摘要:Amazon S3 对象锁定 (Object Lock) 是 Amazon S3 的一项高级功能,允许用户在定义的期限内保护已存档的文件(对象)免遭意外或恶意删除或覆盖。它通过对存储的文件应用“不可变”(immutability) 策略来实现这一点,确保在配置
一、什么是 Amazon S3 对象锁定 (Object Lock)
Amazon S3 对象锁定 (Object Lock) 是 Amazon S3 的一项高级功能,允许用户在定义的期限内保护已存档的文件(对象)免遭意外或恶意删除或覆盖。它通过对存储的文件应用“不可变”(immutability) 策略来实现这一点,确保在配置的到期时间之前,任何人都无法修改或删除它们——即使是管理员也不行。
对象锁定 (Object Lock) 的创建是为了满足安全性、合规性以及防范勒索软件或未经授权删除的数据保护需求,提供 WORM(一次写入,多次读取)保护。
二、S3 中不变性的工作原理
对象锁定 (Object Lock) 有两种主要的应用模式:
治理模式:只有拥有特殊权限的用户才能绕过不可变性并修改或删除文件。
合规模式:即使拥有最高权限的管理员,在保留期限到期之前也无法删除或修改数据。
可以定义:
保留期限:对象保持不可变的最短时间。
合法保留:手动移除之前的无限期保护。
三、为什么 Iperius Backup 使用 S3 对象锁定 (Object Lock)
Iperius Backup 原生使用 Amazon S3 对象锁定 (Object Lock) 技术在云中创建不可变备份。这意味着,借助 Iperius,可以简单自动地配置具有 WORM 保护的 S3 备份,从而确保公司数据的最高安全性。
如果发生勒索软件攻击或人为错误,由 Iperius 创建的不可变备份受到保护且始终可恢复,因为它们在配置的保留期内无法被删除或更改。
四、使用对象锁定 (Object Lock) 实现不可变备份的优势
五、使用 Iperius Backup 创建不可变的云备份
使用 Iperius Backup,可以进行多种类型的高级备份:磁盘镜像、虚拟机备份、数据库备份、Microsoft 365 账户备份以及文件和文件夹备份等。对于所有这些类型的备份,都可以使用对象锁定 (Object Lock) 在 Amazon S3 上创建不可变副本。
本教程将展示如何备份一些文件夹,然后为其包含的文件创建不可变副本。
打开 Iperius Backup 并创建一个新的备份任务:
在“Items”(项目)面板中,选择要备份的文件夹:
现在点击“Next”(下一步)。在“Destinations”(目的地)面板中,创建一个类型为 Amazon S3 的新目的地:
点击按钮添加云目的地类型,然后点击按钮添加新的云账户(本例中为 Amazon S3)。
如需了解如何从 Amazon 获取连接 S3 所需的凭证(访问密钥 Access Key 和秘密访问密钥 Secret Access Key),请参照该文章。
输入凭证并保存 Amazon S3 账户后(保存时会测试连接及凭证的有效性),返回目的地配置窗口,选择您刚刚创建的账户,然后继续配置其他参数。
您必须选择要在其中创建存储桶和备份的 Amazon S3 区域(region)(通常选择物理距离更近的区域以获得较低的延迟和更快的上传速度,或者选择更远的区域出于灾难恢复或地理冗余原因)。
然后选择存储桶(bucket)的名称。存储桶是备份的主要容器,里面包含对象(object),即通过备份发送的文件。存储桶的名称必须符合一些精确的规则:
https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html。
最后,可以配置其他几个设置,例如增量或差异备份、zip 压缩,或者创建具有动态名称的路径或文件。
六、设置对象锁定 (Object Lock) 模式
最重要的选项,也是本文的主题,是与不可变性或对象锁定 (Object Lock) 相关的选项。
要启用该选项,请转到目的地的“Options”(选项)面板(仅当选择了 Amazon S3 账户类型时,此选项才可选):
选择此设置后,Iperius Backup 将在创建新存储桶时为其启用对象锁定 (Object Lock) 模式。此外,对于上传的每个文件,都会设置一个保留天数。例如,如果我们设置了 30 天,则 Iperius Backup 发送到该存储桶的每个文件在 30 天内都无法被删除或更改(或者更准确地说,该文件的版本无法被删除)。
