Skip to main content
How to enable StorageGRID in your environment
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用複製的貯體搭配版本管理功能來防範勒索軟體

貢獻者

瞭解如何使用 StorageGRID CloudMirror 將物件複寫到次要儲存庫。

並非所有應用程式和工作負載都能與物件鎖相容。另一個選項是將物件複寫到同一個網格中的次要儲存格(最好是存取受限的不同租戶)、或是任何其他具有 StorageGRID 平台服務 CloudMirror 的 S3 端點。

StorageGRID CloudMirror 是 StorageGRID 的一個元件、可設定為在物件擷取到來源儲存區時、將儲存區的物件複寫到定義的目的地、而不會複寫刪除內容。由於 CloudMirror 是 StorageGRID 的整合式元件、因此它無法被 S3 API 型攻擊關閉或操控。您可以在啟用版本設定的情況下、設定此複寫儲存區。在這種情況下、您需要自動清理複寫貯體的舊版本、以安全丟棄。因此、您可以使用 StorageGRID ILM 原則引擎。建立規則、根據非目前時間管理物件放置、時間足以識別攻擊並從攻擊中恢復。

這種方法的一個缺點是、它會使用完整的第二個儲存區複本、以及保留一段時間的多個物件版本、來消耗更多儲存空間。此外、有意從主要貯體中刪除的物件必須從複寫的貯體中手動移除。產品外部還有其他複寫選項、例如 NetApp CloudSync 、可針對類似解決方案複寫刪除內容。啟用版本設定功能而未啟用物件鎖定功能的次要貯體另一個缺點是存在許多可用來在次要位置造成損害的特殊權限帳戶。優點是、它應該是該端點或租戶貯體的唯一帳戶、而且可能會造成的影響不包括主要位置上的帳戶存取權、反之亦然。

建立來源和目的地儲存區、並使用版本設定目的地之後、您可以設定及啟用複寫、如下所示:

步驟

  1. 若要設定 CloudMirror 、請為 S3 目的地建立平台服務端點。

    勒索軟體保護 - cree-Endpoint

  2. 在來源貯體上、將複寫設定為使用已設定的端點。

    <ReplicationConfiguration>
    <Role></Role>
    <Rule>
        <Status>Enabled</Status>
        <Prefix></Prefix>
        <Destination>
            <Bucket>arn:aws:s3:::mybucket</Bucket>
            <StorageClass>STANDARD</StorageClass>
        </Destination>
    </Rule>
</ReplicationConfiguration>

  3. 建立 ILM 規則以管理儲存配置和版本儲存持續時間管理。在此範例中、會設定要儲存之物件的非最新版本。

    勒索軟體保護 - cree-ILM 規則

    勒索軟體保護 - cree-ilm 規則 - 步驟 2

    站台 1 有兩份 30 天的複本。您也可以根據在 ILM 規則中使用擷取時間做為參考時間、來設定物件目前版本的規則、以符合來源貯體儲存持續時間。物件版本的儲存位置可以進行銷毀編碼或複寫。