Protección de datos contra eventos de ransomware con inmutabilidad en el nivel de objeto para evitar que los objetos se eliminen y sobrescriban de forma accidental o malintencionada
Amazon S3 es el almacenamiento principal de confianza para millones de clientes de todo el mundo. Con una durabilidad de datos del 99,999999999 % (11 nueves), los clientes pueden almacenar y proteger los datos críticos para la empresa prácticamente para cualquier uso, incluidas las aplicaciones nativas en la nube, los resultados de análisis de lagos de datos y los archivos multimedia. Para cualquier tipo de datos, se recomienda disponer de una copia de seguridad y colocar protecciones para evitar eliminaciones accidentales o malintencionadas.
El bloqueo de objetos de S3 evita la eliminación de objetos permanente durante un periodo de retención definido por el cliente, para que pueda imponer políticas de retención, como un nivel adicional para la protección de datos o para fines de cumplimiento normativo. Con el bloqueo de objetos de S3, se habilita de forma automática el control de versiones de S3, y estas características funcionan de manera conjunta para evitar que las versiones de los objetos bloqueados se eliminen de forma permanente (accidental o intencionadamente) o se sobrescriban mediante un modelo de escritura única y lectura múltiple (WORM). Object Lock de S3 es el estándar del sector para la inmutabilidad del almacenamiento de objetos para la protección contra ransomware y se utiliza en soluciones de almacenamiento en la nube, copias de seguridad y protección de datos de socios de AWS Storage como Veeam, Veritas, Rubrik, Cohesity, Commvault y Clumio.
Beneficios
Protección de datos contra eventos de ransomware y cambios accidentales
La inmutabilidad de los datos es un aspecto fundamental para la planificación de la protección de datos. Impide que los usuarios realicen cambios o eliminaciones no deseadas. Esto ayuda a prevenir que los eventos de ransomware eliminen o alteren sus datos. El bloqueo de objetos de S3 evita que cualquier persona o proceso altere o elimine los datos, ya sea de forma involuntaria o debido a una actividad malintencionada.
Cumpla los requisitos normativos y de cumplimiento
Puede utilizar el bloqueo de objetos de S3 para ayudarle a cumplir con los requisitos reguladores que necesitan almacenamiento WORM o para agregar otra capa de protección contra el cambio o la eliminación de los objetos. Cohasset Associates ha evaluado el bloqueo de objetos de S3 para entornos sujetos a las normas SEC 17a-4, CFTC y FINRA. Puede utilizar el modo de cumplimiento, que no se puede anular, para ayudar a que sus datos cumplan con la supervisión de cumplimiento regulada. Para obtener más información sobre la relación entre el bloqueo de objetos y estas regulaciones, consulte la Evaluación de cumplimiento de Cohasset Associates.
Restaurar versiones de objetos
Puede utilizar la característica de control de versiones de S3 para conservar, recuperar y restablecer todas las versiones de todos los objetos almacenados en sus buckets. Con el control de versiones, puede recuperarse con mayor facilidad de acciones involuntarias de los usuarios y de los errores de las aplicaciones. El control de versiones de S3, que se activa automáticamente con el bloqueo de objetos de S3, proporciona resiliencia de datos con la posibilidad de volver a una versión anterior. Obtenga más información aquí.
¿Cómo funciona S3 Object Lock?
Puede usar S3 Object Lock en el nivel de bucket o de objeto, y se puede habilitar al crear un bucket nuevo o en buckets existentes. Para usar Object Lock de S3 con un bucket (u objetos dentro de un bucket), primero debe habilitar el control de versiones de S3 para el bucket. Los períodos de retención y las retenciones legales se aplican a las versiones de objetos individuales. Al bloquear una versión de objeto, Amazon S3 almacena la información de bloqueo en los metadatos de esa versión del objeto. Al imponer un período de retención o retención legal a un objeto, solo se protege la versión especificada en la solicitud. No impide que se creen nuevas versiones del objeto ni elimina los marcadores que se colocan encima de las versiones bloqueadas del objeto.
La protección del bloqueo de objetos de S3 se mantiene independientemente del tipo de almacenamiento en el que resida el objeto y durante las transiciones de ciclo de vida de S3 entre tipos de almacenamiento. Se usa en conjunto con el control de versiones de S3, que protege a los objetos de la sobrescritura, y así usted puede garantizar la inmutabilidad de los objetos durante el tiempo que se encuentre implementada la protección del bloqueo de objetos de S3. Puede migrar cargas de trabajo de los sistemas de WORM existentes a Amazon S3 y configurar el bloqueo de objetos de S3 en los niveles de objeto y bucket para impedir la eliminación de versiones de objeto antes de una fecha de retención legal o de finalización que se haya predefinido.
También puede habilitar la replicación de S3 en un bucket que tenga activado el bloqueo de objetos de S3 para replicar objetos junto con sus configuraciones de retención. Mientras se replican los objetos, si el bucket de origen tiene activado el bloqueo de objetos de S3, los buckets de destino también deben tener activado el bloqueo de objetos de S3.
Administración de la retención de objetos con el bloqueo de objetos de S3
El bloqueo de objetos de S3 brinda dos formas de administrar la retención de objetos: periodos de retención y retenciones legales. Con el bloqueo de objetos de S3 habilitado en un bucket, una versión de objeto puede tener tanto un periodo de retención como una retención legal, uno pero no el otro, o ninguno de los dos.
