以前、チェックリストを使うことでクラウドストレージの設定ミスを防ぐことができるという記事を書いたが、これはデータ保護を向上させるために有効な実践方法だ。データ保護というと、不正アクセスや不正暴露の防止を思い浮かべるだろうが、データ保護にはデータの誤削除や上書きの防止と回復も含まれる。
AWS S3の主な設定ミスは、バケットのバージョニングを有効にしていないことである。これがないと、組織は誤って削除したオブジェクトやデータを復元できない可能性がある。AWS S3は、複数のアベイラビリティゾーンにまたがるオブジェクトの99%以上の可用性と99%以上の耐久性のために設計されているため、データ復旧戦略は誤って削除されたオブジェクトに重点を置くべきである。
バケット・バージョニングは、オブジェクトの複数のバージョンを同じバケットに保存する方法で、組織はバケットに保存されたあらゆるオブジェクトのあらゆるバージョンを保存・復元することができる。バケットバージョニングが有効になると、Amazonはオブジェクトのすべてのバージョンを一意な識別子で保存し、同時に複数の書き込み要求を受け取った場合でも、一意な識別子で保存します。組織がオブジェクトを削除する場合、Amazon はオブジェクトを完全に削除するのではなく、削除マーカーを挿入します。組織がオブジェクトを上書きした場合、その新しいオブジェクトが新しいバージョンになります。どちらの場合でも、組織は削除されたオブジェクトや上書きされたオブジェクトを簡単に以前のバージョンに戻すことができる。
デフォルトでは、バケットはバージョン管理されていません。一度バージョニングが有効になると、バージョニングされていない状態に戻ることはできませんが、一時停止することはできます。一度有効化されると、バージョニングは Bucket 内のすべてのオブジェクトに適用されます。一度中断されると、以前にバージョニングされたオブジェクトは保存され続けますが、新しいバージョンは追加されません。
バージョン管理されていないバケツを設定するには、デフォルトのバージョン管理サブリソースを変更する必要があります:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> </VersioningConfiguration>
バケツのバージョニングを有効にするには、以下のようにバージョニング設定を更新する必要があります:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Enabled</Status> </VersioningConfiguration>
バケツのバージョニングを一時停止するには、以下のようにバージョニングの設定を変更する必要があります:
<VersioningConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Status>Suspended</Status> </VersioningConfiguration>
バケットのバージョニングは、AWS S3コンソールからバケットのプロパティを編集して設定することもできる。
バケットのバージョニングを有効にすると、オブジェクトを削除する前に多要素認証(MFA)を要求することで、セキュリティのレイヤーを追加することができます。また、データを無期限に保存する必要がある場合に備えて、オブジェクトの上書きを防ぐためにオブジェクトロックを活用することもできる。組織がバケット・バージョニングを有効にするかどうかを検討したい唯一の理由は、保存された各オブジェクトに関連するストレージ・コストが発生することだが、組織はストレージ・ライフサイクルを管理することで、これらのコストを管理することができる。
よくある設定ミスを防ぐOPSWAT
バケットのバージョニングの有効化など、よくある設定ミスに関しては、組織はチェックリストを使用して、ベストプラクティスを確実に実施する必要があります。このプロセスをテクノロジーで自動化することで、時間とコストのかかる手作業によるミスを避けることができます。
MetaDefender Storage Securityこれにより、サイバーセキュリティの専門家は、クラウドストレージの開発段階と本番段階を含むプロビジョニング時に、組織のクラウドストレージが誤って設定されていないことを確認することができる。
バケットのバージョニングを有効にすることは、MetaDefender Storage Security における主要なチェック項目ですが、それだけではありません。今後のブログでは、サーバサイドの暗号化やバケツへのアクセスロギングなど、静止状態のデータを保護するためのその他の主要な設定エラーについて説明します。
詳細については、OPSWAT サイバーセキュリティの専門家にお問い合わせください。
このシリーズの前回のブログを読む
