Abbiamo già scritto in precedenza di come l'uso di liste di controllo possa evitare errori di configurazione del cloud storage, una pratica utile per migliorare la protezione dei dati. Quando si pensa alla protezione dei dati, probabilmente si pensa a prevenire l'accesso e l'esposizione non autorizzati, ma la protezione dei dati comprende anche la prevenzione e il recupero dalla cancellazione e sovrascrittura accidentale dei dati.
Uno dei principali errori di configurazione di AWS S3 è la mancata abilitazione del versioning del bucket; senza di esso, le organizzazioni potrebbero non essere in grado di recuperare oggetti e dati eliminati accidentalmente. AWS S3 è progettato per garantire una disponibilità superiore al 99% e una durata superiore al 99% degli oggetti in più zone di disponibilità, pertanto le strategie di recupero dei dati dovrebbero concentrarsi maggiormente sull'eliminazione accidentale.
Il bucket versioning è un metodo per memorizzare più versioni di un oggetto nello stesso bucket, consentendo alle organizzazioni di salvare e ripristinare qualsiasi versione di qualsiasi oggetto memorizzato nei propri bucket. Una volta abilitato il bucket versioning, Amazon memorizza tutte le versioni di un oggetto con un identificatore unico, anche se riceve più richieste di scrittura contemporaneamente. Se un'organizzazione cancella un oggetto, Amazon inserisce un marcatore di cancellazione, invece di eliminare definitivamente l'oggetto. Se un'organizzazione sovrascrive un oggetto, il nuovo oggetto diventa la nuova versione. In entrambi i casi, un'organizzazione può facilmente tornare a una versione precedente di questi oggetti cancellati e sovrascritti.
Per impostazione predefinita, i bucket sono privi di versione. Una volta abilitato, il versionamento non può tornare allo stato di nonversione, ma può essere sospeso. Una volta abilitato, il versionamento si applica a tutti gli oggetti del bucket e, una volta sospeso, continua a memorizzare gli oggetti precedentemente versionati, ma non aggiunge nuove versioni.
La configurazione di un bucket non aggiornato richiede la modifica della sotto-risorsa di versionamento predefinita, che memorizza una configurazione di versionamento vuota, che appare come:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> </VersioningConfiguration>
L'abilitazione del versioning del bucket richiede l'aggiornamento della configurazione del versioning, come segue:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Enabled</Status> </VersioningConfiguration>
La sospensione del versionamento dei bucket richiede la modifica della configurazione del versionamento, come segue:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Suspended</Status> </VersioningConfiguration>
Il versioning dei bucket può essere configurato anche attraverso la console AWS S3, modificando le proprietà di un bucket.
Una volta abilitato il versioning del bucket, le organizzazioni possono aggiungere un ulteriore livello di sicurezza richiedendo l'autenticazione a più fattori (MFA) prima che un oggetto possa essere eliminato. Le organizzazioni possono anche sfruttare un blocco degli oggetti per impedirne la sovrascrittura, nel caso in cui i dati debbano essere conservati a tempo indeterminato. L'unica ragione per cui un'organizzazione potrebbe voler considerare se abilitare o meno il versioning dei bucket è che ci sono costi di archiviazione associati a ogni oggetto archiviato, ma le organizzazioni possono gestire questi costi gestendo il ciclo di vita dell'archiviazione.
Evitare gli errori di configurazione più comuni con OPSWAT
Quando si tratta di errori di configurazione comuni, come l'abilitazione del versioning dei bucket, le organizzazioni dovrebbero utilizzare liste di controllo per garantire l'implementazione delle best practice. L'automazione di questo processo con la tecnologia può aiutare a evitare errori manuali costosi e dispendiosi in termini di tempo.
MetaDefender Storage Security migliora la sua soluzione di sicurezza per il cloud storage con una checklist di sicurezza integrata, in modo che i professionisti della cybersecurity possano assicurarsi che il cloud storage della loro organizzazione non sia configurato in modo errato durante il provisioning, che include le fasi di sviluppo e produzione del cloud storage.
L'abilitazione del versioning dei bucket è un elemento importante della lista di controllo di MetaDefender Storage Security , ma non è l'unico. Nei prossimi blog esploreremo altri importanti errori di configurazione per la protezione dei dati a riposo, tra cui la crittografia lato server e la registrazione degli accessi ai bucket.
Contattate un esperto di cybersecurity di OPSWAT per saperne di più.
Leggete il blog precedente di questa serie:
