Bloqueio de objetos do S3: o que é e como pode proteger contra ransomware
O bloqueio de objetos do S3 é um recurso do produto AWS S3 que controla quem pode fazer alterações significativas em dados. Saiba como ele protege dados.
A taxa de ataques de ransomware está aumentando rapidamente (mais de 400% em 2020) e o custo desses ataques é significativo. Muitas empresas estão preocupadas em mitigar as ameaças de ransomware, e com razão.
Uma medida simples que muitas empresas podem tomar para se proteger contra ransomware é implementar o bloqueio de objetos do S3 em seu armazenamento de objetos AWS S3.
A seguir, vamos mostrar:
O bloqueio de objetos do S3 é um recurso no Amazon S3 que permite aos usuários e empresas armazenar arquivos de uma forma altamente segura e à prova de adulteração. Ele é usado para situações nas quais as empresas precisam comprovar que seus dados não foram modificados ou destruídos depois de serem gravados e é baseado em um modelo conhecido como gravar uma vez, ler muitas (WORM).
Muitas empresas usam no bloqueio de objetos do S3 e WORM quando precisam demonstrar conformidade ou se quiserem uma cópia permanente inalterável de dados para auditoria ou retenção de registro.
Então, como funciona o bloqueio de objetos do S3? Primeiro, esteja ciente que faz parte da abordagem de armazenamento de objetos armazenar grandes volumes de dados não estruturados, onde o conteúdo é organizado em buckets de tamanhos variados, mas não limitados a sistemas de armazenamento de hierarquia de arquivos ou armazenamento de blocos de tamanho fixo. Ele não é aplicável a esses outros métodos.
Os detalhes específicos de como o bloqueio de objetos do S3 opera são complexos e multifacetados. Vamos separar o processo nas seções abaixo.
O armazenamento de objetos é menos conhecido do que os sistemas de armazenamento de hierarquia de objetos (que todos nós usamos em nossas máquinas pessoais) e o armazenamento de blocos (que já é um padrão de armazenamento corporativo há algum tempo). Por isso, vale a pena analisar a funcionalidade do bloqueio de objetos do S3 de um nível mais geral antes de se aprofundar.
A funcionalidade do bloqueio de objetos do S3 diz respeito a manter objetos sem adulteração, seja por um período determinado (retenção) ou indefinidamente até você remover o bloqueio (custódia legal). No armazenamento de objetos, os dados são organizados em buckets com metadados compartilhados, de modo que a forma mais simples de implementar o bloqueio de objetos é no nível do bucket. Em ambientes S3 com bloqueio de objetos, os usuários podem criar buckets com bloqueio de objetos para o bucket inteiro.
Os usuário podem, então, definir configurações de retenção para o bucket. Por exemplo, uma empresa de serviços financeiros pode definir uma retenção de sete anos, baseado em acordos com clientes ou requisitos de auditoria. Uma vez que o bloqueio de objetos seja estabelecido, os dados não poderão ser excluídos, regravados ou adulterados por sete anos. Depois que a retenção expirar, os dados poderão ser excluídos ou sobrescritos.
Em algumas situações, os usuários corporativos não quer uma data de vencimento aplicada a determinados objetos. Definir um período de retenção indefinido, ou custódia legal, impede um objeto de ser excluído ou sobrescrito indefinidamente, até que o cliente remova a custódia explicitamente.
Embora aplicar configurações de retenção a um bucket inteiro seja a aplicação mais direta, não é o método ideal em vários cenários. O bloqueio de objetos do Amazon S3 oferece aos usuário a capacidade de definir e aplicar configurações de retenção no nível de objeto e no nível do bucket. Aquela mesma empresa de serviços financeiros poderia definir uma retenção de cinco anos para alguns registros, sete anos para outros e indefinida para outros, mantendo todos esses registros em um único bucket.
No momento, as configurações de retenção no nível do objeto são exclusivas a ambientes do Amazon S3s.
O bloqueio de objetos do S3 inclui dois níveis de proteção que podem ser escolhidos como parte do período de retenção ou processo de custódia legal. Todo objeto e bucket com bloqueio de objetos ativado inclui a opção de modo de governança ou de conformidade.
Modo de governança
| Modo de conformidade
|
As configurações de retenção podem ser definidas das seguintes formas para os dois modos:
Usar bloqueio de objetos do S3 é, sem dúvida, uma boa ideia para a maioria das empresas. Veja por quê:
Recomendado por especialistas: a maioria dos profissionais de segurança de dados recomenda o bloqueio de objetos do S3 como medida de proteção para dados cruciais.
O bloqueio de objetos é uma excelente defesa contra ataques de ransomware. Considere estas seis maneiras nas quais o bloqueio de objetos protege sua empresa contra essa ameaça.
Já está lidando com as consequências de um ataque de ransomware? Saiba mais sobre a recuperação em nuvem.
O bloqueio de objetos do S3 é uma implementação específica da AWS, mas é compatível com serviços de armazenamento adicionais, incluindo o armazenamento de objetos como serviço Seagate Lyve Cloud. Ao diversificar seus dados em várias plataformas, você terá proteção extra em cenários de recuperação de desastres e ransomware.
Como os dados em bloqueio de objetos não podem ser alterados, os agentes de ameaça não podem ameaçar de modificar ou destruir os dados. Mesmo se obter acesso, o dano que eles podem causar se limita a acessar e, possivelmente, disseminar informações.
O modelo WORM é o motivo subjacente de por que os dados protegidos por bloqueio de objetos não podem ser ser editados, regravados, excluídos ou danificados. WORM é uma funcionalidade de fitas LTO e é semelhante ao antigo conceito de air-gap, no qual fitas de backup físicas eram removidas do local para que não pudessem ser acessadas ou corrompidas.
Basicamente, o WORM leva esse conceito para o digital. Não importa a gravidade de um ataque, as empresas podem recuperar os dados armazenados no modelo WORM e iniciá-los novamente.
Ameaças internas, intencionais ou acidentais, são outra fonte de preocupação para muitas empresas. Seja o usuário não autorizado da sua organização ou uma ameaça externa, adulterar dados simplesmente não é possível sem permissões especiais (em modo de governança) ou de forma alguma (em modo de conformidade).
O bloqueio de objetos do S3 torna backups em fita LTO e air-gap irrelevantes ao distribuir dados imutáveis na nuvem. O armazenamento de dados e recuperação acontecem pela nuvem, eliminando a necessidade de implementar soluções caras de fita.
O bloqueio de objetos do S3 não substitui o plano de recuperação de desastres da sua empresa, mas adiciona uma camada extra de proteção a ele. Com outro nível de armazenamento de objetos inalteráveis, você tem outro local para se voltar para executar seu plano de recuperação de desastres.
Quer saber mais sobre o armazenamento corporativo em nuvem? Confira nosso guia sobre desafios de backup.