocco legale sulla versione dell'oggetto. Utilizzando una policy bucket, puoi impostare i periodi di conservazione minimi e massimi consentiti per un bucket per aiutarti a stabilire un intervallo di periodi di conservazione consentiti. Per ulteriori informazioni, consulta periodi di conservazione.
  • Blocco legale: fornisce la stessa protezione di un periodo di conservazione, ma non ha una data di scadenza. Invece, un blocco legale rimane in vigore fino a quando non lo rimuovi esplicitamente. I blocchi legali sono indipendenti dai periodi di conservazione. Per ulteriori informazioni, consulta blocchi legali.

I periodi di conservazione e le modalità di conservazione sono sempre configurati in tandem, a differenza dei dispositivi di conservazione legali, che sono configurati in modo indipendente. S3 Object Lock offre due modalità di conservazione, che applicano diversi livelli di protezione agli oggetti. È possibile applicare entrambe le modalità di conservazione a qualsiasi versione dell'oggetto protetta da Object Lock.

  • Modalità governance: in modalità governance, gli utenti non possono sovrascrivere o eliminare la versione di un oggetto o modificarne le impostazioni di blocco a meno che non dispongano di autorizzazioni speciali. Con la modalità governance, proteggi gli oggetti dall'eliminazione da parte della maggior parte degli utenti, ma puoi comunque concedere ad alcuni di essi l'autorizzazione alla modifica delle impostazioni di conservazione o all'eliminazione dell'oggetto, se necessario. È inoltre possibile utilizzare la modalità governance per testare le impostazioni del periodo di conservazione prima di creare un periodo di conservazione in modalità conformità.
  • Modalità conformità: in modalità conformità, la versione di un oggetto protetto non può essere sovrascritta o eliminata da nessun utente, incluso l'utente root del tuo account AWS. Quando un oggetto è bloccato in modalità di conformità, non è possibile modificare la modalità di conservazione, né abbreviare il periodo di conservazione. La modalità di conformità contribuisce a garantire che la versione di un oggetto non possa essere sovrascritta o eliminata per la durata del periodo di conservazione.  S3 Object Lock è stato valutato per Rule 17a-4(f) della SEC, Rule 4511 della FINRA e Regulation 1.31 della CFTC da parte di Cohasset Associates. 

Utilizzo di S3 Object Lock su larga scala con Operazioni in batch S3

S3 Object Lock può essere abilitato facilmente sul bucket per tutti i nuovi oggetti con un blocco predefinito. Per gli oggetti esistenti, puoi utilizzare S3 Batch Operations con S3 Object Lock per bloccare o estendere qualsiasi conservazione esistente, oppure abilitare o rimuovere un blocco legale per un massimo di miliardi di oggetti contemporaneamente. Specifica l'elenco degli oggetti di destinazione nel tuo manifest e invialo a Batch Operations per il completamento.

Come tutte le altre impostazioni di S3 Object Lock, i periodi di conservazione si applicano alle versioni dei singoli oggetti. Versioni diverse di un singolo oggetto possono avere modalità e periodi di conservazione diversi.

Ad esempio, supponiamo di avere un oggetto conservato da 15 giorni su un periodo di conservazione totale di 30 e di caricare un nuovo oggetto in Amazon S3 con lo stesso nome e un periodo di conservazione di 60 giorni. In questo caso, il caricamento ha esito positivo e Amazon S3 crea una nuova versione dell'oggetto con un periodo di conservazione di 60 giorni. La versione precedente mantiene il periodo di conservazione originale e diventa eliminabile dopo 15 giorni.

È possibile estendere un periodo di conservazione dopo aver applicato un'impostazione di conservazione a una versione dell'oggetto. A tale scopo, invia una nuova richiesta di blocco utilizzando S3 Batch Operations per la versione dell'oggetto con una data di conservazione che arriva a quella attualmente configurata per la versione dell'oggetto. Amazon S3 sostituisce il periodo di conservazione esistente con il nuovo periodo più lungo. Ulteriori informazioni.

Partner

Inizia a usare S3 per la protezione dei dati

Per i dati archiviati in Amazon S3, le best practice iniziano con il controllo delle versioni Amazon S3, che consente di conservare, recuperare e ripristinare ogni versione di ogni oggetto archiviato in un bucket Amazon S3. È quindi possibile aggiungere Amazon S3 Object Lock per impedire che i dati vengano eliminati o sovrascritti per un periodo di tempo fisso o anche a tempo indeterminato. Per creare copie aggiuntive dei dati in un'altra Regione AWS per la protezione di più Regioni, è possibile abilitare la Replica Amazon S3 su un bucket con S3 Object Lock attivato. A questo punto, è possibile utilizzare la Replica S3 con il controllo delle versioni S3 ed S3 Object Lock per copiare automaticamente gli oggetti tra le Regioni AWS e separare gli account AWS. Per utilizzare S3 Object Lock con oggetti esistenti o per prolungare il periodo di blocco su oggetti esistenti prossimi alla scadenza del blocco, puoi utilizzare S3 Batch Operations e S3 Inventory Reports. Infine, puoi riunire la visibilità dei tuoi attuali livelli di protezione dei dati e dell'utilizzo di queste funzionalità in un'unica dashboard con Amazon S3 Storage Lens.

Per ulteriori informazioni su come proteggere i tuoi dati su Amazon S3, consulta il tutorial introduttivo sulla protezione dei dati di S3.