S3 Object Lock pour la protection contre les
Les attaques par ransomware ne montrent aucun signe d'atténuation. Au contraire, elles s'aggravent. Selon Black Kite, l'incidence des ransomwares a presque doublé au début de 2023 par rapport à l'année dernière.
Avec l'intégrité de leurs entreprises en jeu, les entrepreneurs prudents doivent prendre toutes les mesures nécessaires pour résister aux ransomwares. Par exemple, ils pourraient envisager d'utiliser S3 Object Lock, qui empêche la manipulation des données dans stockage d'objets.
Bien qu'Amazon ait lancé le stockage S3 il y a 17 ans en tant que technologie basée sur le cloud, aujourd'hui, de nombreux fournisseurs – y compris Object First – proposent des stockage d'objets compatibles S3 entièrement sur site, grâce à l'API S3.
Les stockage d'objets compatibles S3 conservent les données sous forme d'objets dans des conteneurs virtuels appelés buckets. S3 Object Lock complète stockage d'objets et s'avère inestimable pour quiconque souhaite le rendre plus sécurisé.
Qu'est-ce que S3 Object Lock
S3 Object Lock est une fonctionnalité dans stockage d'objets qui rend les données stockées dans celui-ci intouchables. Modifier ou effacer des objets sécurisés par le verrou est impossible. En conséquence, toutes les tentatives de cryptage échouent – tandis que les données restent accessibles aux personnes de confiance.
Avec S3 Object Lock, vous pouvez stocker des objets en utilisant un modèle d'écriture-une-fois-lire-plusieurs-fois (WORM). Le modèle WORM interdit les modifications mais permet l'accès authentifié. Tant que le verrou est en place, les données restent immuables mais peuvent être lues par le personnel autorisé.
Préserver l'état des objets dans les buckets S3 est appelé conservation des objets. Cela se fait de deux manières : en définissant une période de conservation ou en plaçant une retenue légale. Dans le premier cas, le verrou expire automatiquement après un certain temps. Dans l'autre, il doit être désactivé manuellement.
Raisons d'utiliser S3 Object Lock pour la protection contre les ransomwares
Une attaque par ransomware se compose de deux étapes : obtenir un accès illégal aux données d'une autre partie et les crypter. S3 Object Lock neutralise la deuxième étape. Même si un acteur malveillant accède à un bucket S3, le verrou rendra tous leurs efforts de cryptage inefficaces.
Les tentatives de ransomware sur des données protégées par S3 Object Lock échouent en raison des caractéristiques inégalées que S3 Object Lock offre en matière de sécurité des données. Ces caractéristiques incluent :
- Stockage WORM — Le modèle d'écriture-une-fois-lire-plusieurs-fois signifie que personne ne peut écraser accidentellement ou intentionnellement les données verrouillées.
- Disponibilité — Les personnes ayant les bonnes autorisations peuvent toujours accéder et lire les données.
- Protection contre les menaces externes et internes — Même le personnel autorisé à lire les données ne peut pas les modifier.
- Protection contre les ransomwares — La protection par écriture dans S3 Object Lock rend le cryptage – la pierre angulaire des ransomwares – impossible.
- Intégrité — Avec S3 Object Lock, les organisations peuvent être assurées que leurs données sont à l'abri des manipulations, précises et complètes.
- Sauvegardes immuables — S3 Object Lock renforce les sauvegardes stockage d'objets en les rendant inchangeables.
- Remplacement des bandes LTO hors site et des espaces aériens physiques — S3 Object Lock rend les bandes LTO et les espaces aériens physiques redondants car il les remplace par l'immuabilité et des espaces aériens logiques.
- Preuve de conformité — S3 Object Lock peut être une preuve légalement contraignante de conformité.
Les organisations peuvent également avoir besoin d'appliquer des S3 Object Locks en raison d'exigences légales. Cela est particulièrement vrai pour les secteurs fortement réglementés comme la finance ou la santé. En cas d'audit, S3 Object Lock fournit la preuve que les dossiers examinés sont intacts.
