Wie Object First die S3-Versionierung und das Objekt-Lock verwendet
SBVon NASCAR bis Dropsuite verlassen sich Millionen von Organisationen weltweit auf Amazon S3 als ihre zentrale Speicherplattform aufgrund seiner integrierten Datenschutzfunktionen. Unter diesen sind S3 Object Lock und Versionierung weithin als branchenübliche Werkzeuge anerkannt, um Backup-Daten unveränderlich zu machen und sicherzustellen, dass sie sowohl vor böswilligen Akteuren als auch vor versehentlichem Löschen geschützt bleiben. Dieser Blog erläutert, wie diese Funktionen funktionieren, warum sie wichtig sind und wie Object First sie nutzt, um sichere, unveränderliches Backup Speicherung bereitzustellen.
Was ist der Datenschutz von Amazon S3?
Amazon S3 (Simple Storage Service) ist ein weit verbreitetes Objektspeicher Protokoll, das sichere, skalierbare Datenspeicherung in Cloud- und On-Premise-Umgebungen unterstützt. Seine Datenschutzfähigkeiten basieren auf einer Zero Trust Sicherheitsarchitektur, die eine strikte Trennung zwischen Backup-Software und Speicher durchsetzt. Diese natürliche Segmentierung stellt sicher, dass selbst wenn eine Komponente kompromittiert wird, die andere sicher bleibt.
Im Gegensatz zu proprietären Protokollen ist S3 öffentlich dokumentiert und universell unterstützt, was transparente Sicherheitsbewertungen und breite Anbieterinteroperabilität ermöglicht. Es fungiert als grundlegendes Protokoll – ähnlich wie TCP/IP in Netzwerken – und ist eine zuverlässige Wahl für Organisationen, die konsistenten, prüfbaren Datenschutz suchen.
Wie funktioniert die Versionierung?
S3 Versionierung stellt sicher, dass jede Schreiboperation eine neue Objektversion erstellt. Anstatt vorhandene Daten zu ändern, schreibt S3 ein neues Objekt und weist ihm eine eindeutige Versionsnummer zu – automatisch generiert durch das Speicherarray, nicht durch die Anwendung. Dies garantiert eine Kette der Aufbewahrung, die eine vollständige Rückverfolgbarkeit und Wiederherstellung vorheriger Versionen ermöglicht.
Aus einer Leistungs- und Kostenperspektive führt die Aktivierung der Versionierung auf einem Bucket zu keinen signifikanten Mehrkosten. S3 ist standardmäßig so konzipiert, dass es Milliarden von Objekten und Sperrerweiterungen verwalten kann, was es ideal für Backup-Workloads macht, die von Veeam verwaltet werden.
Wie funktioniert Object Lock?
Während die Versionierung Überschreibungen verhindert, stellt S3 Object Lock sicher, dass einzelne Objektversionen nicht geändert oder gelöscht werden können. Es funktioniert in zwei Modi:
- Compliance-Modus (Empfohlen): Sobald ein Objekt gesperrt ist, kann es nicht mehr verändert oder gelöscht werden – selbst nicht von privilegierten Benutzern. Dieser Modus entspricht den Prinzipien der Zero Trust-Sicherheit.
- Governance-Modus (Nicht empfohlen): Erlaubt privilegierten Benutzern, Objekt-Sperren zu ändern oder zu entfernen. Während dies für Dienstanbieter, die Kundendaten verwalten, nützlich ist, führt es zu potenziellen Schwachstellen.
Obwohl es zwei Modi gibt, verwendet Object First ausschließlich den Compliance-Modus für S3 Object Lock, da der Governance-Modus einer unserer grundlegenden Sicherheitsphilosophien widerspricht: „Gehe von einem Sicherheitsvorfall aus, bereite dich auf die Wiederherstellung vor.“ Wir gehen davon aus, dass Ransomware-Angriffe unvermeidlich sind – nicht hypothetisch.
Um Daten wirklich zu schützen, gehen wir davon aus, dass Anmeldeinformationen kompromittiert sein könnten und alle Geheimnisse offengelegt werden. Dies ist der einzige Weg, um sicherzustellen, dass kein einzelner Benutzer destruktive Aktionen durchführen kann.
