我们之前写过一篇文章,介绍了使用检查表如何避免云存储配置错误,这对提高数据保护非常有用。提到数据保护,您可能会想到防止未经授权的访问和数据暴露,但数据保护还包括防止意外删除和覆盖数据并从中恢复。
AWS S3 的一个主要配置错误是未启用数据桶版本控制;如果不启用该功能,企业可能无法恢复意外删除的对象和数据。AWS S3 的设计目标是在多个可用性区域内实现对象 99% 以上的可用性和 99% 以上的耐用性,因此数据恢复策略应更多地关注意外删除。
存储桶版本管理是一种在同一存储桶中存储对象多个版本的方法,使组织能够保存和恢复存储在其存储桶中的任何对象的任何版本。启用桶版本控制后,即使同时收到多个写入请求,Amazon 也会使用唯一标识符存储对象的所有版本。如果组织删除了一个对象,亚马逊会插入一个删除标记,而不是永久删除该对象。如果组织覆盖了一个对象,新对象就会成为新版本。无论哪种情况,组织都可以轻松恢复到这些已删除和已覆盖对象的以前版本。
默认情况下,存储桶是未版本化的。一旦启用版本控制,就无法返回未版本控制状态,但可以暂停。一旦启用,版本控制就会应用于数据桶中的所有对象,而一旦暂停,它就会继续存储先前版本控制过的对象,但不会添加任何新版本。
配置未版本控制的水桶需要更改默认的版本控制子资源,该子资源存储了一个空的版本控制配置,显示为
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> </VersioningConfiguration>
启用水桶版本控制需要更新版本控制配置,如下所示:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Enabled</Status> </VersioningConfiguration>
暂停水桶版本控制需要更改版本控制配置,如下所示:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Suspended</Status> </VersioningConfiguration>
还可以通过 AWS S3 控制台编辑水桶的属性来配置水桶版本。
一旦启用了数据桶版本控制,企业就可以通过要求在删除对象前进行多因素身份验证(MFA)来增加额外的安全层。如果数据需要无限期保存,企业还可以利用对象锁来防止对象被覆盖。企业可能要考虑是否启用数据桶版本控制的唯一原因是,存储的每个对象都会产生存储成本,但企业可以通过管理存储生命周期来控制这些成本。
避免常见的配置错误OPSWAT
说到常见的配置错误,比如启用数据包版本控制,企业应该使用检查表来确保他们实施了最佳实践。利用技术将这一流程自动化,有助于避免费时费力的手动错误。
MetaDefender Storage Security增强了其云存储安全解决方案,提供了一个集成的安全检查清单,使网络安全专业人员能够确保其组织的云存储在配置时不会出现配置错误,其中包括云存储的开发和生产阶段。
启用数据桶版本控制是MetaDefender Storage Security 中的一个重要检查项目,但它并不是唯一的检查项目。在今后的博客中,我们将探讨保护静态数据的其他主要配置错误,包括服务器端加密和数据桶访问日志。
请联系 OPSWAT 网络安全专家,了解更多信息。
阅读本系列的上一篇博客:
