Protection des données contre les rançonlogiciels avec immutabilité au niveau des objets afin d'empêcher les suppressions et les écrasements accidentels ou malveillants d'objets
Amazon S3 est le moyen de stockage principal de confiance pour des millions de clients du monde entier. Avec une durabilité des données de 99,999999999 % (11 9), les clients peuvent stocker et protéger les données critiques de leur entreprise pour pratiquement tous les cas d'utilisation, y compris les applications natives cloud, les résultats d'analyse des lacs de données et les fichiers multimédia. Comme pour n'importe quel type de données, la bonne pratique en vigueur est de conserver une sauvegarde et de mettre en place des protections contre les suppressions accidentelles ou malveillantes.
Amazon S3 Object Lock bloque la suppression définitive de l'objet pendant une période de rétention définie par le client afin que vous puissiez appliquer des politiques de rétention en tant que couche supplémentaire de protection des données ou à des fins de conformité réglementaire. Avec S3 Object Lock, la gestion des versions de S3 est automatiquement activé, et ces fonctionnalités fonctionnent ensemble pour empêcher que les versions d'objets verrouillées ne soient définitivement supprimées (accidentellement ou intentionnellement) ou remplacées à l'aide d'un modèle WORM (write-once-read-many). S3 Object Lock est la norme du secteur en matière d'immutabilité du stockage d'objets pour la protection contre les rançongiciels. Il est utilisé dans les solutions de stockage, de sauvegarde et de protection des données dans le cloud par les partenaires d'AWS Storage, comme Veeam, Veritas, Rubrik, Cohesity, Commvault et Clumio.
Avantages
Protection des données contre les rançonlogiciels et les modifications accidentelles
L'immuabilité des données est un aspect essentiel de la planification de la protection des données. Il empêche les utilisateurs d'apporter des modifications ou des suppressions involontaires. Cela permet d'empêcher les rançonlogiciels de supprimer ou de modifier vos données. S3 Object Lock empêche que les données soient modifiées ou supprimées par toute personne ou tout processus, que cela soit involontaire ou en raison d'une activité malveillante.
Respect des exigences en matière de conformité et de réglementation
Vous pouvez utiliser S3 Object Lock pour répondre aux exigences réglementaires qui requièrent un stockage WORM ou pour ajouter une couche supplémentaire de protection contre les modifications et les suppressions d'objets. Cohasset Associates a évalué S3 Object Lock pour les environnements soumis aux réglementations SEC 17a-4, CFTC et FINRA. Vous pouvez utiliser le mode conformité, qui ne peut pas être remplacé, pour permettre à vos données de respecter la réglementation en matière de surveillance de la conformité. Pour plus d'informations sur la relation entre Object Lock et ces réglementations, consultez l'Évaluation de la conformité par Cohasset Associates.
Restauration des versions des objets
Vous pouvez utiliser la fonction Gestion des versions S3 pour préserver, récupérer et restaurer toutes les versions de chacun des objets stockés dans vos compartiments. Avec la gestion des versions, vous pouvez récupérer plus facilement les objets perdus à la suite d'actions involontaires d'utilisateurs et de défaillances d'applications. La Gestion des versions S3, qui est automatiquement activée avec S3 Object Lock, assure la résilience des données grâce à la possibilité de revenir à une version précédente. Pour en savoir plus, cliquez ici.
Comment fonctionne S3 Object Lock ?
Vous pouvez utiliser S3 Object Lock au niveau du compartiment ou de l'objet et vous devez l'activer lors de la création d'un nouveau compartiment ou sur des compartiments existants. Pour utiliser S3 Object Lock avec un compartiment (ou des objets au sein d'un compartiment), vous devez d'abord activer la gestion des versions pour le compartiment S3. Les périodes de rétention et les conservations légales s'appliquent aux versions individuelles des objets. Lorsque vous verrouillez une version d'objet, Amazon S3 stocke les informations de verrouillage dans les métadonnées de cette version d'objet. L'attribution d'une période de rétention ou d'une conservation légale à un objet protège uniquement la version spécifiée dans la demande. Cela n'empêche pas la création de nouvelles versions de l'objet, ni ne supprime les marqueurs placés au-dessus des versions d'objets verrouillées.
La protection S3 Object Lock est conservée quelle que soit la classe de stockage de l'objet lors des transitions de cycle de vie S3 entre les classes de stockage. En l'utilisant avec la gestion des versions S3 qui empêche les objets d'être écrasés, vous pouvez vous assurer que les objets restent immuables tant que la protection S3 Object Lock est appliquée. Vous pouvez migrer des charges de travail depuis des systèmes de stockage WORM existants vers Amazon S3 et configurer S3 Object Lock aux niveaux de l'objet et du compartiment pour empêcher les suppressions de versions d'objets avant une date prédéfinie ou une date de conservation légale.
Vous pouvez également activer la réplication S3 sur un compartiment sur lequel S3 Object Lock est activé pour répliquer des objets ainsi que leurs paramètres de rétention. Lors de la réplication d'objets, si S3 Object Lock est activé dans le compartiment source, S3 Object Lock doit également être activé dans le compartiment de destination.
Gestion de la conservation des objets avec S3 Object Lock
S3 Object Lock propose deux méthodes de gestion de la conservation des objets : les périodes de conservation et les mises en suspens légales. Lorsque S3 Object Lock est activé sur un compartiment, Une version d'objet peut comporter à la fois une période de conservation et une suspension légale, l'une mais pas l'autre, ou aucune des deux.
