Zero Gravity: Chris Childerhose fala sobre tecnologia com o Ootbi VSA | Participe >>
Como comprarSolicite uma demonstração

S3 Object Lock para Proteção contra R

Hubert BrychczynskiHB

Os ataques de ransomware não mostram sinais de diminuição. Se algo, estão piorando. De acordo com a Black Kite, a incidência de ransomware quase dobrou no início de 2023 em comparação com o ano passado.

Com a integridade de seus negócios em jogo, empreendedores prudentes devem tomar todas as ações para resistir ao ransomware. Por exemplo, eles podem considerar o uso do S3 Object Lock, que impede a manipulação de dados em armazenamento de objetos compatível com S3.

Embora a Amazon tenha lançado o armazenamento S3 há 17 anos como uma tecnologia baseada em nuvem, hoje, muitos fornecedores – incluindo a Object First – oferecem armazenamento de objetos compatível com S3 totalmente no local, graças à API S3.

O armazenamento de objetos compatível com S3 armazena dados como objetos em contêineres virtuais chamados buckets. O S3 Object Lock complementa armazenamento de objetos e se mostra inestimável para quem deseja torná-lo mais seguro.

O que é S3 Object Lock

O S3 Object Lock é um recurso em armazenamento de objetos compatível com S3. Isso torna os dados armazenados nele intocáveis. Alterar ou apagar objetos protegidos pelo bloqueio é impossível. Como resultado, todas as tentativas de criptografia falham – enquanto os dados permanecem acessíveis a indivíduos confiáveis.

Com o S3 Object Lock, você pode armazenar objetos usando um modelo de write-once-read-many (WORM). O modelo WORM proíbe modificações, mas permite acesso autenticado. Enquanto o bloqueio estiver em vigor, os dados permanecem imutáveis, mas podem ser lidos por pessoal autorizado.

Preservar o estado dos objetos em buckets S3 é chamado de retenção de objetos. Isso é alcançado de duas maneiras: definindo um período de retenção ou colocando uma retenção legal. No primeiro caso, o bloqueio expira automaticamente após um tempo definido. No outro, deve ser desativado manualmente.

Razões para usar o S3 Object Lock para proteção contra ransomware

Um ataque de ransomware consiste em duas etapas — obter acesso ilegal aos dados de outra parte e criptografá-los. O S3 Object Lock neutraliza a segunda etapa. Mesmo que um ator de ameaça consiga acessar um bucket S3, o bloqueio tornará todos os seus esforços de criptografia ineficazes.

As tentativas de ransomware em dados protegidos pelo S3 Object Lock falham devido às características incomparáveis que o S3 Object Lock oferece em relação à segurança dos dados. Essas características incluem:

  • Armazenamento WORM — O modelo write-once-read-many significa que ninguém pode sobrescrever os dados bloqueados acidentalmente ou intencionalmente.
  • Disponibilidade — Pessoas com as permissões corretas ainda podem acessar e ler os dados.
  • Proteção contra ameaças externas e internas — Mesmo a equipe autorizada a ler os dados não pode modificá-los.
  • Proteção contra ransomware — A proteção contra gravação no S3 Object Lock torna a criptografia — a pedra angular do ransomware — impossível.
  • Integridade — Com o S3 Object Lock, as organizações podem ter certeza de que seus dados são à prova de adulteração, precisos e completos.
  • Backups imutáveis — O S3 Object Lock fortalece armazenamento de objetos backups tornando-os imutáveis.
  • Substituto para fitas LTO off-site e lacunas físicas — O S3 Object Lock torna fitas LTO e lacunas físicas redundantes porque as substitui por imutabilidade e lacunas lógicas.
  • Prova de conformidade — O S3 Object Lock pode ser uma prova legalmente vinculativa de conformidade.

As organizações também podem precisar aplicar S3 Object Locks devido a requisitos legais. Isso é especialmente verdadeiro para indústrias altamente regulamentadas, como finanças ou saúde. Em caso de auditoria, o S3 Object Lock fornece prova de que os registros sob escrutínio estão intactos.

O S3 Object Lock oferece duas maneiras de gerenciar a retenção. Períodos de retenção se prestam bem à proteção contra adulteração dos dados, enquanto retenções legais se alinham perfeitamente com as regulamentações.

Períodos de Retenção do S3 Object Lock

Um período de retenção especifica a duração pela qual um objeto armazenado permanece protegido contra gravação. Existem duas maneiras de definir a duração de cada bucket habilitado para bloqueio de objetos.

Uma maneira é definir um período de retenção padrão ao criar um novo bucket habilitado para bloqueio de objetos. O período se aplicará a cada objeto localizado nesse bucket.

Alternativamente, se um bucket não tiver um período de retenção padrão, cada objeto destinado à proteção deve ter a data de expiração preferida em uma variável chamada Data de Retenção Até.

Há uma ressalva a ser lembrada sobre os períodos de retenção. Embora todos eles terminem eventualmente, os bloqueios de objetos nem sempre expiram com eles. Isso ocorre porque os períodos de retenção podem ocorrer em paralelo com retenções legais, e um pode durar mais que o outro.

Retenções Legais do S3 Object Lock

Uma retenção legal é um método alternativo de retenção no bloqueio de objetos. Ao contrário de um período de retenção, não tem uma data de expiração. Em vez disso, qualquer pessoa com a permissão s3:PutObjectLegalHold pode instituir e revogar retenções legais a qualquer momento.

As retenções legais e os períodos de retenção são independentes entre si e podem atuar simultaneamente no mesmo objeto. Se o período de retenção terminar primeiro, a retenção legal continuará funcionando até ser removida, e vice-versa.

Modos de Retenção do S3 Object Lock

Para cada período de retenção, os usuários do S3 Object Lock devem escolher entre dois modos de retenção: governança e conformidade.

Modo de Governança

O modo de governança é menos rigoroso, mas mais flexível. Ele bloqueia objetos de todos, exceto aqueles com a permissão s3:BypassGovernanceRetention. Eles podem modificar e excluir objetos protegidos livremente e alterar suas configurações de retenção.

Por que usar o modo de governança? Por exemplo, para experimentar os recursos de bloqueio de objetos sem correr o risco de congelar irreversivelmente seus dados.

Modo de Conformidade

O modo de conformidade é menos indulgente, mas mais seguro que seu contraparte. Sob este modo, ninguém pode modificar as configurações de bloqueio de objetos, nem mesmo o usuário root. A única maneira de alterar qualquer coisa é esperar até o final do período de retenção.

O modo de conformidade oferece garantia inabalável, mas sem possibilidade de retorno. A capacidade de ponto sem retorno torna-o especialmente adequado para demonstrar conformidade e aderir a regulamentações legais, mas também é o único modo que é 100% à prova de adulteração.

Ootbi – S3-compatível, no local armazenamento imutável

Leve o S3 Object Lock com imutabilidade e resistência ao ransomware. Adicione configuração rápida, simplicidade e acessibilidade. Misture tudo isso e você terá Ootbi – uma solução de armazenamento de backup físico da Object First.

Ootbi é uma caixa de backup armazenamento de objetos que você pode montar, empilhar e energizar em 15 minutos. Ele é enviado pronto para S3, otimizado para Veeam, projetado para uso no local e com opções de capacidade flexíveis: 64, 128 ou 192 TB por aparelho. Esses aparelhos podem ser combinados em clusters de no máximo 4 nós cada, escalando até 768TB de armazenamento de backup por cluster.

Equipado com Lockdown OS e uma interface HTTPS dedicada, o Ootbi é seguro, simples, poderoso, acessível e eficiente. Adquira um hoje, coloque as gangues de ransomware fora dos negócios e ganhe a tranquilidade que você merece.

FAQ

O que é S3 Object Lock?

O S3 Object Lock é um recurso em armazenamento de objetos que impede a sobrescrição dos dados nele. Como resultado, os dados se tornam à prova de ransomware. O bloqueio possui um conjunto de opções para ajustar a proteção e a autorização.

Por que devo usar o S3 Object Lock?

Para proteção contra ameaças

Mesmo o armazenamento com lacuna física ocasionalmente se conecta a uma rede e se torna exposto a ameaças externas. As organizações devem usar uma camada extra de proteção para se manterem seguras. O S3 Object Lock adiciona imutabilidade ao armazenamento offline, proporcionando segurança contra ciberataques, como ransomware.

Para conformidade regulatória

O S3 Object Lock permite a conformidade com regulamentações legais, como SEC 17a-4, CFTC, FINRA e outras leis que impõem padrões rigorosos de retenção de dados.

Que armazenamento posso usar com o S3 Object Lock?

O S3 Object Lock funciona com armazenamento de objetos. Esse tipo de armazenamento se presta bem para armazenar grandes quantidades de dados não estruturados. Por essa razão, é frequentemente usado e recomendado para backups.

Posso usar o S3 Object Lock no local?

O armazenamento S3 Object originalmente surgiu como uma tecnologia voltada para a nuvem, mas desde então foi adaptado para arquiteturas offline graças à API S3. Você pode obter as vantagens do S3 Object Lock no local adquirindo armazenamento compatível com S3, como o Ootbi da Object First.

O que é armazenamento compatível com S3?

O armazenamento compatível com S3 traz os benefícios do S3 Object Lock para ambientes locais e de nuvem privada. Ele armazena dados em contêineres virtuais chamados buckets. Um exemplo de armazenamento compatível com S3 é o Ootbi da Object First.

Como funciona o S3 Object Lock?

Você pode habilitar o S3 Object Lock para qualquer bucket versionado na criação. Uma vez feito isso, escolha entre duas opções para proteger contra gravação os objetos no bucket: um período de retenção e uma retenção legal.

Qual é a diferença entre um período de retenção e uma retenção legal no S3 Object Lock?

Um período de retenção define um tempo específico em que um objeto está protegido contra gravação. Uma retenção legal se aplica à proteção indefinidamente até que uma pessoa autorizada a levante. O que é importante é que os períodos de retenção e as retenções legais não são mutuamente exclusivos e podem ocorrer em paralelo.

Como configurar um período de retenção no S3 Object Lock?

Você pode configurar um período de retenção padrão ao criar um bucket versionado. O padrão se aplicará automaticamente a cada objeto no bucket. Sem um padrão, você deve atribuir períodos de retenção separadamente para cada objeto. Períodos de retenção individuais substituirão o padrão se ele estiver presente.

Como configurar uma retenção legal no S3 Object Lock?

Um usuário autorizado pode ativar e desativar uma retenção legal em um objeto. Para especificar o usuário, conceda a ele a permissão s3:PutObjectLegalHold.

Qual é a diferença entre governança e conformidade no S3 Object Lock?

Todo período de retenção deve ter um dos dois modos — governança ou conformidade.

O modo de governança dá a usuários selecionados o direito de alterar as configurações do S3 Object Lock e modificar os dados que ele protege. Para conceder o direito, atribua a permissão s3:BypassGovernanceRetention.

O modo de conformidade impede quaisquer modificações, independentemente das permissões. Uma vez que o período de retenção é definido no modo de conformidade, não há como contorná-lo. É a opção mais segura, mas também a menos indulgente.

Notícias do produto

Ao enviar este formulário, confirmo que li e concordo com o Política de Privacidade