Skip to main content
How to enable StorageGRID in your environment
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用具有版本控制的复制存储分段进行勒索软件防护

贡献者

了解如何使用StorageGRID CloudMirror将对象复制到二级存储分段。

并非所有应用程序和工作负载都能与对象锁定兼容。另一种方法是、将对象复制到同一网格中的二级存储分段(最好是访问受限的不同租户)、或者使用StorageGRID平台服务CloudMirror的任何其他S3端点。

StorageGRID CloudMirror是StorageGRID的一个组件、可以配置为在将某个存储分段的对象移入源存储分段时将其复制到定义的目标、而不会复制删除。由于CloudMirror是StorageGRID的一个集成组件、因此不能关闭它、也不能被基于S3 API的攻击所操纵。您可以在启用版本控制的情况下配置此复制分段。在这种情况下、您需要对复制的存储分段的旧版本进行一些可安全丢弃的自动清理。为此、您可以使用StorageGRID ILM策略引擎。创建规则、根据非当前时间管理对象放置、持续数天、足以识别攻击并从攻击中恢复。

这种方法的一个缺点是、它会通过保留存储分段的完整第二个副本以及多个版本的对象一段时间来消耗更多存储。此外、必须从复制的存储分段中手动删除主存储分段中特意删除的对象。产品之外还有其他复制选项、例如NetApp CloudSync、可以为类似的解决方案复制删除。二级存储分段启用了版本控制而未启用对象锁定的另一个缺点是、存在许多特权帐户、这些帐户可能会导致二级位置损坏。其优势在于、它应该是该端点或租户存储分段的唯一帐户、而这种损害可能不包括对主位置上的帐户的访问、反之亦然。

创建源分段和目标分段并为目标配置版本控制后、您可以按如下所示配置和启用复制:

步骤

  1. 要配置CloudMirror、请为S3目标创建一个平台服务端点。

    勒索软件保护创建端点

  2. 在源存储分段上、配置复制以使用配置的端点。

    <ReplicationConfiguration>
    <Role></Role>
    <Rule>
        <Status>Enabled</Status>
        <Prefix></Prefix>
        <Destination>
            <Bucket>arn:aws:s3:::mybucket</Bucket>
            <StorageClass>STANDARD</StorageClass>
        </Destination>
    </Rule>
</ReplicationConfiguration>

  3. 创建ILM规则以管理存储放置和版本存储持续时间管理。在此示例中、配置了要存储的对象的非最新版本。

    勒索软件保护创建ILM规则

    勒索软件保护-cree-ilm-맦 퓲-step 2

    站点1中有两个副本、保留30天。此外、您还可以根据在ILM规则中使用加载时间作为参考时间来为当前版本的对象配置规则、以匹配源存储分段存储持续时间。可以对对象版本的存储放置进行卷或复制。