Bloqueo de objetos de Amazon S3

Protección de datos contra eventos de ransomware con inmutabilidad en el nivel de objeto para evitar que los objetos se eliminen y sobrescriban de forma accidental o malintencionada
Tutorial de introducción a la protección de datos en Amazon S3

Información general

Amazon S3 es el almacenamiento principal de confianza para millones de clientes de todo el mundo. Con una durabilidad de datos del 99,999999999 % (11 nueves), los clientes pueden almacenar y proteger los datos críticos para la empresa prácticamente para cualquier uso, incluidas las aplicaciones nativas en la nube, los resultados de análisis de lagos de datos y los archivos multimedia. Para cualquier tipo de datos, se recomienda disponer de una copia de seguridad y colocar protecciones para evitar eliminaciones accidentales o malintencionadas.

El bloqueo de objetos de S3 evita la eliminación de objetos permanente durante un periodo de retención definido por el cliente, para que pueda imponer políticas de retención, como un nivel adicional para la protección de datos o para fines de cumplimiento normativo. Con el bloqueo de objetos de S3, se habilita de forma automática el control de versiones de S3, y estas características funcionan de manera conjunta para evitar que las versiones de los objetos bloqueados se eliminen de forma permanente (accidental o intencionadamente) o se sobrescriban mediante un modelo de escritura única y lectura múltiple (WORM). Object Lock de S3 es el estándar del sector para la inmutabilidad del almacenamiento de objetos para la protección contra ransomware y se utiliza en soluciones de almacenamiento en la nube, copias de seguridad y protección de datos de socios de AWS Storage como Cohesity, Commvault, Rubrik, Veeam, y Veritas.

Beneficios

La inmutabilidad de los datos es un aspecto fundamental de la planificación para la protección de datos, ya que evita que los usuarios autorizados realicen cambios o eliminaciones no intencionados, así como cambios realizados por usuarios no autorizados. Esto ayuda a prevenir que los eventos de ransomware eliminen o alteren sus datos. El bloqueo de objetos de S3 evita que cualquier persona o proceso altere o elimine los datos, ya sea de forma involuntaria o debido a una actividad malintencionada.

Puede utilizar el bloqueo de objetos de S3 para ayudarle a cumplir con los requisitos reguladores que necesitan almacenamiento WORM o para agregar otra capa de protección contra el cambio o la eliminación de los objetos. Cohasset Associates ha evaluado el bloqueo de objetos de S3 para entornos sujetos a las normas SEC 17a-4, CFTC y FINRA. Puede utilizar el modo de cumplimiento, que no se puede anular, para ayudar a que sus datos cumplan con la supervisión de cumplimiento regulada. Para obtener más información sobre la relación entre Object Lock y estas regulaciones, consulte la Evaluación de cumplimiento de Cohasset Associates.

Puede utilizar la característica de control de versiones de S3 para conservar, recuperar y restablecer todas las versiones de todos los objetos almacenados en sus buckets. Con el control de versiones, puede recuperarse con mayor facilidad de acciones involuntarias de los usuarios y de los errores de las aplicaciones. El control de versiones de S3, que se activa automáticamente con el bloqueo de objetos de S3, proporciona resiliencia de datos con la posibilidad de volver a una versión anterior. Obtenga más información.

¿Cómo funciona S3 Object Lock?

Cómo funciona el bloqueo de objetos de S3

Puede usar el bloqueo de objetos de S3 en el nivel de bucket o de objeto, y se puede habilitar al crear un bucket nuevo o en buckets existentes. Para usar el bloqueo de objetos de S3 con un bucket (u objetos dentro de un bucket), primero debe habilitar el control de versiones para el bucket, ya que no podrá activar el control de versiones más adelante. Los períodos de retención y las retenciones legales se aplican a las versiones de objetos individuales. Al bloquear una versión de objeto, Amazon S3 almacena la información de bloqueo en los metadatos de esa versión del objeto. Al imponer un período de retención o retención legal a un objeto, solo se protege la versión especificada en la solicitud. No impide que se creen nuevas versiones del objeto.

La protección del bloqueo de objetos de S3 se mantiene independientemente del tipo de almacenamiento en el que resida el objeto y durante las transiciones de ciclo de vida de S3 entre tipos de almacenamiento. Se usa en conjunto con el control de versiones de S3, que protege a los objetos de la sobrescritura, y así usted puede garantizar la inmutabilidad de los objetos durante el tiempo que se encuentre implementada la protección del bloqueo de objetos de S3. Puede migrar cargas de trabajo de los sistemas de WORM existentes a Amazon S3 y configurar el bloqueo de objetos de S3 en los niveles de objeto y bucket para impedir la eliminación de versiones de objeto antes de una fecha de retención legal o de finalización que se haya predefinido. 

También puede habilitar la replicación de S3 en un bucket que tenga activado el bloqueo de objetos de S3 para replicar objetos junto con sus configuraciones de retención. Mientras se replican los objetos, si el bucket de origen tiene activado el bloqueo de objetos de S3, los buckets de destino también deben tener activado el bloqueo de objetos de S3.

Administración de la retención de objetos con el bloqueo de objetos de S3

Object Lock de S3 brinda dos formas de administrar la retención de objetos: periodos de retención y retenciones legales. Con Object Lock de S3 habilitado en un bucket, una versión de objeto puede tener un periodo de retención y una retención legal, uno pero no el otro, o ninguno de los dos. 

