Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>

S3 Object Lock para la Protección contra R

Los ataques de ransomware no muestran signos de disminuir. Si acaso, están empeorando. Según Black Kite, la incidencia de ransomware casi se duplicó a principios de 2023 en comparación con el año pasado.

Con la integridad de sus negocios en juego, los emprendedores prudentes deben tomar todas las acciones necesarias para resistir el ransomware. Por ejemplo, podrían considerar usar S3 Object Lock, que previene la manipulación de datos en S3-compatible almacenamiento de objetos.

Aunque Amazon lanzó el almacenamiento S3 hace 17 años como una tecnología basada en la nube, hoy en día, muchos proveedores –incluido Object First– ofrecen S3-compatible almacenamiento de objetos completamente en las instalaciones, gracias a la API de S3.

S3-compatible almacenamiento de objetos almacena datos como objetos en contenedores virtuales llamados buckets. S3 Object Lock complementa almacenamiento de objetos y resulta invaluable para cualquiera que desee hacerlo más seguro.

¿Qué es S3 Object Lock?

S3 Object Lock es una función en S3-compatible almacenamiento de objetos. Que hace que los datos almacenados en él sean intocables. Cambiar o borrar objetos asegurados por el bloqueo es imposible. Como resultado, todos los intentos de cifrado fallan, mientras que los datos permanecen accesibles para personas de confianza.

Con S3 Object Lock, puedes almacenar objetos utilizando un modelo de write-once-read-many (WORM). El modelo WORM prohíbe modificaciones pero permite el acceso autenticado. Mientras el bloqueo esté en su lugar, los datos permanecen inmutables pero pueden ser leídos por personal autorizado.

Preservar el estado de los objetos en los buckets de S3 se llama retención de objetos. Se logra de dos maneras: estableciendo un período de retención o colocando una retención legal. En el primer caso, el bloqueo expira automáticamente después de un tiempo establecido. En el otro, debe ser desactivado manualmente.

Razones para usar S3 Object Lock para la protección contra ransomware

Un ataque de ransomware consiste en dos etapas: obtener acceso ilegal a los datos de otra parte y cifrarlos. S3 Object Lock neutraliza la segunda etapa. Incluso si un actor de amenazas accede a un bucket de S3, el bloqueo hará que todos sus esfuerzos de cifrado sean ineficaces.

Los intentos de ransomware en datos protegidos por S3 Object Lock fallan debido a las características incomparables que S3 Object Lock ofrece en cuanto a seguridad de datos. Estas características incluyen:

  • Almacenamiento WORM — El modelo write-once-read-many significa que nadie puede sobrescribir los datos bloqueados por accidente o intencionalmente.
  • Disponibilidad — Las personas con los permisos adecuados aún pueden acceder y leer los datos.
  • Protección contra amenazas externas e internas — Incluso el personal autorizado para leer los datos no puede modificarlos.
  • Protección contra ransomware — La protección de escritura en S3 Object Lock hace que el cifrado—la piedra angular del ransomware—sea imposible.
  • Integridad — Con S3 Object Lock, las organizaciones pueden estar seguras de que sus datos son a prueba de manipulaciones, precisos y completos.
  • Copias de seguridad inmutables — S3 Object Lock refuerza las copias de seguridad de almacenamiento de objetos al hacerlas inalterables.
  • Reemplazo de cintas LTO fuera del sitio y brechas físicas — S3 Object Lock hace que las cintas LTO y las brechas físicas sean redundantes porque las reemplaza con inmutabilidad y brechas lógicas.
  • Prueba de cumplimiento — S3 Object Lock puede ser una prueba legalmente vinculante de cumplimiento.

Las organizaciones también pueden necesitar hacer cumplir los bloqueos de S3 Object debido a requisitos legales. Esto es especialmente cierto para industrias altamente reguladas como finanzas o atención médica. En caso de una auditoría, S3 Object Lock proporciona prueba de que los registros bajo escrutinio están intactos.

S3 Object Lock ofrece dos formas de gestionar la retención. Los períodos de retención son adecuados para proteger los datos de manipulaciones, mientras que las retenciones legales se alinean perfectamente con las regulaciones.

Períodos de retención de S3 Object Lock

Un período de retención especifica la duración durante la cual un objeto almacenado permanece protegido contra escritura. Hay dos formas de definir la duración de cada bucket habilitado para Object Lock.

Una forma es establecer un período de retención predeterminado al crear un nuevo bucket habilitado para Object Lock. El período se aplicará a cada objeto ubicado en ese bucket.

Alternativamente, si un bucket no tiene un período de retención predeterminado, cada objeto destinado a protección debe tener la fecha de caducidad preferida en una variable llamada Retain Until Date.

Hay una advertencia a tener en cuenta sobre los períodos de retención. Aunque todos eventualmente terminan, los bloqueos de objetos no siempre expiran con ellos. Esto se debe a que los períodos de retención pueden funcionar en paralelo con las retenciones legales, y uno puede durar más que el otro.

Retenciones legales de S3 Object Lock

Una retención legal es un método alternativo de retención en Object Lock. A diferencia de un período de retención, no tiene una fecha de caducidad. En su lugar, cualquier persona con el permiso s3:PutObjectLegalHold puede instituir y revocar retenciones legales en cualquier momento.

Las retenciones legales y los períodos de retención son independientes entre sí y pueden actuar sobre el mismo objeto simultáneamente. Si el período de retención termina primero, la retención legal sigue funcionando hasta que se elimine, y viceversa.

Modos de retención de S3 Object Lock

Para cada período de retención, los usuarios de S3 Object Lock deben elegir entre dos modos de retención: gobernanza y cumplimiento.

