Bloqueio de objetos do Amazon S3

Proteção de dados contra eventos de ransomware com imutabilidade em nível de objeto para proteger objetos de exclusões e substituições acidentais ou mal-intencionadas

Visão geral

O Amazon S3 é o armazenamento primário de confiança para milhões de clientes em todo o mundo. Com 99,999999999% (11 9s) de durabilidade de dados, os clientes podem armazenar e proteger dados essenciais aos negócios para praticamente qualquer caso de uso, incluindo aplicações nativas da nuvem, saída de análise de data lake e arquivos de mídia. Como acontece com qualquer dado, a melhor prática é ter um backup e implementar proteções contra a exclusão mal-intencionada ou acidental.

O bloqueio de objetos do S3 impede a exclusão permanente de objetos durante um período de retenção definido pelo cliente. Dessa forma, é possível estabelecer políticas de retenção como uma camada adicional de proteção de dados ou para conformidade regulatória. Com o bloqueio de objetos do S3, o versionamento do S3 é habilitado automaticamente e esses atributos trabalham juntos para evitar que as versões de objetos bloqueados sejam permanentemente excluídas (acidental ou intencionalmente) ou substituídas usando um modelo write-once-read-many (WORM) (gravação única e várias leituras (WORM)). O Bloqueio de objetos do S3 corresponde ao padrão do setor para a imutabilidade de armazenamento de objetos para a proteção contra ransomware e é usado em soluções de armazenamento em nuvem, backup e proteção de dados por parceiros de armazenamento da AWS, como Cohesity, Commvault, Rubrik, Veeam e Veritas.

Benefícios

A imutabilidade dos dados é um aspecto central do planejamento da proteção dos dados porque evita alterações ou exclusões não intencionais por usuários autorizados e alterações feitas por usuários não autorizados. Isso ajuda a evitar que eventos de ransomware excluam ou alterem seus dados. O Bloqueio de objetos do S3 impede que os dados sejam alterados ou excluídos por qualquer pessoa ou processo, seja de forma não intencional ou devido a atividades mal-intencionadas.

Você pode usar o Bloqueio de objetos do S3 para ajudar a atender a requisitos regulatórios que exigem armazenamento WORM ou para adicionar outra camada de proteção contra alterações e exclusões de objetos. A Cohasset Associates avaliou o Bloqueio de objetos do S3 para ambientes sujeitos às regulamentações SEC 17a-4, CFTC e FINRA. Você pode usar o modo de conformidade, que não pode ser substituído, para ajudar seus dados a atender aos requisitos de monitoramento de conformidade regulamentado. Para obter mais informações sobre como o Bloqueio de objetos se relaciona a esses regulamentos, consulte Avaliação de conformidade da Cohasset Associates.

Você pode usar o recurso de Versionamento do S3 para preservar, recuperar e restaurar todas as versões de cada objeto armazenado nos seus buckets. Com o versionamento, você pode se recuperar com mais facilidade de ações não intencionais do usuário e de falhas de aplicações. O Versionamento do S3, que é habilitado automaticamente com o Bloqueio de objetos do S3, fornece resiliência de dados com a capacidade de retornar a uma versão anterior. Saiba mais.

Como funciona o Bloqueio de Objetos do S3?

Como funciona o bloqueio de objetos do S3

É possível usar o bloqueio de objetos do S3 no bucket ou no nível do objeto, e ele pode ser habilitado ao criar um novo bucket ou em buckets existentes. Para usar o bloqueio de objetos do S3 com um bucket (ou com objetos em um bucket), primeiro é necessário habilitar o versionamento para o bucket, já que não será possível ativá-lo posteriormente. Períodos de retenção e suspensões legais são aplicáveis a versões de objetos individuais. Quando você bloqueia uma versão de objeto, o Amazon S3 armazena as informações de bloqueio nos metadados dessa versão. Aplicar um período de retenção ou suspensão legal em um objeto protege somente a versão especificada na solicitação. Isso não impede que novas versões do objeto sejam criadas.

A proteção do Bloqueio de objetos do S3 é mantida independentemente da classe de armazenamento em que o objeto reside e durante as transições do ciclo de vida do S3 entre as classes de armazenamento. Usado em conjunto com o versionamento do S3, que protege os objetos de serem substituídos, é possível garantir que os objetos permaneçam imutáveis enquanto a proteção do bloqueio de objetos do S3 estiver aplicada. É possível migrar workloads de sistemas de armazenamento WORM existentes para o Amazon S3 e configurar o bloqueio de objetos do S3 nos níveis de objeto e de bucket para evitar exclusões de versões de objetos antes de datas predefinidas ou datas de retenções legais. 

