Skip to main content
How to enable StorageGRID in your environment
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Defesa contra ransomware usando bucket replicado com controle de versão

Colaboradores
PDFs

Saiba como replicar objetos para um bucket secundário usando o StorageGRID CloudMirror.

Nem todas as aplicações e workloads serão compatíveis com o bloqueio de objetos. Outra opção é replicar os objetos para um bucket secundário na mesma grade (de preferência um locatário diferente com acesso restrito) ou qualquer outro endpoint S3 com o serviço da plataforma StorageGRID, CloudMirror.

O StorageGRID CloudMirror é um componente do StorageGRID que pode ser configurado para replicar os objetos de um bucket para um destino definido à medida que são ingeridos no bucket de origem e não replica exclusões. Como o CloudMirror é um componente integrado do StorageGRID, ele não pode ser desativado ou manipulado por um ataque baseado em API S3. Você pode configurar esse bucket replicado com o controle de versão ativado. Neste cenário, você precisa de uma limpeza automatizada das versões antigas do bucket replicado que são seguras para descartar. Para isso, você pode usar o mecanismo de política StorageGRID ILM. Crie regras para gerenciar o posicionamento do objeto com base no tempo não atual por vários dias suficiente para ter identificado e recuperado de um ataque.

Uma desvantagem para essa abordagem é que ela consome mais armazenamento, tendo uma segunda cópia completa do bucket, além de várias versões dos objetos retidos por algum tempo. Além disso, os objetos que foram intencionalmente excluídos do bucket primário devem ser removidos manualmente do bucket replicado. Há outras opções de replicação fora do produto, como o NetApp CloudSync, que podem replicar exclusões para uma solução semelhante. Outra desvantagem para o bucket secundário ser o controle de versão ativado e não o bloqueio de objetos ativado é que existe uma série de contas privilegiadas que podem ser usadas para causar danos no local secundário. A vantagem é que ela deve ser uma conta exclusiva para esse bucket de endpoint ou locatário e o compromisso provavelmente não inclui acesso a contas no local primário ou vice-versa.

Depois que os buckets de origem e destino forem criados e o destino for configurado com controle de versão, você poderá configurar e ativar a replicação da seguinte forma:

Passos

  1. Para configurar o CloudMirror, crie um endpoint de serviços de plataforma para o destino S3.

    ransomware-protection-create-endpoint

  2. No intervalo de origem, configure a replicação para usar o ponto de extremidade configurado.

    <ReplicationConfiguration>
    <Role></Role>
    <Rule>
        <Status>Enabled</Status>
        <Prefix></Prefix>
        <Destination>
            <Bucket>arn:aws:s3:::mybucket</Bucket>
            <StorageClass>STANDARD</StorageClass>
        </Destination>
    </Rule>
</ReplicationConfiguration>

  3. Crie regras ILM para gerenciar o posicionamento de armazenamento e o gerenciamento da duração do armazenamento de versão. Neste exemplo, as versões não atuais dos objetos a armazenar são configuradas.

    ransomware-protection-create-ilm-rule

    ransomware-protection-create-ilm-rule-step-2

    Há duas cópias no local 1 por 30 dias. Você também configura as regras para a versão atual dos objetos com base no uso do tempo de ingestão como tempo de referência na regra ILM para corresponder à duração de armazenamento do bucket de origem. O posicionamento do storage para as versões do objeto pode ser codificado ou replicado para apagamento.