S3 Object Lock offre deux façons de gérer la conservation. Les périodes de conservation se prêtent bien à la protection contre les manipulations des données, tandis que les retenues légales s'alignent parfaitement avec les réglementations.
Périodes de conservation de S3 Object Lock
Une période de conservation spécifie la durée pendant laquelle un objet stocké reste protégé contre l'écriture. Il existe deux façons de définir la durée de chaque bucket activé pour le verrouillage d'objets.
Une façon consiste à définir une période de conservation par défaut lors de la création d'un nouveau bucket activé pour le verrouillage d'objets. La période s'appliquera alors à chaque objet situé dans ce bucket.
Alternativement, si un bucket n'a pas de période de conservation par défaut, chaque objet destiné à la protection doit avoir la date d'expiration préférée dans une variable appelée Date de conservation jusqu'à.
Il y a une mise en garde à retenir concernant les périodes de conservation. Bien qu'elles se terminent toutes éventuellement, les verrous d'objets n'expirent pas toujours avec elles. Cela est dû au fait que les périodes de conservation peuvent fonctionner en parallèle avec des retenues légales, et l'une peut durer plus longtemps que l'autre.
Retenues légales de S3 Object Lock
Une retenue légale est une méthode de conservation alternative dans le verrouillage d'objets. Contrairement à une période de conservation, elle n'a pas de date d'expiration. Au lieu de cela, toute personne ayant la permission s3:PutObjectLegalHold peut instituer et révoquer des retenues légales à tout moment.
Les retenues légales et les périodes de conservation sont indépendantes l'une de l'autre et peuvent toutes deux agir sur le même objet simultanément. Si la période de conservation se termine en premier, la retenue légale continue de fonctionner jusqu'à ce qu'elle soit supprimée, et vice versa.
Modes de conservation de S3 Object Lock
Pour chaque période de conservation, les utilisateurs de S3 Object Lock doivent choisir entre deux modes de conservation : gouvernance et conformité.
Mode de gouvernance
Le mode de gouvernance est moins étanche mais plus flexible. Il verrouille les objets de tout le monde sauf ceux ayant la permission s3:BypassGovernanceRetention. Ils peuvent librement modifier et supprimer des objets protégés et changer leurs paramètres de conservation.
Pourquoi utiliser le mode de gouvernance ? Par exemple, pour expérimenter avec les fonctionnalités de verrouillage d'objets sans courir le risque de geler irréversiblement vos données.
Mode de conformité
Le mode de conformité est moins indulgent mais plus sécurisé que son homologue. Dans ce mode, personne ne peut modifier les paramètres de verrouillage d'objets, pas même l'utilisateur root. Le seul moyen de changer quoi que ce soit est d'attendre la fin de la période de conservation.
Le mode de conformité offre une assurance sans compromis mais aucun moyen de revenir en arrière. La capacité de point de non-retour le rend particulièrement adapté pour montrer la conformité et respecter les réglementations légales, mais c'est aussi le seul mode qui est 100 % à l'abri des manipulations.
Ootbi – S3-compatible, sur site stockage immuable
Prenez S3 Object Lock avec immuabilité et résilience aux ransomwares. Ajoutez une configuration rapide, simplicité et abordabilité. Mélangez le tout, et vous obtiendrez Ootbi – une solution de stockage de sauvegarde physique d'Object First.
Ootbi est une stockage d'objets boîte de sauvegarde que vous pouvez installer, empiler et alimenter en 15 minutes. Elle est livrée prête pour S3, optimisée pour Veeam, conçue pour être sur site, et avec des options de capacité flexibles : 64, 128 ou 192 To par appareil. Ces appareils peuvent être combinés en clusters de maximum 4 nœuds chacun, évoluant jusqu'à 768 To de stockage de sauvegarde par cluster.
Équipé de Lockdown OS et d'une interface HTTPS dédiée, Ootbi est sécurisé, simple, puissant, abordable et efficace. Procurez-vous-en un aujourd'hui, mettez les gangs de ransomwares hors d'état de nuire, et gagnez la tranquillité d'esprit que vous méritez.
