Skip to main content
How to enable StorageGRID in your environment
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

버전 관리와 함께 복제된 버킷을 사용하는 랜섬웨어 방어

기여자

StorageGRID CloudMirror를 사용하여 오브젝트를 보조 버킷으로 복제하는 방법에 대해 알아보십시오.

모든 애플리케이션과 워크로드가 오브젝트 잠금과 호환되지 않습니다. 또 다른 옵션은 오브젝트를 동일한 그리드(액세스가 제한된 다른 테넌트 권장) 또는 StorageGRID 플랫폼 서비스를 사용하는 기타 S3 엔드포인트인 CloudMirror에 복제하는 것입니다.

StorageGRID CloudMirror는 StorageGRID의 구성 요소로, 버킷의 오브젝트를 소스 버킷에 수집될 때 정의된 대상에 복제하도록 구성할 수 있으며 삭제를 복제하지 않는다. CloudMirror는 StorageGRID의 통합 구성 요소이므로 S3 API 기반 공격에 의해 해제하거나 조작할 수 없습니다. 버전 관리를 사용하도록 설정한 상태에서 이 복제된 버킷을 구성할 수 있습니다. 이 시나리오에서는 폐기해도 안전한 복제된 버킷의 이전 버전을 자동으로 정리해야 합니다. 이를 위해 StorageGRID ILM 정책 엔진을 사용할 수 있습니다. 공격을 식별하고 복구하기에 충분한 며칠간 현재 시간을 기준으로 개체 배치를 관리하는 규칙을 만듭니다.

이 접근 방식의 한 가지 단점은 버킷의 완전한 두 번째 복사본과 일정 시간 동안 유지되는 오브젝트의 여러 버전을 확보함으로써 더 많은 스토리지를 소비한다는 것입니다. 또한 기본 버킷에서 의도적으로 삭제된 객체를 복제된 버킷에서 수동으로 제거해야 합니다. NetApp CloudSync와 같은 제품 이외의 다른 복제 옵션으로는 비슷한 솔루션에 대해 삭제 작업을 복제할 수 있습니다. 버전 관리가 활성화되고 객체 잠금이 설정되지 않은 보조 버킷의 또 다른 단점은 보조 위치에 손상을 일으키는 데 사용할 수 있는 권한이 있는 계정이 많다는 것입니다. 장점은 해당 엔드포인트 또는 테넌트 버킷에 대한 고유한 계정이어야 하며, 주 위치의 계정에 대한 액세스 권한이 포함되지 않거나 그 반대의 경우도 마찬가지입니다.

소스 및 대상 버킷을 생성하고 대상이 버전 관리로 구성된 후에는 다음과 같이 복제를 구성하고 설정할 수 있습니다.

단계

  1. CloudMirror를 구성하려면 S3 대상에 대한 플랫폼 서비스 엔드포인트를 생성합니다.

    랜섬웨어 방지 - 엔드포인트 생성

  2. 소스 버킷에서 구성된 엔드포인트를 사용하도록 복제를 구성합니다.

    <ReplicationConfiguration>
    <Role></Role>
    <Rule>
        <Status>Enabled</Status>
        <Prefix></Prefix>
        <Destination>
            <Bucket>arn:aws:s3:::mybucket</Bucket>
            <StorageClass>STANDARD</StorageClass>
        </Destination>
    </Rule>
</ReplicationConfiguration>

  3. 스토리지 배치 및 버전 스토리지 기간 관리를 관리하는 ILM 규칙을 생성합니다. 이 예에서는 저장할 객체의 최신 버전이 아닌 버전이 구성되어 있습니다.

    랜섬웨어 방지-생성-ILM-규칙

    랜섬웨어 방지-생성-ILM-규칙-2단계

    30일 동안 사이트 1에 2개의 복사본이 있습니다. 또한 소스 버킷 스토리지 기간과 일치하도록 ILM 규칙에서 수집 시간을 참조 시간으로 사용하는 것을 기반으로 오브젝트의 현재 버전에 대한 규칙을 구성합니다. 오브젝트 버전에 대한 스토리지 배치는 삭제 코딩 또는 복제할 수 있습니다.