Comment Object First utilise la versionnage S3 et le verrouillage d'objet
SBDe NASCAR à Dropsuite, des millions d'organisations dans le monde entier comptent sur Amazon S3 comme leur plateforme de stockage clé pour ses fonctionnalités de protection des données intégrées. Parmi celles-ci, S3 Object Lock et Versioning sont largement reconnus comme des outils standard de l'industrie pour rendre les données de sauvegarde immuables, garantissant qu'elles restent protégées contre les acteurs malveillants et les suppressions accidentelles. Ce blog décompose comment ces fonctionnalités fonctionnent, pourquoi cela importe, et comment Object First les utilise pour fournir un stockage sécurisé et sauvegarde immuable.
Qu'est-ce que la protection des données Amazon S3 ?
Amazon S3 (Simple Storage Service) est un protocole largement adopté stockage d'objets qui prend en charge le stockage de données sécurisé et évolutif dans des environnements cloud et sur site. Ses capacités de protection des données reposent sur une Zero Trust Security Architecture, qui impose une séparation stricte entre le logiciel de sauvegarde et le stockage. Cette segmentation naturelle garantit que même si un composant est compromis, l'autre reste en sécurité.
Contrairement aux protocoles propriétaires, S3 est documenté publiquement et universellement pris en charge, permettant des évaluations de sécurité transparentes et une large interopérabilité des fournisseurs. Il fonctionne comme un protocole fondamental—similaire à TCP/IP dans le réseau—ce qui en fait un choix fiable pour les organisations cherchant une protection des données cohérente et auditable.
Comment fonctionne le versioning
Le versioning S3 garantit que chaque opération d'écriture crée une nouvelle version d'objet. Au lieu de modifier les données existantes, S3 écrit un nouvel objet et lui attribue un numéro de version unique—généré automatiquement par l'ensemble de stockage, et non par l'application. Cela garantit une chaîne de custody, permettant une traçabilité complète et la récupération des versions précédentes.
Un avantage clé est l'immuabilité immédiate. Dès que les données sont écrites, elles deviennent immuables, éliminant toute vulnérabilité associée aux retards d'immuabilité.
D'un point de vue performance et coût, lorsque le versioning est activé sur un bucket, il n'introduit aucun surcoût significatif. S3 est conçu par défaut pour gérer des milliards d'objets et des extensions de verrouillage, ce qui le rend idéal pour les charges de travail de sauvegarde gérées par Veeam.
Comment fonctionne l'Object Lock
Alors que le versioning empêche les écrasements, S3 Object Lock garantit que les versions d'objet individuelles ne peuvent pas être modifiées ou supprimées. Il fonctionne en deux modes :
- Mode de conformité (recommandé) : Une fois qu'un objet est verrouillé, il ne peut pas être modifié ou supprimé—même par des utilisateurs privilégiés. Ce mode s'aligne sur les principes de sécurité Zero Trust.
- Mode de gouvernance (non recommandé) : Permet aux utilisateurs privilégiés de modifier ou de supprimer des verrous d'objet. Bien que utile pour les fournisseurs de services gérant des données clients, cela introduit des vulnérabilités potentielles.
Bien que deux modes existent, Object First utilise exclusivement le Mode de conformité pour S3 Object Lock car le Mode de gouvernance contredit l'une de nos philosophies de sécurité fondamentales : « Supposer une violation, se préparer à la récupération. » Nous opérons sous l'hypothèse que les attaques par ransomware sont inévitables—pas hypothétiques.
Pour protéger véritablement les données, nous supposons que les identifiants peuvent être compromis et que tous les secrets sont exposés. C'est le seul moyen de garantir qu'aucun utilisateur unique ne devrait être en mesure d'effectuer des actions destructrices.
Répondre aux exigences de conformité avec des données immuables et chiffrées
L'Object Lock aide les entreprises à répondre aux exigences de conformité réglementaire. Par exemple, la mise à jour 2025 de la HIPAA impose un chiffrement de bout en bout et une immuabilité vérifiable pour les informations de santé protégées. Le chiffrement de bout en bout avec des clés tournantes garantit que les données restent illisibles pour les utilisateurs non autorisés ; cela peut ensuite être attribué à Veeam pour effectuer, contrôler et suivre. L'Object Lock garantit que les données elles-mêmes ne peuvent pas être modifiées ou supprimées une fois écrites—même par des comptes privilégiés. Lorsqu'ils travaillent ensemble, le chiffrement sécurise les données en transit et au repos, tandis que l'Object Lock préserve son intégrité dans le temps.
Object First's Ootbi (Out-of-the-Box Immutability) prend en charge le chiffrement de bout en bout et fournit une immuabilité vérifiable, satisfaisant aux exigences HIPAA de 2025. Cela est validé par des évaluations indépendantes telles que les résultats publiés par Cohasset Associate de Object First.
Comment le versioning + l'Object Lock fonctionnent ensemble pour atteindre l'immuabilité
Utilisés ensemble, le versioning et l'Object Lock créent un environnement sécurisé et stockage immuable. Cette combinaison protège les données à la fois des menaces accidentelles et intentionnelles.
Dans une configuration intégrée à Veeam, les données de sauvegarde écrites dans un bucket S3 avec le versioning et l'Object Lock activés sont verrouillées pendant l'opération d'écriture. Veeam suit les numéros de version spécifiques attribués par l'ensemble de stockage, garantissant que seules les versions correctes sont accessibles ou restaurées. Cette intégration étroite simplifie les flux de travail de récupération et renforce l'intégrité des données.
L'approche de Object First en matière de protection des données S3
Object First est spécialement conçu pour les charges de travail Veeam. Notre architecture exploite les fonctionnalités de versioning et d'Object Lock de S3 pour offrir une immuabilité immédiate, un suivi automatique des versions et un stockage d'objets évolutif. Nous prenons également en charge l'API SOS de Veeam, permettant une intégration transparente et des performances optimisées.
Contrairement à d'autres fournisseurs qui ajoutent l'immuabilité comme une réflexion après coup, Object First l'intègre au cœur de notre solution. Nous comprenons comment Veeam gère les données de sauvegarde, et nous avons conçu notre solution pour Veeam afin de garantir que vos données sont protégées dès le premier jour.
Où d'autres fournisseurs échouent—et comment Object First réussit
De nombreux fournisseurs considèrent l'immuabilité comme une fonctionnalité secondaire, l'ajoutant après que les données initiales ont été écrites par des processus retardés ou une configuration manuelle. Cette approche introduit une fenêtre de vulnérabilité où les données de sauvegarde peuvent être modifiées ou supprimées avant que les protections ne soient en place. Ces solutions s'appuient souvent sur des mécanismes de sécurité propriétaires et opaques, des normes de chiffrement incohérentes et une configuration manuelle, rendant leur audit difficile et leur configuration susceptible d'erreurs.
Object First adopte une approche fondamentalement différente. En tirant parti des fonctionnalités de versioning et d'Object Lock d'Amazon S3, nous mettons en œuvre l'immuabilité dès que les données sont écrites—sans retards, sans étapes manuelles, et sans dépendance à la confiance des utilisateurs privilégiés. Notre architecture garantit que les données sont immédiatement protégées et définitivement immuables, s'alignant sur les principes de zéro confiance et offrant une véritable immuabilité prête à l'emploi.