Iperius Backup 允许用户在两种保留模式之间进行选择:
合规 (Compliance):任何人都无法删除或修改文件版本,即使是 Amazon 根用户也不行。
治理 (Governance):只有拥有特殊权限的用户才能编辑或删除文件版本。
有关保留模式的更多信息,请阅读 Amazon 的指南:
https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html#object-lock-retention-modes。
请注意:即使我们设置了合规 (Compliance) 模式,这并不意味着无法删除我们在存储桶中看到的文件。无论是使用 Iperius Backup 还是 AWS 控制台,我们都可以手动删除在存储桶中看到的文件。但是,对于这些文件,Amazon S3 将保留其不可变的版本,这些版本无法删除,并且可以通过启用下图所示选项来查看和下载:
因此,即使存储桶显示为空,不可变的文件版本实际上仍然存在,只需启用该选项即可查看和下载。
七、存储成本
激活对象锁定 (Object Lock) 时,需要稍微注意成本。例如,如果您设置了 60 天的保留期且保留模式为“合规”(Compliance),您将无法删除文件的不可变版本,即使使用 Amazon 根账户也不行。这显然会影响成本,因为——在这个 60 天的示例中——Amazon 将根据文件版本占用的空间向您收费(Amazon S3 的成本实际上是按使用量付费)。对于 Iperius Backup 创建的备份,应考虑的是,如果您使用 zip 压缩,Iperius Backup 每次都会在存储桶中创建一个新文件,Amazon S3 将存储这些文件的版本。因此,如果使用合规 (Compliance) 模式,建议在 AWS 控制台中监控成本,可以从仅保留一周的测试期开始,并尝试使用 Iperius Backup 进行各种类型的备份。
八、关于版本控制 (Versioning) 和对象锁定 (Object Lock) 的其他重要信息
一旦为存储桶启用了对象锁定 (Object Lock),就无法再禁用它。与对象锁定 (Object Lock) 一起启用(且必需)的另一个存储桶功能——版本控制 (Versioning),也同样无法禁用。
如果 Iperius Backup 要写入文件的存储桶已经存在,并且未启用版本控制 (Versioning) 和对象锁定 (Object Lock),则 Iperius Backup 在尝试将文件发送到该存储桶并设置了保留配置时,将收到错误提示,如下图所示:
在这种情况下,如果您不想使用 Iperius Backup 创建新存储桶,可以使用 AWS 控制台中提供的相应功能在现有存储桶上启用版本控制 (Versioning) 和对象锁定 (Object Lock),按照本指南中的说明操作:
https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock-configure.html。
完成目的地配置后,单击“OK”(确定)。目的地将被添加到列表中:
最后,为此备份作业命名,然后单击“OK”(确定)保存。
现在,您可以立即通过右键单击它来手动执行备份操作:
九、结论
使用 Iperius Backup 在 Amazon S3 上实施不可变备份是确保企业数据保护的基本策略。得益于对象锁定 (Object Lock) 功能,可以防止在定义的期限内意外或恶意更改或删除数据,从而确保信息的完整性。这种保护对于抵御勒索软件等威胁特别有效,因为即使发生攻击,备份也能保持完整且可恢复。
Iperius Backup 简化了此技术的采用,使您能够轻松配置具有 WORM(一次写入,多次读取)保护的 S3 备份。此外,数据不可变性支持符合要求在规定期限内保持不变地保存信息的法规和标准。
采用包含不可变性的备份策略不仅增强了数据安全性,还有助于更有效和合规地管理企业信息。借助 Iperius Backup 和 Amazon S3 对象锁定 (Object Lock),企业可以更加安心地应对当今数字环境中的数据保护挑战。
来源:世道科技圈