Modo de gobernanza

El modo de gobernanza es menos estricto pero más flexible. Bloquea objetos de todos excepto aquellos con el permiso s3:BypassGovernanceRetention. Ellos pueden modificar y eliminar libremente objetos protegidos y cambiar sus configuraciones de retención.

¿Por qué usar el modo de gobernanza? Por ejemplo, para experimentar con las características de bloqueo de objetos sin correr el riesgo de congelar irreversiblemente tus datos.

Modo de cumplimiento

El modo de cumplimiento es menos indulgente pero más seguro que su contraparte. Bajo este modo, nadie puede modificar la configuración del bloqueo de objetos, ni siquiera el usuario raíz. La única forma de cambiar algo es esperar hasta el final del período de retención.

El modo de cumplimiento ofrece una garantía inquebrantable pero no hay forma de retroceder. La capacidad de punto de no retorno lo hace especialmente adecuado para demostrar cumplimiento y adherirse a regulaciones legales, pero también es el único modo que es 100% a prueba de manipulaciones.

Ootbi – S3-compatible, en las instalaciones almacenamiento inmutable

Toma S3 Object Lock con inmutabilidad y resistencia al ransomware. Agrega configuración rápida, simplicidad y asequibilidad. Mezcla todo y obtendrás Ootbi – una solución de almacenamiento de respaldo físico de Object First.

Ootbi es una caja de respaldo almacenamiento de objetos que puedes instalar, apilar y alimentar en 15 minutos. Se envía listo para S3, optimizado para Veeam, diseñado para estar en las instalaciones, y con opciones de capacidad flexible: 64, 128 o 192 TB por dispositivo. Estos dispositivos pueden combinarse en clústeres de un máximo de 4 nodos cada uno, escalando hasta 768TB de almacenamiento de respaldo por clúster.

Equipado con Lockdown OS y una interfaz HTTPS dedicada, Ootbi es seguro, simple, potente, asequible y eficiente. Consigue uno hoy, saca a las pandillas de ransomware del negocio y gana la tranquilidad que mereces.

FAQ

¿Qué es S3 Object Lock?

S3 Object Lock es una función en almacenamiento de objetos que previene sobrescribir los datos en él. Como resultado, los datos se vuelven a prueba de ransomware. El bloqueo tiene un conjunto de opciones para ajustar la protección y la autorización.

¿Por qué debería usar S3 Object Lock?

Para protección contra amenazas

Incluso el almacenamiento aislado ocasionalmente se conecta a una red y se expone a amenazas externas. Las organizaciones deben usar una capa adicional de protección para mantenerse seguras. S3 Object Lock agrega inmutabilidad al almacenamiento fuera de línea, proporcionando seguridad contra ciberataques como el ransomware.

Para cumplimiento regulatorio

S3 Object Lock permite el cumplimiento de regulaciones legales como SEC 17a-4, CFTC, FINRA y otras leyes que imponen estándares estrictos de retención de datos.

¿Qué almacenamiento puedo usar con S3 Object Lock?

S3 Object Lock funciona con almacenamiento de objetos. Este tipo de almacenamiento es adecuado para contener grandes cantidades de datos no estructurados. Por esta razón, a menudo se utiliza y se recomienda para copias de seguridad.

¿Puedo usar S3 Object Lock en las instalaciones?

S3 Object Storage originalmente surgió como una tecnología centrada en la nube, pero desde entonces se ha adaptado para arquitecturas fuera de línea gracias a la API de S3. Puedes obtener las ventajas de S3 Object Lock en las instalaciones al obtener almacenamiento compatible con S3, como Ootbi de Object First.

¿Qué es el almacenamiento compatible con S3?

El almacenamiento compatible con S3 trae los beneficios de S3 Object Lock a entornos locales y de nube privada. Almacena datos en contenedores virtuales llamados buckets. Un ejemplo de almacenamiento compatible con S3 es Ootbi de Object First.

¿Cómo funciona S3 Object Lock?

Puedes habilitar S3 Object Lock para cualquier bucket versionado al crearlo. Una vez que lo hagas, elige entre dos opciones para proteger contra escritura los objetos en el bucket: un período de retención y una retención legal.

¿Cuál es la diferencia entre un período de retención y una retención legal en S3 Object Lock?

Un período de retención define un tiempo específico en el que un objeto está protegido contra escritura. Una retención legal se aplica para la protección indefinidamente hasta que una persona autorizada la levante. Lo importante es que los períodos de retención y las retenciones legales no son mutuamente excluyentes y pueden funcionar en paralelo.

¿Cómo configurar un período de retención en S3 Object Lock?

Puedes configurar un período de retención predeterminado al crear un bucket versionado. El predeterminado se aplicará automáticamente a cada objeto en el bucket. Sin un predeterminado, debes asignar períodos de retención por separado para cada objeto. Los períodos de retención individuales anularán el predeterminado si está presente.

¿Cómo configurar una retención legal en S3 Object Lock?

Un usuario autorizado puede activar y desactivar una retención legal en un objeto. Para especificar al usuario, otórgales el permiso s3:PutObjectLegalHold.

¿Cuál es la diferencia entre gobernanza y cumplimiento en S3 Object Lock?

Cada período de retención debe tener uno de dos modos: gobernanza o cumplimiento.

El modo de gobernanza otorga a usuarios seleccionados el derecho a cambiar la configuración de S3 Object Lock y modificar los datos que protege. Para otorgar el derecho, asigna el permiso s3:BypassGovernanceRetention.

El modo de cumplimiento previene cualquier modificación independientemente de los permisos. Una vez que el período de retención se establece en modo de cumplimiento, no hay forma de eludirlo. Es la opción más segura pero también la menos indulgente.

Noticias del producto

Al enviar este formulario, confirmo que he leído y acepto la Política de Privacidad.