Já escrevemos anteriormente sobre como a utilização de listas de verificação pode evitar erros de configuração do armazenamento na nuvem, o que é uma prática útil para melhorar a proteção de dados. Quando pensa em proteção de dados, provavelmente pensa em impedir o acesso e a exposição não autorizados, mas a proteção de dados também inclui a prevenção e a recuperação da eliminação acidental e da substituição de dados.
Um dos principais erros de configuração do AWS S3 é não ativar o controle de versão do bucket; sem ele, as organizações podem não ser capazes de recuperar objetos e dados excluídos acidentalmente. O AWS S3 foi concebido para uma disponibilidade superior a 99% e uma durabilidade superior a 99% dos objectos em várias zonas de disponibilidade, pelo que as estratégias de recuperação de dados devem centrar-se mais na eliminação acidental.
O controle de versão de bucket é um método para armazenar várias versões de um objeto no mesmo bucket, permitindo que as organizações salvem e restaurem qualquer versão de qualquer objeto armazenado em seus buckets. Quando o versionamento de bucket é ativado, a Amazon armazena todas as versões de um objeto com um identificador exclusivo, mesmo que receba várias solicitações de gravação simultaneamente. Se uma organização excluir um objeto, a Amazon insere um marcador de exclusão, em vez de excluir permanentemente o objeto. Se uma organização substituir um objeto, esse novo objeto torna-se a nova versão. Em ambos os casos, uma organização pode facilmente reverter para uma versão anterior destes objectos eliminados e substituídos.
Por padrão, os buckets não têm controle de versão. Depois que o controle de versão é ativado, ele não pode retornar ao estado sem controle de versão, mas pode ser suspenso. Uma vez ativado, o controlo de versões aplica-se a todos os objectos no bucket e, uma vez suspenso, continua a armazenar objectos com versões anteriores, mas não adiciona novas versões.
A configuração de um bucket não versionado requer a alteração do sub-recurso de controle de versão padrão, que armazena uma configuração de controle de versão vazia, que aparece como:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> </VersioningConfiguration>
A ativação do controle de versão do bucket requer a atualização da configuração do controle de versão, como segue:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Enabled</Status> </VersioningConfiguration>
Para suspender o controle de versão do bucket, é necessário alterar a configuração do controle de versão, como segue:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Suspended</Status> </VersioningConfiguration>
O controle de versão do bucket também pode ser configurado por meio do console do AWS S3, editando as propriedades de um bucket.
Quando o controle de versão de bucket é ativado, as organizações podem adicionar uma camada adicional de segurança, exigindo autenticação multifator (MFA) antes que um objeto possa ser excluído. As organizações também podem aproveitar um bloqueio de objeto para impedir que os objetos sejam sobrescritos, caso os dados precisem ser preservados indefinidamente. A única razão pela qual uma organização pode querer considerar se deve ou não ativar o controlo de versões de balde é que existem custos de armazenamento associados a cada objeto armazenado, mas as organizações podem gerir estes custos gerindo o seu ciclo de vida de armazenamento.
Evite erros comuns de configuração com OPSWAT
No que diz respeito a erros de configuração comuns, como a ativação do controlo de versões de baldes, as organizações devem utilizar listas de verificação para garantir que estão a implementar as melhores práticas. Automatizar esse processo com tecnologia pode ajudar a evitar erros manuais demorados e caros.
MetaDefender Storage Security melhora a sua solução de segurança de armazenamento na nuvem com uma lista de verificação de segurança integrada, para que os profissionais de cibersegurança possam garantir que o armazenamento na nuvem da sua organização não está mal configurado à medida que é aprovisionado, o que inclui as fases de desenvolvimento e produção do armazenamento na nuvem.
A ativação do controle de versão do bucket é um item importante da lista de verificação em MetaDefender Storage Security , mas não é o único. Em blogs futuros, exploraremos outros erros de configuração importantes para proteger os dados em repouso, incluindo a criptografia do lado do servidor e o registro de acesso ao bucket.
Contacte um especialista em cibersegurança da OPSWAT para saber mais.
Leia o blogue anterior desta série:
