S3 Object Lock pour la protection contre les

Les attaques par ransomware ne montrent aucun signe d'atténuation. Au contraire, elles s'aggravent. Selon Black Kite, l'incidence des ransomwares a presque doublé au début de 2023 par rapport à l'année dernière.

Avec l'intégrité de leurs entreprises en jeu, les entrepreneurs prudents doivent prendre toutes les mesures nécessaires pour résister aux ransomwares. Par exemple, ils pourraient envisager d'utiliser S3 Object Lock, qui empêche la manipulation des données dans le [[stockage d'objets]] compatible S3.

Bien qu'Amazon ait lancé le stockage S3 il y a 17 ans en tant que technologie basée sur le cloud, aujourd'hui, de nombreux fournisseurs – y compris Object First – proposent un stockage d'objets compatible S3 entièrement sur site, grâce à l'API S3.

Le [[stockage d'objets]] compatible S3 conserve les données sous forme d'objets dans des conteneurs virtuels appelés buckets. S3 Object Lock complète le [[stockage d'objets]] et s'avère inestimable pour quiconque souhaite le rendre plus sécurisé.

Qu'est-ce que S3 Object Lock

S3 Object Lock est une fonctionnalité du stockage d'objets compatible S3. Cela rend les données stockées dans celui-ci intouchables. Modifier ou effacer des objets sécurisés par le verrou est impossible. En conséquence, toutes les tentatives de cryptage échouent – tandis que les données restent accessibles aux personnes de confiance.

Avec S3 Object Lock, vous pouvez stocker des objets en utilisant un modèle de write-once-read-many (WORM). Le modèle WORM interdit les modifications mais permet un accès authentifié. Tant que le verrou est en place, les données restent immuables mais peuvent être lues par le personnel autorisé.

Préserver l'état des objets dans les buckets S3 s'appelle la conservation des objets. Cela se fait de deux manières : en définissant une période de conservation ou en plaçant une rétention légale. Dans le premier cas, le verrou expire automatiquement après un certain temps. Dans l'autre, il doit être désactivé manuellement.

Raisons d'utiliser S3 Object Lock pour la protection contre les ransomwares

Une attaque par ransomware se compose de deux étapes : obtenir un accès illégal aux données d'une autre partie et les crypter. S3 Object Lock neutralise la deuxième étape. Même si un acteur malveillant accède à un bucket S3, le verrou rendra tous ses efforts de cryptage inefficaces.

Les tentatives de ransomware sur des données protégées par S3 Object Lock échouent en raison des caractéristiques inégalées que S3 Object Lock offre en matière de sécurité des données. Ces caractéristiques incluent :

• Stockage WORM — Le modèle write-once-read-many signifie que personne ne peut écraser accidentellement ou intentionnellement les données verrouillées.
• Disponibilité — Les personnes ayant les bonnes autorisations peuvent toujours accéder et lire les données.
• Protection contre les menaces externes et internes — Même le personnel autorisé à lire les données ne peut pas les modifier.
• Protection contre les ransomwares — La protection en écriture dans S3 Object Lock rend le cryptage – la pierre angulaire des ransomwares – impossible.
• Intégrité — Avec S3 Object Lock, les organisations peuvent être assurées que leurs données sont à l'abri des manipulations, précises et complètes.
• Sauvegardes immuables — S3 Object Lock renforce les sauvegardes [[stockage d'objets]] en les rendant inchangeables.
• Remplacement des bandes LTO hors site et des espaces aériens physiques — S3 Object Lock rend les bandes LTO et les espaces aériens physiques redondants car il les remplace par l'immuabilité et des espaces aériens logiques.
• Preuve de conformité — S3 Object Lock peut être une preuve légalement contraignante de conformité.

Les organisations peuvent également avoir besoin d'appliquer des verrous S3 Object Lock en raison d'exigences légales. Cela est particulièrement vrai pour les secteurs fortement réglementés comme la finance ou la santé. En cas d'audit, S3 Object Lock fournit la preuve que les dossiers examinés sont intacts.

S3 Object Lock offre deux façons de gérer la conservation. Les périodes de conservation se prêtent bien à la protection des données contre les manipulations, tandis que les rétentions légales s'alignent parfaitement sur les réglementations.

Périodes de conservation de S3 Object Lock

Une période de conservation spécifie la durée pendant laquelle un objet stocké reste protégé en écriture. Il existe deux façons de définir la durée de chaque bucket activé pour le verrouillage d'objets.

Une façon consiste à définir une période de conservation par défaut lors de la création d'un nouveau bucket activé pour le verrouillage d'objets. La période s'appliquera alors à chaque objet situé dans ce bucket.

Alternativement, si un bucket n'a pas de période de conservation par défaut, chaque objet destiné à la protection doit contenir la date d'expiration préférée dans une variable appelée Date de conservation jusqu'à.

Il y a une mise en garde à retenir concernant les périodes de conservation. Bien qu'elles se terminent toutes éventuellement, les verrous d'objets n'expirent pas toujours avec elles. Cela est dû au fait que les périodes de conservation peuvent fonctionner en parallèle avec des rétentions légales, et l'une peut durer plus longtemps que l'autre.

Rétentions légales de S3 Object Lock

Une rétention légale est une méthode de conservation alternative dans le verrouillage d'objets. Contrairement à une période de conservation, elle n'a pas de date d'expiration. Au lieu de cela, toute personne ayant la permission s3:PutObjectLegalHold peut instituer et révoquer des rétentions légales à tout moment.

Les rétentions légales et les périodes de conservation sont indépendantes l'une de l'autre et peuvent toutes deux agir sur le même objet simultanément. Si la période de conservation se termine en premier, la rétention légale continue de fonctionner jusqu'à ce qu'elle soit supprimée, et vice versa.

Modes de conservation de S3 Object Lock

Pour chaque période de conservation, les utilisateurs de S3 Object Lock doivent choisir entre deux modes de conservation : gouvernance et conformité.

Mode de gouvernance

Le mode de gouvernance est moins rigide mais plus flexible. Il verrouille les objets de tout le monde sauf ceux ayant la permission s3:BypassGovernanceRetention. Ils peuvent modifier et supprimer librement les objets protégés et changer leurs paramètres de conservation.

Pourquoi utiliser le mode de gouvernance ? Par exemple, pour expérimenter avec les fonctionnalités de verrouillage d'objets sans courir le risque de geler irréversiblement vos données.

Mode de conformité

Le mode de conformité est moins indulgent mais plus sécurisé que son homologue. Sous ce mode, personne ne peut modifier les paramètres de verrouillage d'objets, pas même l'utilisateur root. La seule façon de changer quoi que ce soit est d'attendre la fin de la période de conservation.

Le mode de conformité offre une assurance sans compromis mais aucune possibilité de revenir en arrière. La capacité de point de non-retour le rend particulièrement adapté pour montrer la conformité et respecter les réglementations légales, mais c'est aussi le seul mode qui est 100 % à l'abri des manipulations.

Ootbi – stockage [[immuable]] compatible S3 sur site

Prenez S3 Object Lock avec immuabilité et résilience aux ransomwares. Ajoutez une configuration rapide, simplicité et abordabilité. Mélangez le tout, et vous obtiendrez Ootbi – une solution de stockage de sauvegarde physique d'Object First.

Ootbi est une boîte de sauvegarde de stockage d'objets que vous pouvez empiler, ranger et alimenter en 15 minutes. Elle est livrée prête pour S3, optimisée pour Veeam, sur site par conception, et avec des options de capacité flexibles : 64, 128 ou 192 To par appareil. Ces appareils peuvent être combinés en clusters de maximum 4 nœuds chacun, évoluant jusqu'à 768 To de stockage de sauvegarde par cluster.

Équipé de Lockdown OS et d'une interface HTTPS dédiée, Ootbi est sécurisé, simple, puissant, abordable et efficace. Procurez-vous-en un aujourd'hui, mettez les gangs de ransomwares hors d'état de nuire, et gagnez la tranquillité d'esprit que vous méritez.