  • Periodo de retención: especifica un periodo fijo durante el cual un objeto permanece bloqueado. Durante este periodo, el objeto tiene protección WORM y no se puede sobrescribir ni eliminar. Cuando asigna un periodo de retención a una versión de objeto, Amazon S3 almacena una marca de tiempo en los metadatos de la versión del objeto para mostrar cuándo vence el periodo de retención. Una vez transcurrido el periodo de retención, la versión del objeto se puede sobrescribir o eliminar, a menos que también haya impuesto una retención legal a la versión del objeto. Con una política de bucket, puede establecer períodos de retención mínimos y máximos permitidos para un bucket que le permita establecer un rango de períodos de retención permitidos. Para obtener más información, consulte períodos de retención.
  • Retención legal: ofrece la misma protección que un período de retención, pero no tiene fecha de caducidad. En cambio, se mantiene una retención legal hasta que la elimine de forma explícita. Las retenciones legales son independientes de los períodos de retención. Para obtener más información, consulte retenciones legales.

Los períodos de retención y los modos de retención se configuran siempre de forma conjunta, a diferencia de las retenciones legales, que se configuran de forma independiente. El bloqueo de objetos de S3 ofrece dos modos de retención que aplican diferentes niveles de protección a los objetos. Puede aplicar cualquier modo de retención a cualquier versión de objeto que esté protegida por el bloqueo de objetos.

  • Modo de gobierno: en el modo de gobierno, los usuarios no pueden sobrescribir ni eliminar la versión de un objeto ni modificar su configuración de bloqueo a menos que tengan permisos especiales. Con el modo de gobierno, protege los objetos para que no los eliminen la mayoría de los usuarios, pero aun así puede conceder permiso a algunos usuarios para modificar la configuración de retención o eliminar el objeto si es necesario. También puede usar el modo de control para probar la configuración del período de retención antes de crear un período de retención en el modo de cumplimiento.
  • Modo de cumplimiento: en el modo de cumplimiento, ningún usuario puede sobrescribir ni eliminar una versión de un objeto protegido, incluido el usuario raíz de su cuenta de AWS. Cuando un objeto está bloqueado en el modo de cumplimiento, no puede cambiar el modo de retención ni acortar el período de retención. El modo de cumplimiento ayuda a garantizar que la versión de un objeto no se pueda sobrescribir ni eliminar durante el periodo de retención.  Object Lock de S3 ha sido evaluado según la Regla 17a-4 (f) de la SEC, la Regla 4511 de FINRA y la Regulación 1.31 de la CFTC de Cohasset Associates. 

Uso del bloqueo de objetos de S3 a escala con las operaciones por lotes de S3

Object Lock de S3 se puede habilitar con facilidad en el bucket para todos los objetos nuevos con un bloqueo predeterminado. Para los objetos existentes, puede utilizar las operaciones por lotes de S3 con el bloqueo de objetos de S3 para bloquear o ampliar cualquier retención existente, o habilitar o eliminar una retención legal para hasta miles de millones de objetos a la vez. A continuación, debe especificar la lista de objetos de destino en su manifiesto y enviarla a operaciones por lotes para completar el proceso.

Como todos los demás ajustes del bloqueo de objetos de S3, los períodos de retención se aplican a las versiones de objetos individuales. Las diferentes versiones de un mismo objeto pueden tener diferentes modos y períodos de retención.

Por ejemplo, supongamos que tiene un objeto que lleva 15 días en un período de retención de 30 días y sube un objeto nuevo a Amazon S3 con el mismo nombre y un período de retención de 60 días. En este caso, la carga se realiza correctamente y Amazon S3 crea una nueva versión del objeto con un período de retención de 60 días. La versión anterior mantiene su período de retención original y se puede eliminar en 15 días.

Puede ampliar un período de retención después de aplicar una configuración de retención a una versión del objeto. Para ello, envíe una nueva solicitud de bloqueo mediante operaciones por lotes de S3 para la versión del objeto con una fecha de retención posterior a la configurada actualmente para la versión del objeto. Amazon S3 sustituye el período de retención existente por un nuevo período más largo. Más información.

Socios

Comience a utilizar S3 para la protección de datos

Para los datos almacenados en Amazon S3, lo primero que se recomienda es el control de versiones de Amazon S3, que le permite conservar, recuperar y restaurar todas las versiones de todos los objetos almacenados en un bucket de Amazon S3. A continuación, puede agregar  Object Lock de Amazon S3 para evitar que los datos se eliminen o sobrescriban durante un período de tiempo fijo o indefinidamente. Para crear copias adicionales de sus datos en otra región de AWS a fin de protegerlos en varias regiones, puede habilitar la replicación de Amazon S3 en un bucket con Object Lock de S3 activado. A continuación, puede utilizar la replicación de S3 con el control de versiones de S3 y el bloqueo de objetos de S3 para copiar objetos de manera automática en distintas regiones de AWS y en cuentas de AWS independientes. Para utilizar el bloqueo de objetos de S3 con objetos existentes o para extender el período de bloqueo a los objetos existentes que están a punto de caducar, puede utilizar las operaciones por lotes de S3 y los informes de inventario de S3. Por último, puede obtener visibilidad de sus niveles actuales de protección de datos y del uso de estas características en un único panel con Amazon S3 Storage Lens.

Para obtener más información sobre cómo puede proteger sus datos en Amazon S3, visite el tutorial de introducción sobre la protección de datos de S3.