Einhaltung von Vorschriften mit unveränderlichen und verschlüsselten Daten
Object Lock hilft Unternehmen, regulatorische Compliance-Anforderungen zu erfüllen. Zum Beispiel verlangt das HIPAA-Update von 2025 End-to-End-Verschlüsselung und überprüfbare Immutability für geschützte Gesundheitsinformationen. End-to-End-Verschlüsselung mit rotierenden Schlüsseln stellt sicher, dass Daten für unbefugte Benutzer unlesbar bleiben; dies kann dann Veeam zugewiesen werden, um zu handeln, zu steuern und zu verfolgen. Object Lock garantiert, dass die Daten selbst nach dem Schreiben nicht mehr verändert oder gelöscht werden können – selbst nicht von privilegierten Konten. Wenn sie zusammenarbeiten, sichert die Verschlüsselung die Daten während der Übertragung und im Ruhezustand, während Object Lock ihre Integrität über die Zeit bewahrt.
Object First's Ootbi (Out-of-the-Box Immutability) unterstützt End-to-End-Verschlüsselung und bietet überprüfbare Immutability, die die Anforderungen von HIPAA 2025 erfüllen. Dies wird durch unabhängige Bewertungen wie die veröffentlichten Ergebnisse von Cohasset Associates zu Object First validiert.
Wie Versionierung + Object Lock zusammenarbeiten, um Unveränderlichkeit zu erreichen
In Kombination schaffen Versionierung und Object Lock eine sichere, unveränderlicher Speicher Umgebung. Diese Kombination schützt Daten sowohl vor versehentlichen als auch vor absichtlichen Bedrohungen.
In einem Veeam-integrierten Setup werden Backup-Daten, die in einen S3-Bucket mit aktivierter Versionierung und Object Lock geschrieben werden, während der Schreiboperation gesperrt. Veeam verfolgt die spezifischen Versionsnummern, die vom Speicherarray zugewiesen werden, und stellt sicher, dass nur die richtigen Versionen zugegriffen oder wiederhergestellt werden. Diese enge Integration vereinfacht die Wiederherstellungsabläufe und verstärkt die Datenintegrität.
Object First’s Ansatz zum Datenschutz von S3
Object First ist speziell für Veeam-Workloads entwickelt. Unsere Architektur nutzt die Funktionen der S3-Versionierung und des Object Lock, um sofortige Immutability, automatische Versionsverfolgung und skalierbare Objektspeicher bereitzustellen. Wir unterstützen auch Veeam’s SOS-API, die nahtlose Integration und optimierte Leistung ermöglicht.
Im Gegensatz zu anderen Anbietern, die Immutability als nachträglichen Gedanken hinzufügen, integriert Object First es in den Kern unserer Lösung. Wir verstehen, wie Veeam Backup-Daten verwaltet, und haben unsere Lösung speziell für Veeam entwickelt, um sicherzustellen, dass Ihre Daten von Anfang an geschützt sind.
Wo andere Anbieter versagen – und wie Object First es richtig macht
Viele Anbieter behandeln Immutability als sekundäre Funktion und fügen es hinzu, nachdem die ursprünglichen Daten durch verzögerte Prozesse oder manuelle Konfiguration geschrieben wurden. Dieser Ansatz führt zu einem Fenster der Verwundbarkeit, in dem Backup-Daten geändert oder gelöscht werden können, bevor die Schutzmaßnahmen in Kraft treten. Diese Lösungen verlassen sich oft auf proprietäre, intransparente Sicherheitsmechanismen, inkonsistente Verschlüsselungsstandards und manuelle Einrichtung, was sie schwer prüfbar und anfällig für Fehlkonfigurationen macht.
Object First verfolgt einen grundlegend anderen Ansatz. Durch die Nutzung der nativen Versionierungs- und Object Lock-Funktionen von Amazon S3 implementieren wir Immutability, sobald die Daten geschrieben werden – keine Verzögerungen, keine manuellen Schritte und kein Vertrauen auf privilegierte Benutzer. Unsere Architektur stellt sicher, dass Daten sofort geschützt und dauerhaft unveränderlich sind, was mit den Prinzipien des Zero Trust übereinstimmt und echten sofort einsatzbereiten Immutability bietet.