- Periodo de retención: especifica un periodo fijo durante el cual un objeto permanece bloqueado. Durante este periodo, el objeto tiene protección WORM y no se puede sobrescribir ni eliminar. Cuando asigna un periodo de retención a una versión de objeto, Amazon S3 almacena una marca de tiempo en los metadatos de la versión del objeto para mostrar cuándo vence el periodo de retención. Una vez transcurrido el periodo de retención, la versión del objeto se puede sobrescribir o eliminar, a menos que también haya impuesto una retención legal a la versión del objeto. Con una política de bucket, puede establecer períodos de retención mínimos y máximos permitidos para un bucket que le permita establecer un rango de períodos de retención permitidos. Para obtener más información, consulte períodos de retención.
- Retención legal: ofrece la misma protección que un período de retención, pero no tiene fecha de caducidad. En cambio, se mantiene una retención legal hasta que la elimine de forma explícita. Las retenciones legales son independientes de los períodos de retención. Para obtener más información, consulte retenciones legales.
Los períodos de retención y los modos de retención se configuran siempre en tándem, a diferencia de las retenciones legales, que se configuran de forma independiente. El bloqueo de objetos de S3 ofrece dos modos de retención que aplican diferentes niveles de protección a los objetos. Puede aplicar cualquier modo de retención a cualquier versión de objeto que esté protegida por el bloqueo de objetos.
- Modo de gobierno: en el modo de gobierno, los usuarios no pueden sobrescribir ni eliminar la versión de un objeto ni modificar su configuración de bloqueo a menos que tengan permisos especiales. Con el modo de gobierno, protege los objetos para que no los eliminen la mayoría de los usuarios, pero aun así puede conceder permiso a algunos usuarios para modificar la configuración de retención o eliminar el objeto si es necesario. También puede usar el modo de control para probar la configuración del período de retención antes de crear un período de retención en el modo de cumplimiento.
- Modo de cumplimiento: en el modo de cumplimiento, ningún usuario puede sobrescribir ni eliminar una versión de un objeto protegido, incluido el usuario raíz de su cuenta de AWS. Cuando un objeto está bloqueado en el modo de cumplimiento, no puede cambiar el modo de retención ni acortar el período de retención. El modo de cumplimiento ayuda a garantizar que la versión de un objeto no se pueda sobrescribir ni eliminar durante el periodo de retención. El bloqueo de objetos de S3 ha sido evaluado según la Regla 17a-4 (f) de la SEC, la Regla 4511 de FINRA y la Regulación 1.31 de la CFTC de Cohasset Associates.
Uso del bloqueo de objetos de S3 a escala con las operaciones por lotes de S3
Puede habilitar Object Lock de S3 en un bucket para todos los objetos nuevos con la configuración predeterminada de Object Lock de S3. En el caso de los objetos existentes, puede usar las operaciones por lote de S3 para aplicar la configuración de Object Lock de S3 a miles de millones de objetos a la vez especificando un bucket, un prefijo, un sufijo, una fecha de creación o una clase de almacenamiento completos. Como alternativa, puede especificar una lista de objetos de destino en su manifiesto y enviarla a Operaciones por lotes de S3 para su finalización.
Como todos los demás ajustes del bloqueo de objetos de S3, los períodos de retención se aplican a las versiones de objetos individuales. Las diferentes versiones de un mismo objeto pueden tener diferentes modos y períodos de retención.
Por ejemplo, supongamos que tiene un objeto que lleva 15 días en un período de retención de 30 días y sube un objeto nuevo a Amazon S3 con el mismo nombre y un período de retención de 60 días. En este caso, la carga se realiza correctamente y Amazon S3 crea una nueva versión del objeto con un período de retención de 60 días. La versión anterior mantiene su período de retención original y se puede eliminar en 15 días.
Una vez que haya aplicado los períodos de retención a las versiones de los objetos, puede ampliarlos. Para ello, envíe una nueva solicitud de Object Lock de S3 utilizando Operaciones por Lotes de S3 para la versión del objeto, con una fecha de Retener hasta que sea posterior a la configurada actualmente. Amazon S3 sustituye el período de retención existente por un nuevo período más largo. Más información.
Socios
Comience a utilizar S3 para la protección de datos
Para los datos almacenados en Amazon S3, lo primero que se recomienda es el control de versiones de Amazon S3, que le permite conservar, recuperar y restaurar todas las versiones de todos los objetos almacenados en un bucket de Amazon S3. A continuación, puede agregar el bloqueo de objetos de Amazon S3 para evitar que los datos se eliminen o sobrescriban durante un período de tiempo fijo o indefinidamente. Para crear copias adicionales de sus datos en otra región de AWS a fin de protegerlos en varias regiones, puede habilitar la replicación de Amazon S3 en un bucket con el bloqueo de objetos de S3 activado. A continuación, puede utilizar la replicación de S3 con el control de versiones de S3 y el bloqueo de objetos de S3 para copiar objetos de manera automática en distintas regiones de AWS y en cuentas de AWS independientes. Para utilizar el bloqueo de objetos de S3 con objetos existentes o para extender el período de bloqueo a los objetos existentes que están a punto de caducar, puede utilizar las operaciones por lotes de S3 y los informes de inventario de S3. Por último, puede reunir la visibilidad de sus niveles actuales de protección de datos y del uso de estas características en un único panel con la lente de almacenamiento de Amazon S3.
Para obtener más información sobre cómo puede proteger sus datos en Amazon S3, visite el tutorial de introducción sobre la protección de datos de S3.
Obtenga más información sobre el bloqueo de objetos de S3 en la guía del usuario.
Obtenga acceso instantáneo a la capa gratuita de AWS.
Comience a crear con Amazon S3 en la consola de administración de AWS.