FAQ

Qu'est-ce que S3 Object Lock ?

S3 Object Lock est une fonctionnalité dans le [[stockage d'objets]] qui empêche l'écrasement des données qu'il contient. En conséquence, les données deviennent à l'abri des ransomwares. Le verrou dispose d'un ensemble d'options pour affiner la protection et l'autorisation.

Pourquoi devrais-je utiliser S3 Object Lock ?

Pour la protection contre les menaces

Même le stockage isolé se connecte parfois à un réseau et devient exposé à des menaces extérieures. Les organisations devraient utiliser une couche de protection supplémentaire pour rester en sécurité. S3 Object Lock ajoute l'immuabilité au stockage hors ligne, offrant une assurance contre les cyberattaques telles que les ransomwares.

Pour la conformité réglementaire

S3 Object Lock permet de se conformer aux réglementations légales telles que SEC 17a-4, CFTC, FINRA et d'autres lois qui imposent des normes strictes de conservation des données.

Quel stockage puis-je utiliser avec S3 Object Lock ?

S3 Object Lock fonctionne avec le [[stockage d'objets]]. Ce type de stockage se prête bien à la conservation de grandes quantités de données non structurées. Pour cette raison, il est souvent utilisé et recommandé pour les sauvegardes.

Puis-je utiliser S3 Object Lock sur site ?

Le stockage S3 Object a initialement émergé en tant que technologie axée sur le cloud mais a depuis été adapté pour des architectures hors ligne grâce à l'API S3. Vous pouvez bénéficier des avantages de S3 Object Lock sur site en obtenant un stockage compatible S3, tel qu'Ootbi d'Object First.

Qu'est-ce que le stockage compatible S3 ?

Le stockage compatible S3 apporte les avantages de S3 Object Lock aux environnements sur site et cloud privé. Il stocke les données dans des conteneurs virtuels appelés buckets. Un exemple de stockage compatible S3 est Ootbi d'Object First.

Comment fonctionne S3 Object Lock ?

Vous pouvez activer S3 Object Lock pour tout bucket versionné lors de sa création. Une fois que vous le faites, choisissez entre deux options pour protéger en écriture les objets dans le bucket : une période de conservation et une rétention légale.

Quelle est la différence entre une période de conservation et une rétention légale dans S3 Object Lock ?

Une période de conservation définit un temps spécifique pendant lequel un objet est protégé en écriture. Une rétention légale s'applique pour la protection indéfiniment jusqu'à ce qu'une personne autorisée lève celle-ci. Ce qui est important, c'est que les périodes de conservation et les rétentions légales ne sont pas mutuellement exclusives et peuvent fonctionner en parallèle.

Comment configurer une période de conservation dans S3 Object Lock ?

Vous pouvez configurer une période de conservation par défaut lors de la création d'un bucket versionné. Le défaut s'appliquera automatiquement à chaque objet dans le bucket. Sans défaut, vous devez attribuer des périodes de conservation séparément pour chaque objet. Les périodes de conservation individuelles remplaceront le défaut s'il est présent.

Comment configurer une rétention légale dans S3 Object Lock ?

Un utilisateur autorisé peut activer et désactiver une rétention légale sur un objet. Pour spécifier l'utilisateur, accordez-lui la permission s3:PutObjectLegalHold.

Quelle est la différence entre la gouvernance et la conformité dans S3 Object Lock ?

Chaque période de conservation doit avoir l'un des deux modes : gouvernance ou conformité.

Le mode de gouvernance donne aux utilisateurs sélectionnés le droit de modifier les paramètres de S3 Object Lock et de modifier les données qu'il protège. Pour accorder ce droit, attribuez la permission s3:BypassGovernanceRetention.

Le mode de conformité empêche toute modification, quelle que soit la permission. Une fois la période de conservation définie en mode de conformité, il n'y a pas moyen de revenir en arrière. C'est l'option la plus sûre mais aussi la moins indulgente.