Você também pode ativar a replicação do S3 em um bucket que tenha o S3 Object Lock ativado para replicar objetos junto com suas configurações de retenção. Durante a replicação dos objetos, se o bucket de origem tiver o bloqueio de objetos do S3 ativado, o bucket de destino também deverá ter o bloqueio de objetos do S3 ativado.

Gerenciamento da retenção de objetos com o bloqueio de objetos do S3

O bloqueio de objetos do S3 disponibiliza duas maneiras de gerenciar a retenção de objetos: períodos de retenção e retenções legais. Com o bloqueio de objetos do S3 habilitado em um bucket, uma versão de objeto pode ter um período de retenção e uma retenção legal, ou um deles, mas não o outro, ou nenhum deles. 

  • Período de retenção: especifica um período fixo durante o qual um objeto permanece bloqueado. Durante esse período, o objeto é protegido por WORM e não pode ser substituído ou excluído. Quando você estabelece um período de retenção em uma versão do objeto, o Amazon S3 armazena um carimbo de data/hora nos metadados da versão do objeto para mostrar quando o período de retenção expira. Após o período de retenção expirar, a versão do objeto poderá ser substituída ou excluída, a menos que você também tenha estabelecido uma retenção legal na versão do objeto. Usando uma política de bucket, é possível definir períodos de retenção mínimos e máximos permitidos para um bucket para ajudar você a estabelecer uma variedade de períodos de retenção permitidos. Para obter mais informações, consulte períodos de retenção.
  • Suspensão legal: oferece a mesma proteção de um período de retenção, mas não tem data de validade. Em vez disso, uma suspensão legal permanece em vigor até que você a remova explicitamente. Suspensões legais são independentes de períodos de retenção. Para obter mais informações, consulte retenções legais.

Os períodos de retenção e os modos de retenção são sempre configurados em conjunto, ao contrário das retenções legais, que são configuradas de forma independente. O bloqueio de objetos do S3 disponibiliza dois modos de retenção que aplicam diferentes níveis de proteção aos objetos. Você pode aplicar qualquer um dos modos de retenção a qualquer versão do objeto protegida pelo Bloqueio de objetos.

  • Modo de governança: no modo de governança, os usuários não podem sobrescrever ou excluir uma versão do objeto ou alterar suas configurações de bloqueio, a menos que tenham permissões especiais. Com o modo de governança, você impede que os objetos sejam excluídos pela maioria dos usuários, mas ainda pode conceder permissão a alguns deles para alterar as configurações de retenção ou excluir o objeto, se necessário. Você também pode usar o modo de governança para testar as configurações do período de retenção antes de criar um período de retenção no modo de conformidade.
  • Modo de conformidade: no modo de conformidade, uma versão do objeto protegido não pode ser substituída ou excluída por nenhum usuário, incluindo o usuário-raiz na sua conta da AWS. Quando um objeto está bloqueado no modo de conformidade, você não pode alterar o modo de retenção e não pode encurtar o período de retenção. O modo de conformidade ajuda a garantir que uma versão de objeto não possa ser substituída ou excluída durante o período de retenção.  O bloqueio de objetos do S3 foi avaliado para a Regra SEC 17a-4(f), a Regra FINRA 4511 e a Norma 1.31 da CFTC pela Cohasset Associates. 

Uso do bloqueio de objetos do S3 em grande escala com as Operações em Lote do S3

O Bloqueio de objetos do S3 pode ser habilitado facilmente no bucket para todos os novos objetos com um bloqueio padrão. Para objetos existentes, você pode usar Operações em lote do S3 com o Bloqueio de objetos do S3 para aplicar um bloqueio ou estender qualquer retenção existente ou habilitar ou remover uma suspensão legal para até bilhões de objetos ao mesmo tempo. Você especifica a lista de objetos de destino no seu manifesto e a envia a Operações em lote para conclusão.

Como todas as outras configurações do Bloqueio de objetos do S3, períodos de retenção são aplicáveis a versões de objetos individuais. Versões diferentes de um único objeto podem ter modos e períodos de retenção diferentes.

Por exemplo, suponha que você tenha um objeto de 15 dias em um período de retenção de 30 dias e carregue um novo objeto no Amazon S3 com o mesmo nome e um período de retenção de 60 dias. Nesse caso, seu upload é bem-sucedido e o Amazon S3 cria uma nova versão do objeto com um período de retenção de 60 dias. A versão mais antiga mantém seu período de retenção original e pode ser excluída em 15 dias.

Você pode estender um período de retenção depois de aplicar uma configuração de retenção a uma versão de objeto. Para fazer isso, envie uma nova solicitação de bloqueio usando Operações em lote do S3 para a versão do objeto com uma data de retenção posterior à atualmente configurada para a versão do objeto. O Amazon S3 substitui o período de retenção existente pelo novo período mais longo. Saiba mais.

Parceiros