FAQ
Qu'est-ce que S3 Object Lock ?
S3 Object Lock est une fonctionnalité dans stockage d'objets qui empêche l'écrasement des données qu'il contient. En conséquence, les données deviennent à l'abri des ransomwares. Le verrou dispose d'un ensemble d'options pour affiner la protection et l'autorisation.
Pourquoi devrais-je utiliser S3 Object Lock ?
Pour la protection contre les menaces
Même le stockage isolé se connecte parfois à un réseau et devient exposé à des menaces extérieures. Les organisations devraient utiliser une couche de protection supplémentaire pour rester en sécurité. S3 Object Lock ajoute l'immuabilité au stockage hors ligne, offrant une assurance contre les cyberattaques telles que les ransomwares.
Pour la conformité réglementaire
S3 Object Lock permet de se conformer aux réglementations légales telles que SEC 17a-4, CFTC, FINRA et d'autres lois qui imposent des normes strictes de conservation des données.
Quel stockage puis-je utiliser avec S3 Object Lock ?
S3 Object Lock fonctionne avec stockage d'objets. Ce type de stockage se prête bien à la conservation de grandes quantités de données non structurées. Pour cette raison, il est souvent utilisé et recommandé pour les sauvegardes.
Puis-je utiliser S3 Object Lock sur site ?
Le stockage S3 Object a initialement émergé en tant que technologie axée sur le cloud mais a depuis été adapté pour des architectures hors ligne grâce à l'API S3. Vous pouvez bénéficier des avantages de S3 Object Lock sur site en obtenant un stockage compatible S3, tel que Ootbi d'Object First.
Qu'est-ce que le stockage compatible S3 ?
Le stockage compatible S3 apporte les avantages de S3 Object Lock aux environnements sur site et cloud privé. Il stocke les données dans des conteneurs virtuels appelés buckets. Un exemple de stockage compatible S3 est Ootbi d'Object First.
Comment fonctionne S3 Object Lock ?
Vous pouvez activer S3 Object Lock pour tout bucket versionné lors de sa création. Une fois que vous l'avez fait, choisissez entre deux options pour protéger par écriture les objets dans le bucket : une période de conservation et une retenue légale.
Quelle est la différence entre une période de conservation et une retenue légale dans S3 Object Lock ?
Une période de conservation définit un temps spécifique pendant lequel un objet est protégé contre l'écriture. Une retenue légale s'applique pour la protection indéfiniment jusqu'à ce qu'une personne autorisée lève celle-ci. Ce qui est important, c'est que les périodes de conservation et les retenues légales ne sont pas mutuellement exclusives et peuvent fonctionner en parallèle.
Comment configurer une période de conservation dans S3 Object Lock ?
Vous pouvez configurer une période de conservation par défaut lors de la création d'un bucket versionné. La valeur par défaut s'appliquera automatiquement à chaque objet dans le bucket. Sans valeur par défaut, vous devez attribuer des périodes de conservation séparément pour chaque objet. Les périodes de conservation individuelles remplaceront la valeur par défaut si elle est présente.
Comment configurer une retenue légale dans S3 Object Lock ?
Un utilisateur autorisé peut activer et désactiver une retenue légale sur un objet. Pour spécifier l'utilisateur, accordez-lui la permission s3:PutObjectLegalHold.
Quelle est la différence entre la gouvernance et la conformité dans S3 Object Lock ?
Chaque période de conservation doit avoir l'un des deux modes — gouvernance ou conformité.
Le mode de gouvernance donne à certains utilisateurs le droit de modifier les paramètres de S3 Object Lock et de modifier les données qu'il protège. Pour accorder ce droit, attribuez la permission s3:BypassGovernanceRetention.
Le mode de conformité empêche toute modification, quelle que soit la permission. Une fois la période de conservation définie en mode conformité, il n'y a pas moyen de revenir en arrière. C'est l'option la plus sûre mais aussi la moins indulgente.