- Période de conservation : spécifie une période fixe pendant laquelle un objet reste verrouillé. Pendant cette période, votre objet est soumis à une protection WORM et ne peut être ni écrasé ni supprimé. Lorsque vous attribuez une période de conservation à une version d'objet, Amazon S3 enregistre un horodatage dans les métadonnées de la version de l'objet pour indiquer la date d'expiration de la période de conservation. Une fois la période de conservation expirée, la version de l'objet peut être écrasée ou supprimée, à moins que vous n'ayez attribué une suspension légale à la version de l'objet. À l'aide d'une politique de compartiment, vous pouvez définir des périodes de rétention minimales et maximales autorisées pour un compartiment afin de vous aider à établir une plage de périodes de rétention autorisées. Pour plus d'informations, voir Périodes de conservation.
- Conservation légale : fournit la même protection qu'une période de rétention, mais n'a pas de date d'expiration. À l'inverse, une conservation légale reste en place jusqu'à ce que vous la supprimiez explicitement. Les conservations légales sont indépendantes des périodes de rétention. Pour plus d'informations, voir Suspensions légales.
Les périodes de conservation et les modes de conservation sont toujours configurés en tandem, contrairement aux suspensions légales, qui sont configurés indépendamment. S3 Object Lock propose deux modes de conservation qui appliquent différents niveaux de protection à vos objets. Vous pouvez appliquer l'un ou l'autre mode de rétention à n'importe quelle version d'objet protégée par Object Lock.
- Mode gouvernance : en mode gouvernance, les utilisateurs ne peuvent pas écraser ou supprimer la version d'un objet ni modifier ses paramètres de verrouillage à moins de disposer d'autorisations spéciales. Le mode gouvernance vous permet d'empêcher la plupart des utilisateurs de supprimer les objets. Vous pouvez cependant toujours autoriser certains utilisateurs à modifier les paramètres de rétention ou à supprimer l'objet si nécessaire. Vous pouvez également utiliser le mode gouvernance pour tester les paramètres de période de rétention avant de créer une période de rétention en mode conformité.
- Mode conformité : en mode conformité, aucune version d'objet protégée ne peut être écrasée ni supprimée par un utilisateur, y compris par l'utilisateur root de votre compte AWS. Lorsqu'un objet est verrouillé en mode conformité, vous ne pouvez pas modifier le mode rétention ni raccourcir la période de rétention. Le mode conformité permet de vous assurer qu'une version d'objet ne peut pas être écrasée ni supprimée pendant la durée de la période de conservation. La conformité de S3 Object Lock aux règles SEC 17a-4(f), FINRA 4511 et CFTC 1.31 a été évaluée par Cohasset Associates.
Utilisation de S3 Object Lock à grande échelle avec S3 Batch Operations
Vous pouvez activer S3 Object Lock sur un compartiment pour tous les nouveaux objets avec les paramètres S3 Object Lock par défaut. Pour les objets existants, vous pouvez utiliser S3 Batch Operations pour appliquer les paramètres S3 Object Lock à des milliards d'objets à la fois en spécifiant un compartiment complet, un préfixe, un suffixe, une date de création ou une classe de stockage. Vous pouvez également spécifier une liste d'objets cibles dans votre manifeste et l'envoyer à S3 Batch Operations pour qu'elle soit achevée.
Comme tous les autres paramètres de S3 Object Lock, les périodes de rétention s'appliquent aux versions individuelles des objets. Les différentes versions d'un même objet peuvent avoir différents modes et périodes de rétention.
Supposons, par exemple, que vous ayez un objet dont la période de rétention est comprise entre 15 jours et 30 jours et que vous importez un nouvel objet dans Amazon S3 avec le même nom et une période de rétention de 60 jours. Dans ce cas, votre chargement aboutit et Amazon S3 crée une nouvelle version de l'objet avec une période de rétention de 60 jours. L'ancienne version conserve sa période de rétention initiale et peut être supprimée au bout de 15 jours.
Après avoir appliqué des périodes de conservation aux versions des objets, vous pouvez les prolonger. Pour ce faire, envoyez une nouvelle demande S3 Object Lock en utilisant S3 Batch Operations pour la version de l'objet avec une date de fin de conservation ultérieure à celle actuellement configurée. Amazon S3 remplace la période de rétention existante par la nouvelle période plus longue. En savoir plus.
Partenaires
Commencez à utiliser S3 pour la protection des données
Pour les données stockées dans Amazon S3, les bonnes pratiques commencent par la Gestion des versions Amazon S3, qui vous permet de préserver, de récupérer et de restaurer toutes les versions de chacun des objets stockés dans un compartiment Amazon S3. Vous pouvez ensuite ajouter Amazon S3 Object Lock pour empêcher la suppression ou l'écrasement des données pendant une durée déterminée ou indéfinie. Pour créer des copies supplémentaires de vos données dans une autre région AWS pour une protection multirégionale, vous pouvez activer la Réplication Amazon S3 dans un compartiment avec S3 Object Lock activé. Vous pouvez ensuite utiliser la Réplication S3 avec la Gestion des versions S3 et S3 Object Lock pour copier automatiquement des objets entre des régions AWS et des comptes AWS distincts. Pour utiliser S3 Object Lock avec des objets existants ou pour prolonger la période de verrouillage d'objets existants à l'approche de l'expiration de leur verrouillage, vous pouvez utiliser S3 Batch Operations et les Rapports S3 Inventory. Enfin, vous pouvez rassembler la visibilité de vos niveaux actuels de protection des données et de l'utilisation de ces fonctions dans un tableau de bord unique avec Amazon S3 Storage Lens.
Pour en savoir plus sur la façon dont vous pouvez protéger vos données sur Amazon S3, consultez le Tutoriel de mise en route sur la protection des données S3.
Découvrez S3 Object Lock en consultant le guide de l'utilisateur.
Commencez à créer avec Amazon S3 dans AWS Management Console.