Korábban már írtunk arról, hogy az ellenőrző listák használatával elkerülhetők a felhőalapú tárolók konfigurációs hibái, ami hasznos gyakorlat az adatvédelem javítása érdekében. Ha az adatvédelemre gondol, valószínűleg a jogosulatlan hozzáférés és a kitettség megakadályozására gondol, de az adatvédelem magában foglalja az adatok véletlen törlésének és felülírásának megelőzését és helyreállítását is.
Az AWS S3 egyik legnagyobb konfigurációs hibája a vödörverzió engedélyezésének elmulasztása; e nélkül a szervezetek nem biztos, hogy vissza tudják állítani a véletlenül törölt objektumokat és adatokat. Az AWS S3-t úgy tervezték, hogy az objektumok több rendelkezésre állási zónán keresztül 99%-nál nagyobb rendelkezésre állást és 99%-nál nagyobb tartósságot biztosítson, ezért az adat-visszaállítási stratégiáknak inkább a véletlen törlésre kell összpontosítaniuk.
A Bucket versioning egy olyan módszer, amely egy objektum több verzióját tárolja ugyanabban a Bucketben, lehetővé téve a szervezetek számára, hogy a Bucketekben tárolt objektumok bármelyik verzióját elmenthessék és visszaállíthassák. Ha a bucket versioning engedélyezve van, az Amazon egy objektum minden verzióját egyedi azonosítóval tárolja, még akkor is, ha egyszerre több írási kérés érkezik hozzá. Ha egy szervezet töröl egy objektumot, az Amazon törlési jelölést helyez be, ahelyett, hogy véglegesen törölné az objektumot. Ha egy szervezet felülír egy objektumot, az új objektum lesz az új verzió. Mindkét esetben a szervezet könnyen visszaállíthatja a törölt és felülírt objektumok korábbi verzióját.
Alapértelmezés szerint a vödrök verzió nélküliek. A verziókezelés engedélyezése után nem lehet visszatérni a verzió nélküli állapotba, de felfüggeszthető. Ha engedélyezve van, a verziókezelés a vödörben lévő összes objektumra vonatkozik, ha pedig felfüggesztésre kerül, akkor továbbra is tárolja a korábban verziózott objektumokat, de nem ad hozzá új verziókat.
Egy verzió nélküli vödör konfigurálásához meg kell változtatni az alapértelmezett verziókezelési alforrást, amely egy üres verziókezelési konfigurációt tárol, amely a következőképpen jelenik meg:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> </VersioningConfiguration>
A vödörverzió engedélyezéséhez a verziózási konfiguráció frissítése szükséges, az alábbiak szerint:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Enabled</Status> </VersioningConfiguration>
A vödörverzió felfüggesztéséhez a verziókezelési konfiguráció módosítása szükséges, az alábbiak szerint:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Suspended</Status> </VersioningConfiguration>
A vödörverzió az AWS S3 konzolon keresztül is konfigurálható a vödör tulajdonságainak szerkesztésével.
A vödörverzió engedélyezése után a szervezetek további biztonsági szintet adhatnak hozzá azáltal, hogy többfaktoros hitelesítést (MFA) követelnek meg az objektum törlése előtt. A szervezetek kihasználhatják az objektumzárat is, hogy megakadályozzák az objektumok felülírását abban az esetben, ha az adatokat korlátlan ideig meg kell őrizni. Az egyetlen ok, amiért egy szervezetnek érdemes megfontolnia, hogy engedélyezze-e a bucket verziókezelést, az az, hogy minden egyes tárolt objektumhoz tárolási költségek kapcsolódnak, de a szervezetek ezeket a költségeket a tárolási életciklus kezelésével kezelhetik.
Kerülje el a gyakori konfigurációs hibákat az OPSWAT
A gyakori konfigurációs hibák, például a bucket verziószámozás engedélyezése esetén a szervezeteknek ellenőrző listákat kell használniuk, hogy biztosítsák a legjobb gyakorlatok végrehajtását. Ennek a folyamatnak a technológiával történő automatizálása segíthet elkerülni az időigényes és költséges kézi hibákat.
MetaDefender Storage Security egy integrált biztonsági ellenőrző listával bővíti felhőalapú tárolási biztonsági megoldását, hogy a kiberbiztonsági szakemberek biztosítani tudják, hogy a szervezetük felhőalapú tárolóját ne konfigurálják félre a rendelkezésre bocsátás során, amely magában foglalja a felhőalapú tárolás fejlesztési és termelési szakaszát is.
A vödörverzió engedélyezése a MetaDefender Storage Security egyik fő ellenőrzőlistája, de nem ez az egyetlen. A következő blogokban a nyugalmi adatok védelmének más fontos konfigurációs hibáit fogjuk megvizsgálni, beleértve a kiszolgálóoldali titkosítást és a vödör-hozzáférések naplózását.
További információkért forduljon az OPSWAT kiberbiztonsági szakértőjéhez.
Olvassa el a sorozat előző blogját:
