Skip to main content
How to enable StorageGRID in your environment
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Difesa dal ransomware tramite il blocco degli oggetti

Collaboratori
PDF

Scopri come il blocco degli oggetti in StorageGRID fornisce un modello WORM per impedire la cancellazione o la sovrascrittura dei dati e come soddisfa i requisiti normativi.

Il blocco degli oggetti fornisce un modello WORM per impedire che gli oggetti vengano eliminati o sovrascritti. L'implementazione di StorageGRID del blocco degli oggetti è "Valutazione Cohasset" per aiutare a soddisfare i requisiti normativi, supportando la conservazione a fini giudiziari, la modalità di conformità e la modalità di governance per la conservazione degli oggetti e le policy di conservazione predefinite dei bucket. È necessario abilitare il blocco degli oggetti come parte della creazione e del controllo delle versioni del bucket. Una versione specifica di un oggetto è bloccata e, se non viene definito alcun ID di versione, la conservazione viene posizionata sulla versione corrente dell'oggetto. Se la versione corrente ha la conservazione configurata e si tenta di eliminare, modificare o sovrascrivere l'oggetto, viene creata una nuova versione con un marcatore di eliminazione o la nuova revisione dell'oggetto come versione corrente, e la versione bloccata viene mantenuta come una versione non corrente. Per le applicazioni non ancora compatibili, è comunque possibile utilizzare la configurazione di blocco degli oggetti e di conservazione predefinita inserita nel bucket. Una volta definita la configurazione, viene applicata una conservazione degli oggetti a ogni nuovo oggetto inserito nel bucket. Questa operazione funziona finché l'applicazione è configurata per non eliminare o sovrascrivere gli oggetti prima che sia trascorso il tempo di conservazione.

Di seguito sono riportati alcuni esempi di utilizzo dell'API di blocco degli oggetti:

Blocco oggetto conservazione legale è un semplice stato on/off applicato a un oggetto.

aws s3api put-object-legal-hold --bucket mybucket --key myfile.txt --legal-hold Status=ON --endpoint-url https://s3.company.com

L'impostazione dello stato di conservazione a fini giudiziari non restituisce alcun valore se l'operazione è riuscita, pertanto può essere verificata con un'operazione GET.

aws s3api get-object-legal-hold --bucket mybucket --key myfile.txt --endpoint-url https://s3.company.com
{
    "LegalHold": {
        "Status": "ON"
    }
}

Per disattivare la sospensione legale, applicare lo stato OFF.

aws s3api put-object-legal-hold --bucket mybucket --key myfile.txt --legal-hold Status=OFF --endpoint-url https://s3.company.com
aws s3api get-object-legal-hold --bucket mybucket --key myfile.txt --endpoint-url https://s3.company.com
{
    "LegalHold": {
        "Status": "OFF"
    }
}

L'impostazione della conservazione dell'oggetto viene eseguita con un Retain until timestamp.

aws s3api put-object-retention --bucket mybucket --key myfile.txt --retention '{"Mode":"COMPLIANCE", "RetainUntilDate": "2022-06-10T16:00:00"}'  --endpoint-url https://s3.company.com

Anche in questo caso, non viene restituito alcun valore in caso di esito positivo, pertanto è possibile verificare lo stato di conservazione in modo simile con una chiamata Get.

aws s3api get-object-retention --bucket mybucket --key myfile.txt  --endpoint-url https://s3.company.com
{
    "Retention": {
        "Mode": "COMPLIANCE",
        "RetainUntilDate": "2022-06-10T16:00:00+00:00"
    }

L'inserimento di una conservazione predefinita in un bucket abilitato per il blocco degli oggetti utilizza un periodo di conservazione in giorni e anni.

aws s3api put-object-lock-configuration --bucket mybucket --object-lock-configuration '{ "ObjectLockEnabled": "Enabled", "Rule": { "DefaultRetention": { "Mode": "COMPLIANCE", "Days": 1 }}}' --endpoint-url https://s3.company.com

Come per la maggior parte di queste operazioni, non viene restituita alcuna risposta in caso di esito positivo, quindi è possibile eseguire un'operazione di RECUPERO per la verifica della configurazione.

aws s3api get-object-lock-configuration --bucket mybucket --endpoint-url https://s3.company.com
{
    "ObjectLockConfiguration": {
        "ObjectLockEnabled": "Enabled",
        "Rule": {
            "DefaultRetention": {
                "Mode": "COMPLIANCE",
                "Days": 1
            }
        }
    }
}

Successivamente, è possibile inserire un oggetto nel bucket con la configurazione di conservazione applicata.

aws s3 cp myfile.txt s3://mybucket --endpoint-url https://s3.company.com

L'operazione PUT restituisce una risposta.

upload: ./myfile.txt to s3://mybucket/myfile.txt

Nell'oggetto Retention, la durata di conservazione impostata nel bucket nell'esempio precedente viene convertita in un timestamp di conservazione sull'oggetto.

aws s3api get-object-retention --bucket mybucket --key myfile.txt --endpoint-url https://s3.company.com
{
    "Retention": {
        "Mode": "COMPLIANCE",
        "RetainUntilDate": "2022-03-02T15:22:47.202000+00:00"
    }
}